網屋とネットチャートは2020年10月12日、網屋のログ管理ソフトウェア「ALog EVA」とネットチャートの不正端末接続防止ソフトウェア「IntraGuardian2+」を連携させたと発表した。社内LANの不正アクセスの兆候をALog EVAが検知・特定した際に、IntraGuardian2+に端末情報を通知することで、即座に該当端末をネットワークから自動的に排除できるようになる。
網屋とネットチャートは、互いのソフトウェアを連携させることによって、社内LANへの不正アクセスの兆候(想定外のIPアドレスからのアクセスや、ログインの連続失敗など)を検知した際に、社内LANへの接続が許可されている端末であっても社内LANから自動的に切り離せる仕組みを用意した(図1)。これにより、マルウェア感染などのような、正規の端末を踏み台にした不正アクセスを防止できる。
図1:社内LANへの接続が許可されている端末であっても、不正アクセスの兆候があった際に、社内LANから自動的に切り離せる仕組みを用意した(出典:網屋、ネットチャート)拡大画像表示
網屋が提供するログ管理ソフトウェア「ALog EVA」と、ネットチャートが提供する不正端末接続防止ソフトウェア「IntraGuardian2+」を連携させる。
連携製品の片方、ALog EVAを含むALogシリーズは、各種のシステムログを収集して監査・解析する統合ログ管理ソフトウェアである。サーバー機のアクセスログなどを収集してデータベースに蓄積し、これを分析できる。AIを使って不正を検知する機能も持つ。過去のログから普段の行動モデルを自動で生成し、いつもと異なる行動をスコアリングして検出できる。
連携製品の片方、IntraGuardian2+は、私物の持ち込みPCなど、社内LANへの接続を許可していない端末を、社内LANから排除する専用アプライアンス製品である。IntraGuardian2+を接続したネットワークセグメント上で、管理台帳に登録のないMACアドレスを持つ端末からのARPパケットを検知した際に、偽装したARPパケットで応答する。これにより該当端末は社内LANを使えなくなる。
今回、2つの製品の機能を拡張し、互いに連携させた。
ALog EVAの機能を拡張し、IntraGuardian2+の管理サーバーでSyslogサーバー機能を持つ「IntraGuardian2+ Manager Professional」に対し、Syslogメッセージで通知できるようにした。これにより、システムログの解析から不正の兆候(想定外のIPアドレスからのアクセスや、連続してのログイン失敗など)を検知した際に、IntraGuardian2+に通知できるようになった。
IntraGuardian2+ Manager Professionalの機能を拡張し、ALog EVAの通知メッセージを解釈できるようにした。ALog EVAからSyslogメッセージを受け取った場合、メッセージを解釈し、該当するネットワークセグメントのIntraGuardian2+に指示を出す。管理サーバーから指示を受けたIntraGuardian2+は、該当端末を社内LANから切り離す。
2つの製品は、それぞれの販売代理店がそれぞれのソフトウェアを個別に販売する。なお、丸紅情報システムズは、両方のソフトウェアを販売している。
