NDR(ネットワーク検知・対処)製品ベンダーの米ExtraHop Networksは2020年10月15日、日本向けの事業に注力すると発表した。これに合わせて、日本のカントリーマネージャーに福山貴也氏を任命した。2021年第1四半期(1~3月)には日本法人を設立する予定である。米ExtraHop Networksは、クラウド型のNDRサービス「Reveal(x)」(リヴィル・エックス)と、運用サービスが付いた「Reveal(x) 360」(リヴィル・エックス・サンロクマル)を提供する。
米ExtraHop Networksが提供している「Reveal(x)」は、NDR(ネットワーク検知・対処)サービスである。ネットワークを流れるパケットを分析することによって、不正アクセスなどを検知する。マシンラーニング(機械学習)を用いて異常な振る舞いを検出する仕組み。境界型のセキュリティでは防げずに進入を許したマルウェアへの対策がとれる。マルウェアに侵入されても、これを即座に補足して取り除く仕組みを構築できる(画面1)。
拡大画像表示
NDRは、EDR(エンドポイント検知・対処)やSIEM(セキュリティ情報/イベント管理)を補完する(図1)。EDRの弱点は、エージェントを管理対象に導入する必要があることから、業務サーバーやIoTデバイスを監視しにくいこと。SIEMの弱点は、ログを分析する仕組み上、不正アクセスをリアルタイムに検知できないことと、ログを増やすとノイズも多くなり運用が難しくなること。NDRはこれらの弱点を補完し、他の仕組みでは見逃してしまう脅威を捕捉する。
拡大画像表示
製品は、ネットワークパケットを監視して解析する「ExtraHop Discoverアプライアンス」(EDA)が中核となる。EDAは、ハードウェアアプライアンス(複数モデル)のほかに、サーバー仮想化環境で動作する仮想アプライアンスがある。オンプレミスのVMware環境や、パブリッククラウド(AWS/Azureなど)環境に、仮想アプライアンスを配備して運用できる。データの分析(マシンラーニング)については、EDA側ではなくExtraHopのクラウドで行う。
EDAが不正を検知した際には、外部システムと連携して対処がとれる(図2)。例えば、外部のファイアウォール機器と連携して関連するネットワーク超えの通信をブロックしたり、EDRと連携して関連する端末をネットワークから遮断したり、といった運用がとれる。検知情報やレイヤー7のトランザクション情報をSIEMなどに渡して管理する運用もできる。
拡大画像表示
EDRは、重要な業務サーバーがつながっているネットワークセグメントなどにつないで運用する。これにより、重要な業務サーバーに届く通信を監視できる。EDAの上位モデル(スループット100Gビット/秒)では、アプライアンス1台で最大5つの監視インタフェースを備えており、複数のネットワークセグメントを1台のアプライアンスで監視できる。
SSL/TLSの通信内容も復号できる。あらかじめ監視対象サーバーのキーペア(公開鍵/秘密鍵)をEDAに登録しておくことで、EDA内部で復号する。TLS 1.3の通信については、サーバー側にキーフォワーダをインストールしてEDAと動的に連携させることによって復号する。