ソフトバンク・テクノロジー(SBT)は2月15日、フォーティネットの「FortiGate」およびパロアルトネットワークスの「PAシリーズ」の各UTM(統合脅威管理)製品に対して24時間365日のセキュリティ監視・運用を行うサービス「MSS (マネージド・セキュリティ・サービス) for UTM」の提供を開始した。

  • サービス概要

    サービス概要

同社は、ユーザー企業のセキュリティを統合的に監視し運用や対策を行うMSSを強化しており、今回UTM製品を対象機器へ取り入れることでMSSのラインナップを拡充した。新サービスは、UTM製品の特徴となる複数のセキュリティ機能が出力する膨大なセキュリティログイベントをユーザーに代わり、同社のセキュリティ専門家が監視する。

ファイアウォール、IPS/IDS(不正侵入防御)、URLフィルタリング(Webアクセス制御)、アンチウイルス、サンドボックス(隔離環境による疑わしいファイルの解析)など複数機能で検知した異常に対し、各機能のログを相関的に分析することで、単一ログの分析だけでは困難な、感染の有無や危険度、影響範囲の判断を明確にし、対策を実現するという。また、同社の既存MSSメニューと組み合わせることで、より高度なセキュリティ対応を可能としている。

例えば「MSS for EDR」との組み合わせでは、UTM製品で検知したアラートの一連の解析や遮断などの対処に加え、攻撃者に乗っ取られたPC端末内部の悪意ある動きを分析し、即座に封じ込めるなど、追加の調査・対処までをサポートする。

  • MSS for EDRの概要

    MSS for EDRの概要

MSS for UTMにおけるUTM セキュリティインシデントの監視項目は、ファイアウォール、URLフィルタリング、アプリケーションコントロール、IPS/IDS、アンチウイルス、サンドボックス(Paloalto PAシリーズのみ対応)の6点。

ファイアウォールでは、ポリシー違反の通信、不審なIPへの通信、内部から外部への不審な通信、傾向変化状態の監視を行う。URLフィルタリングでは、不審なURL、ポリシー違反の疑いのあるサイトへの接続状況の監視および、マルウェア感染後の挙動発見など追加調査での利用となる。

アプリケーションコントロールでは、不審なアプリ、ポリシー違反の疑いのあるアプリケーション利用状況の監視及び、マルウェア感染後の挙動発見など追加調査での利用となる。IPS/IDSでは不正アクセスのアラートを監視し、攻撃の成否確認をアナリストが行う。

アンチウイルスでは不正プログラムの有無を検知し、アナリスト分析対象としてマルウェア感染の有無の判断材料として利用する。サンドボックスは、不正プログラムの有無を検知する。アナリスト分析対象とし、マルウェア感染の有無の判断材料として利用する。

また、MSS for EDRとの組み合わせによる機能であるプロアクティブコントロールは、「具体的な原因・影響範囲の特定、拡散・拡大の阻止」「ユーザー負担の軽減」をポイントとしている。原因・影響範囲の特定では、UTM製品で検知したアラートに対し、エンドポイントのログや情報を組み合わせて解析することで、より具体的な原因・被害範囲の調査が可能になるという。

拡散・拡大の阻止では、攻撃者に乗っ取られたPCから内部への偵察活動や感染拡大に対し、端末単位でセキュリティ脅威を封じ込めることにより、業務全体への影響を最小限にした上で、復旧対策を可能としている。

ユーザー負担の軽減に関しては、従来、感染源情報を受領したユーザーが速やかに実施することが求められていた初動対応である「封じ込め」を迅速に実施することで、ユーザーの作業負担を軽減し、休日や夜間などの業務時間外における対応の遅れも回避できるという。