ネットワン、端末レベルで情報流出を防ぐ監視・運用サービスを提供

ネットワンシステムズ市場開発本部長松本陽一氏

ネットワンシステムズは10月24日、都内で説明会を開催し、セキュリティ監視・運用サービス「MDR（Managed Detection and Response）サービス」を12月より提供開始すると発表した。

新サービスは、マルウェアに感染した端末を検知・特定・隔離するサービスと情報漏洩を防止するためのアクセス制御を行うサービスで構成される。

市場開発本部長の松本陽一氏は、新サービスの特徴について、「新サービスの特徴は、ネットワークの境界線上の対策にとどまらず、端末にまで踏み込んで対策を提供している点。昨年に提供を開始した、外部境界を監視する『マネージド・セキュリティ・サービス』(以下、MSSサービス)を補完するサービスであるとともに、多層的なセキュリティ対策を支援する」と説明した。

同社はこれまでネットワーク、クラウド、セキュリティのソリューションについて、設計・構築から保守運用まで提供してきたが、松本氏は「セキュリティの場合、ソリューションを導入した後の運用も重要となるが、一企業のCSIRTだけですべてカバーするのは難しい。われわれはそこをサポートしていきたい」と述べた。

内部侵害を前提とした脅威に対抗するための新サービス

ネットワンシステムズ市場開発本部セキュリティ戦略支援部部長菅原崇史氏

続いて、市場開発本部セキュリティ戦略支援部部長の菅原崇史氏が、MDRサービスが提供に至った背景を説明した。

菅原氏は、近年侵害が報告されている脅威の特徴として「企業の内部ネットワークから攻撃が行われる」「攻撃手法の高度化により従来の手法では検知が困難」「古い脆弱性が標的となっている」を挙げた。

こうした特徴から、内部への侵害を前提とした対策が必要とされるようになっており、具体的には外部境界のゲートウェイでの防御からLANやエンドポイントでの検知や対処が必要になっているという。

菅原氏は、セキュリティ組織であるSOC(Security Operation Center)とCSIRT(Computer Security Incident Response Team)においても、役割の変化が求められていると指摘した。侵害を前提としたSOCの機能が求められており、高度な知見と技術を持ったSOCが対応範囲を広げて、CSIRTを支援する必要があるという。

これからは侵害を前提としたSOC機能が必要

しかし、こうした体制を構築するにあたっては、24時間体制、さまざまな分析が可能なスキル、インテリジェンスのアップデートが必要だが、「一企業でこれを行うのは不可能」(菅原氏)であり、それをカバーするのが今年1月に立ち上げたセキュリティオペレーションセンター「NetOne-SOC」となる。

NetOne-SOCは24時間365日の体制で、MDRサービスを提供する。同センターには、シフト制のメンバーが10人、システムエンジニアなどのオペレーション担当のメンバーが15人所属しているという。

顧客が必要とする機能を柔軟に提供可能

ネットワンシステムズ市場開発本部セキュリティ戦略支援部副部長長田晋一氏

MDRサービスの特徴については、市場開発本部セキュリティ戦略支援部副部長の長田晋一氏が説明した。

MDRサービスでは、端末可視化・制御ツール「CounterACT」、不審な外部向け通信を検知するツール「Damballa Network Insight」、EDRツール「Cb Response」、セキュリティポリシー分析・適用ツール「Security Management Suite」が利用される。

「情報漏えい防止アクセス制御」サービスは、「Security Management Suite」を用いて提供される。長田氏は、同サービスの利用に適している企業の例として、複数のファイアウォールを利用している企業を挙げた。「企業では、ファイアウォールを更新する際、ポリシーもそのまま使っているケースが多いなど、ファイアウォールのポリシーを管理できている企業は少ないと見ている。一方、企業のITインフラの状況は変わっており、ポリシーはインフラの最新の状態に合っていない可能性がある」(長田氏)

「情報漏えい防止アクセス制御」サービスの提供イメージ

「マルウェア感染端末の検知・特定・隔離」サービスは、「Damballa Network Insight」で端末を検知・特定し、「CounterACT」で端末を隔離する。このサービスは、端末に統一のエージェントを導入できない環境に適しているという。