NTTデータは10月15日、標的型攻撃マルウェアに感染した端末を検知後、SDN(Software-Defined Network)を用いることで即座に企業ネットワークからその感染端末を隔離する技術を開発したと発表した。
同技術は、IDS、IPS、WAFなどの各種セキュリティ機器の監視情報を基に標的型マルウエア感染端末が検知された場合、同社のSDNコントローラ「バーチャルネットワークコントローラ」を制御し、物理的な作業を伴うことなく、感染端末を企業ネットワークから即座に隔離し、被害を最小限に抑えるもの。
|
従来の対策と「セキュリティー器とSDNを連携させた対策」の比較 |
標的型攻撃マルウェアの検知を行う場合、よい厳密に行うと誤検知がより多く発生し、コストも上昇し、検知を浅くするとコストは抑えることができるが、未検知がより多く発生するという課題がある。
これに対し、同技術では、SDNの特徴を活用して企業や組織のポリシーに応じて、「遮断」と「監視」を柔軟に組み合わせることができる。
|
「監視」「遮断」の2段階の措置を適用する場合のイメージ |
また、同技術はSDNの特徴を生かし、不審端末の通信を選択的に収集してセキュリティ機器の性能に応じた効率的な運用を提供できるほか、社内通信も監視対象に含めることができし、不正活動を開始したマルウェアが社内ネットワーク内のみで発生させる不正な通信も見逃さずに検知できる。
|
社内通信における利用イメージ |
「バーチャルネットワークコントローラ」は、「OpenFlow 1.0/1.3へ準拠」「主要ベンダーのOpenFlow対応スイッチとの接続をサポート」「ネットワーク機能を開発するためのフレームワークとしても利用可能」といった特徴を備えているため、幅広い環境に適用可能。
