APRESIA Systems、ディアイティ、ソフォスの3社は2019年1月22日、説明会を開き、3社の製品を組み合わせることで可能になるセキュリティ対策についてアピールした。3社の製品を連携させて、サイバー攻撃の検出、分析、端末のネットワークからの切り離し、という一連の処理を自動化する。この使い方をアピールするべく3社でタッグを組んで協力し合う、としている。
社内LANをサイバー攻撃から守るための運用管理ノウハウの1つに、(1)サイバー攻撃を検出し、(2)検出ログを分析し、(3)分析に基づいて端末をネットワークから切り離して脅威を防ぐ、という一連の処理がある。サイバー攻撃を検出できるセキュリティ製品、システム監視ソフト、スイッチ機器の3つの要素を組み合わせることによって実現できる。
今回、APRESIA Systems、ディアイティ、ソフォスの3社は、3社の製品を組み合わせることによってサイバー攻撃の検出・分析・ネットワークからの切り離しを実現するシステム構成例を提案し、世の中に広めるべく3社の協力体制を築いた(図1)。
拡大画像表示
例えば、APRESIA Systemsは、既存の顧客に対してディアイティとソフォスの製品を売り込んでセキュリティシステムを提案するといった具合である。また、3社の製品を組み合わせた製品を提案可能なSIベンダー(システム構築会社)も増やす意向である。
3社が提供する製品は、それぞれ以下のとおり。
APRESIA Systemsは、日立金属から独立した国内企業であり、ネットワークスイッチ機器「Apresiaシリーズ」を開発・製造している。特徴の1つは、インシデント発生時の初動対応の自動化を目的としたスイッチ制御ソフト「AN-Tracker」を用意していることである。AN-Trackerを使うと、外部のセキュリティ製品からREST APIやSyslogを介してマルウェア感染端末などの情報を取得し、これをトリガーにスイッチを制御して、該当端末を社内LANから切り離すことができる。
ソフォスからは、次世代ファイアウォール機器の「Sophos XG Firewall」を提供する。未知のマルウェアをサンドボックスを使って検知する機能なども備えている。今回の3社の取り組みにおいては、ある端末がマルウェアをダウンロードしようとしたことを発見するなど、サイバー攻撃や危険な行為を検出する役割を果たす。
ディアイティからは、システム監視ソフトの「WADJET(ウジャト)」を提供する(関連記事:ディアイティ、近未来風のUIで脅威を視覚化する製品に機械学習エンジンを追加)。WADJETは、企業ネットワークにおいて日々発生する大量のアラートを集約・視覚化してセキュリティ運用のオペレーションを効率化する。トラフィックをリアルタイムに観測/分析したり、各種セキュリティ機器が出力するログやアラート(警告)を集約したりして、これらを分かりやすく視覚化する。
WADJETでは、ネットワークイベントの視覚化に加えて、防御の機能も備えている。具体的には、インシデントが発生した際に、ルールに従ってファイアウォール機器やスイッチ機器を自動的に制御できる。これにより、異常な通信を遮断したり、マルウェアに感染したホストを隔離したりできる。
3社の連携では、Sophos XG Firewallがインシデントを検出し、これをWADJETに伝える。WADJETは、ログを分析し、必要に応じてクライアントPCの切り離しなどの意思決定を行い、担当者にアラートを通知する。担当者が対処を指示すると、WADJETがAN-Trackerに指示を出し、AN-Trackerがスイッチを制御して該当端末をネットワークから切り離す。