ソフォス セキュリティコンサルタント 佐々木潤世氏

ソフォス、APRESIA Systems、ディアイティは1月22日、3社の製品で構成するソリューション「スレットハンティング」を提供開始すると発表した。

同ソリューションは、ソフォスの次世代型ファイアウォール「Sophos XG Firewall」、APRESIA Systemsのセキュリティ連携ソフトウェア「AN-Tracker」、ディアイティのサイバー攻撃統合分析プラットフォーム「WADJET」を連携させることで、サイバー攻撃の検出・捕捉・調査・ブロックという一連の動きを自動化する。

ソフォスのセキュリティコンサルタントを務める佐々木潤世氏は、「当社を含め、さまざまな調査結果から、サイバー攻撃が高度化していることがわかっている。これに対抗するには、高度化した防御壁を構築する必要がある。それを提供するのが、スレットハンティング」と説明した。

佐々木氏は「高度な防御壁」に必要な機能として、「脅威行動の検知の高度化(具体策:多層防御壁の構築)」「攻撃手口の追跡と分析(具体策:可視化)」「迅速な対応(隔離・駆除の自動化と簡便化)」を挙げた。

「Sophos XG Firewall」は「未知の脅威の防御」「インシデント対応の自動化」「潜在的な脅威の抽出」といった機能を備えている。

「AN-Tracker」は、セキュリティ製品で検知したインシデントの重要度や運用ポリシーに応じて、ポリシーベースの各種アクセス制御(隔離/遮断、Callback Block)を自動化し、ネットワーク・スイッチのアクセス制御を動的に変更する。

  • 「AN-Tracker」の仕組み

「WADJET」は、情報通信研究機構(NICT)が開発した「NIRVANA改」に独自のログ相関分析機能、防御システムを追加して、商品化したもの。ネットワーク上のセキュリティ機器やネットワーク機器からのトラフィックやアラートをリアルタイムに可視化し、インシデント発生時はルールに従ってネットワーク機器を自動的に制御し、異常通信の遮断を実現する自動防御機能を働かせる。

「スレットハンティング」において、Sophos XG Firewallが検知した未知・既知の脅威をアラートとしてWADJETに通知し、WADJETの分析ルールで通信を遮断すべきと判断した場合にAN-Trackerに通信遮断を指示する。マルウェア感染などの被害があった場合は、迅速な感染端末の把握と隔離により、感染の拡大を防ぐ。

また、WADJETの可視化システムにより、トラフィックのリアルタイム可視化機能と合わせてSophos XG Firewallが検知したアラートやAN-Trackerが実行した通信遮断の状態をわかりやすく表示することで的確に状況を把握することが可能になる。

  • 「スレットハンティング」の仕組み

  • 「スレットハンティング」

  • で脅威を検知して、対処した時の「WADJET」の画面

「スレットハンティング」は、従来は時間がかかるログ解析による対応から管理者を解放するとともに、インシデントレスポンスを自動化することから、大学や研究施設、企業のインシデントレスポンスチーム(CSIRT)、IoTを活用する産業分野などを中心に訴求していく。

また、「スレットハンティング」はインテグレーターによって製品の導入に加え、運用サポートが提供されることを前提としており、新規の販売・構築パートナー様を募集している。