ソフォス×APRESIA×ディアイティ、インシデント対応を自動化する製品

ソフォス　セキュリティコンサルタント　佐々木潤世氏

ソフォス、APRESIA Systems、ディアイティは1月22日、3社の製品で構成するソリューション「スレットハンティング」を提供開始すると発表した。

同ソリューションは、ソフォスの次世代型ファイアウォール「Sophos XG Firewall」、APRESIA Systemsのセキュリティ連携ソフトウェア「AN-Tracker」、ディアイティのサイバー攻撃統合分析プラットフォーム「WADJET」を連携させることで、サイバー攻撃の検出・捕捉・調査・ブロックという一連の動きを自動化する。

ソフォスのセキュリティコンサルタントを務める佐々木潤世氏は、「当社を含め、さまざまな調査結果から、サイバー攻撃が高度化していることがわかっている。これに対抗するには、高度化した防御壁を構築する必要がある。それを提供するのが、スレットハンティング」と説明した。

佐々木氏は「高度な防御壁」に必要な機能として、「脅威行動の検知の高度化(具体策：多層防御壁の構築)」「攻撃手口の追跡と分析(具体策：可視化)」「迅速な対応(隔離・駆除の自動化と簡便化)」を挙げた。

「Sophos XG Firewall」は「未知の脅威の防御」「インシデント対応の自動化」「潜在的な脅威の抽出」といった機能を備えている。

「AN-Tracker」は、セキュリティ製品で検知したインシデントの重要度や運用ポリシーに応じて、ポリシーベースの各種アクセス制御(隔離/遮断、Callback Block)を自動化し、ネットワーク・スイッチのアクセス制御を動的に変更する。

「AN-Tracker」の仕組み

「WADJET」は、情報通信研究機構(NICT)が開発した「NIRVANA改」に独自のログ相関分析機能、防御システムを追加して、商品化したもの。ネットワーク上のセキュリティ機器やネットワーク機器からのトラフィックやアラートをリアルタイムに可視化し、インシデント発生時はルールに従ってネットワーク機器を自動的に制御し、異常通信の遮断を実現する自動防御機能を働かせる。

「スレットハンティング」において、Sophos XG Firewallが検知した未知・既知の脅威をアラートとしてWADJETに通知し、WADJETの分析ルールで通信を遮断すべきと判断した場合にAN-Trackerに通信遮断を指示する。マルウェア感染などの被害があった場合は、迅速な感染端末の把握と隔離により、感染の拡大を防ぐ。

また、WADJETの可視化システムにより、トラフィックのリアルタイム可視化機能と合わせてSophos XG Firewallが検知したアラートやAN-Trackerが実行した通信遮断の状態をわかりやすく表示することで的確に状況を把握することが可能になる。