カスペルスキーは4月20日、組織のITインフラ全体を監視し、高度な標的型攻撃をはじめとするサイバー攻撃を発見する新ソリューション「Kaspersky Anti Targeted Attack Platform」の提供を開始した。法人を対象とし、パートナー企業経由で販売する。

「Kaspersky Anti Targeted Attack Platform」の全体構成図

新ソリューションは、情報を収集するセンサーと分析するためのセントラルノード、そしてサンドボックスの3つのコンポーネントで構成。ITインフラ全体から情報を収集するためにセンサーを分散して配置し、収集した情報をKaspersky Labのインテリジェンス、マシンラーニングテクノロジーを組み合わせたセントラルノードおよび独自開発のアドバンスドサンドボックスで分析する。

セントラルノードとアドバンスドサンドボックスで得られた分析結果は、セントラルノード内の標的型攻撃アナライザー(TAA)で相関分析し、相互に紐づけられたインシデントの全体像として管理画面上に表示。インシデントは脅威の深刻さに応じて重要度が評価され、対応すべき優先度も示す。

CSIRTなどインシデントレスポンス担当者のアサインと対応の進捗が確認できる機能により、セキュリティ担当者は管理画面を通じて、発生しているインシデントや攻撃の進行と、その対応状況を一元的に把握することができるという。

「Kaspersky Anti Targeted Attack Platform」の管理画面

情報を収集するセンサーはネットワークセンサー、メールセンサー、エンドポイントセンサーの3つ。ネットワークセンサーとメールセンサーは、インターネットゲートウェイのミラーポート(TAP)からトラフィックの情報を、ウェブ通信(HTTP)とメール通信(SMTP/PoP3)からオブジェクトを抽出し、分析するためにセントラルノードに転送する。

また、エンドポイントセンサーはプロセス、通信、疑わしいオブジェクトとメモリイメージを、分析するためにセントラルノードに転送し、他社のウイルス対策製品がインストールされていても導入できる軽量のエージェントも用意していえう。さらに、法人向けエンドポイント製品「Kaspersky Endpoint Security for Windows」をセンサーとして利用することも可能。

セントラルノードは、各センサーから転送されてくるオブジェクトをKaspersky Labのインテリジェンス(定義データベース、ヒューリスティック分析、レピュテーションデータベース)を利用して解析。YARAルールによるスキャンも可能で、APTや標的型攻撃のサイバー犯罪グループが使う、通常のセキュリティ製品では検知できない悪意あるオブジェクトをその特徴から発見することも可能。加えて、収集した情報を継続的に監視し、マシンラーニングにより長期間にわたる偵察活動や、情報を窃取する不審な振る舞いも発見するとしている。

アドバンスドサンドボックスは、解析すべきオブジェクトを転送し、独自開発の仮想環境で分析。サンドボックスを回避する最新のマルウェアに対処するために、サンドボックスのモジュールは都度配信される。

管理画面の検知イベント一覧

これにより、インターネットゲートウェイからメール、Webおよびエンドポイントまで、組織の複雑化したITインフラを総合的に監視し、標的型攻撃をはじめとする高度で巧妙なサイバー攻撃を発見するという。これまでの単なる検知ソリューションとは異なり、攻撃の痕跡を断片的な視点で見るのではなく、ほかの痕跡との相関分析を行うことで攻撃を発見し、深刻な被害を未然に防ぐことを可能としている。

なお、提供開始に先立ち、国内の複数の大手システムインテグレーターが新ソリューションの検証作業を開始しており、行政機関や大手企業においても検証準備が進んでいるという。今後は、セキュリティサービスを扱うパートナーとともに、マネージドサービスの開始も視野に入れて販売活動を進めていく方針だ。

提供するライセンス体系は、Entry(従業員数1000人程度の事業規模向け、監視可能なインターネット接続帯域:100Mbps、ライセンスの有効機能:ネットワークセンサーまたはメールセンサーとエンドポイントセンサー)、Standard(同2000人程度、同:250Mbps、同:ネットワークセンサー、メールセンサー合計2台まで、エンドポイントセンサー)、Advanced(同5000人程度、同:1Gbps、同:ネットワークセンサー、メールセンサー合計2台まで、エンドポイントセンサー)、Advanced +(同5万人程度、同:2Gbps、同:ネットワークセンサー、メールセンサー合計3台まで、エンドポイントセンサー)、Enterprise(同5万人程度、同:4Gbps、同:ネットワークセンサー、メールセンサー合計4台まで、エンドポイントセンサー)の5種類。

価格は、Kaspersky Anti Targeted Attack Platform Entryで750万円(税別)~。テクニカルサポートとして管理者トレーニング(1日間)、セキュリティアナリストトレーニング(1日間)、インシデントレスポンストレーニング(5日間)も用意している。