先日、クラウド型のDNS(Domain Name Systems)セキュリティ製品「BloxOne Threat Defense」においてAIを搭載した新機能「SOC Insights」を発表したInfoblox。今回、新機能の提供に至った背景や狙いについて同社に話を聞いた。

「BloxOne Threat Defense」の新機能

BloxOne Threat Defenseは、マルウェアによるアウトバウンドのDNSベースの通信を遮断し、ボットネットやC&Cサーバとの接続を防ぐことができる。悪意のあるドメインへのDNSクエリの監視・遮断や悪意のあるDNSクエリを振る舞い検知により遮断し、ユーザー情報としてIPアドレス、MACアドレス、ユーザー名、デバイス情報などを取得する。そもそもDNSセキュリティは、DNSの名前解決(ドメイン名からIPアドレスを求める行為)を利用して悪意のあるサイトへの通信をブロックし、インターネット上の脅威からユーザーを防御することだ。

そして、新たに発表されたSOC(Security Operation Center) Insightsは膨大なセキュリティイベント、ネットワーク、エコシステム、独自のDNSインテリジェンスデータをAIで即座にアクション可能なインサイトとして提供するというもの。これにより、セキュリティアナリストは調査を迅速に開始できるとともに、インシデントの対応時間を短縮することを可能としている。

  • 「SOC Insight」の概要

    「SOC Insight」の概要

Infoblox 日本担当カントリーマネージャーの河村浩明氏は、SOC Insightsを提供開始した背景として「これまでAIを地道に活用してきました。今回、AIを全面的に打ち出してフルに活用した機能が必要だったほか、お客さまのSOCやセキュリティ運用体制の支援するためです。また、セキュリティ製品を選択する際に予算をふまえて、効果が大きいものを求めているため、SOC Insightsの提供を開始しました」と述べた。

  • Infoblox 日本担当カントリーマネージャーの河村浩明氏

    Infoblox 日本担当カントリーマネージャーの河村浩明氏

同社によると、近年ではアタックサーフェスの増加に伴い、SOCアナリストは業務量が増加しているほか、設定ミスはエラー関連の侵害における上位3つの要因の1つとなっており、アラート疲れが顕在化しているという。さらに、重要なアラートが日次、週次で見落とされることも多く、経営層は必要なスキルが十分なものか懸念し、手作業に時間を要している実態があるとのことだ。

SOC Insightsのメリット

提供形態としては、脅威を分析する「Security Insights」は有償で提供し、設定の見直しなどの「Configuration Insights」は無償で提供する。

Infoblox シニアマネージャー・ソリューションアーキテクトの折原直美氏は、Security Insightsについて「BloxOne Threat Defenseにアドオンする形で利用します。膨大なDNSのトラフィックのアラートを、1つずつ見ていくのは骨が折れます。そのため、いかに簡単に調査していくことがカギになります。ブロックしなければいけないものに関して、新たにブロックするポリシーの中に適用するなど、SOC的にポリシーを変更して対策できることがSOC Insightsのセールスポイントです」と話す。

  • Infoblox シニアマネージャー・ソリューションアーキテクトの折原直美氏

    Infoblox シニアマネージャー・ソリューションアーキテクトの折原直美氏

また、疑わしいドメインについてはBloxOne Threat Defenseの標準機能である、DNSに特化した脅威インテリジェンスチームの情報をまとめたドメイン調査ツール「Dossier」に遷移できることから、容易に調査が開始できるという。

折原氏は「AIでバラバラだったログを1カ所にまとめ、インサイトを提供します。これにより、アクションから調査までを一気通貫で行うことが可能です」と、そのメリットを説く。

  • 「Security Insights」のイメージ

    「Security Insights」のイメージ

一方、Configuration InsightsはBloxOne Threat Defenseが持つ脅威情報と推奨設定とのミスマッチがある個別のセキュリティポリシーが表示され、それに対する必要なアクションが把握できる。ガイドなどで提示し、必要なカ所を自社のポリシーと照らし合わせて推奨設定に変更することが可能だ。

  • 「Configuration Insight」のイメージ

    「Configuration Insights」のイメージ

なくてはならないソリューションに

実際、トライアルユーザーの導入効果として、資産情報やDNS脅威インテリジェンス、DNSログなどからの50万4241イベントから24の実行可能なインサイトとして抽出されたという。また、導入後の価値証明を把握しやすい、資産情報とDNSの脅威インテリジェンスは重要な差別化要因である、SIEM(Security Information and Event Management)への統合に最適という評価を得ているようだ。

  • トライアルユーザによる導入効果の概要

    トライアルユーザによる導入効果の概要

河村氏は「SOC Insightsは強力な機能のため、BloxOne Threat Defenseの売り上げを伸ばせるものになると考えています。昨今では、企業内のセキュリティ製品を統合したいと考える企業が多くなってきています。こうした世の中の動きがある中で新機能を具備したBloxOne Threat Defenseは、お客さまにとってはなくてはならないソリューションになると確信しており、メインストリームになるセキュリティ製品と位置付けています」と力を込める。

一方、折原氏は「SOCは大企業しか持っていなかったりするため、中堅・中小企業は外部委託することが多いです。そのため、SOC Insightsを利用すれば自社で早急に対策。調査ができるものになっています。専門家を雇う必要がないことに加え、外部に委託するとレスポンスタイムが長くなることから、MTTRを短縮できます」と胸を張っていた。