標的型攻撃へ迅速に対処して被害を最小化する
「サイバー攻撃自動防御ソリューション」
SUMMARY
近年、企業や組織への標的型攻撃は急増し、ますます巧妙化しています。その件数は、この5年間で約8倍に増え、「標的型攻撃による被害」は社会的影響が大きかった情報セキュリティの脅威として、IPA(独立行政法人情報処理推進機構)の情報セキュリティ2018年10大脅威で第1位に選ばれています。
標的型攻撃の恐るべき点は、攻撃者がLAN内へ侵入したことに気付くのが難しく、対応が遅れて被害が甚大化することにあります。
アラクサラネットワークスの「サイバー攻撃自動防御ソリューション」は、システム全体のトラフィックの捕捉や端末の遮断、隔離などのネットワーク制御を得意とするアラクサラと、セキュリティインシデントの検知やインシデントに応じた制御判断といったセキュリティ制御を得意とするセキュリティメーカーの連携によって多層防御・多重防御を実現すると共に、標的型攻撃の検知から初動までを自動化して被害を最小化します。
インシデントの早期発見と迅速な初動対応による被害の最小化が課題
企業や組織には、毎日の業務の中で多種多様なメールが送られてきます。そして、そのメールの中には攻撃を仕掛けてくる「偽物」が混ざっていることがあります。これが標的型攻撃の始まりであり、甚大な被害をもたらすきっかけになるのです。
業務を装ったメールによって端末がウイルスに感染したことを契機に、膨大な個人情報や機密情報、研究成果などが漏えいし、それが発覚するまでに数週間から数ヵ月もかかっていたケースは珍しくありません。
近年ますます巧妙化する標的型攻撃に対して、インシデントの早期発見と被害を最小化するための迅速な初動対応が求められています。しかし、常にシステムを監視して、怪しい通信ログを検知したら即座に通信を適切な箇所で遮断できればよいのですが、人手による監視では見落としの恐れがあり、監視のための人材を確保できるかという問題もあります。また、通信の遮断も人手では制御ミスのリスクがあり、検知への即応は困難です。人手に頼る防御対策では、人的ミスを避けられないだけでなく、時間とコストもかかってしまいます。
幅広いセキュリティメーカーとの連携によりサイバー攻撃を自動的に防御
このような課題を解決するのが、アラクサラネットワークスの「サイバー攻撃自動防御ソリューション」です。
「サイバー攻撃自動防御ソリューション」は、アラクサラとセキュリティメーカーの強みを組み合わせることで、より強固な防御を実現します。
- システム全体のトラフィックの捕捉や端末の遮断、隔離など、アラクサラが得意とするネットワーク制御はコントローラに凝縮
- セキュリティインシデントの検知やインシデントに応じた制御判断といったセキュリティ制御は、セキュリティメーカー各社の製品に凝縮
アラクサラのコントローラが備える汎用連携インタフェースによって、幅広いセキュリティメーカーの製品と連携することが可能です。そのため、多様なシステムに適用しやすく、多層防御や多重防御を容易に実現できます。お客さまのニーズや環境に応じて最適な「サイバー攻撃自動防御ソリューション」を提供できることは大きな強みといえます。
サイバー攻撃自動防御ソリューションの特長
<特長1>感染端末がネットワーク内を移動しても、追従して遮断
ネットワークに接続されているすべての端末について、エッジスイッチレベルでどのスイッチのどのポートに接続されているのかをコントローラがリアルタイムで認識しているので、感染した端末がスイッチ間を移動してもそれを追従して通信を遮断でき、被害を局所化します。無線環境でのローミングでも、移動先のポートへ追従して通信を遮断します。
<特長2>エージェントレスで動作し、通信を遮断した感染端末のブラウザ画面上に警告表示
端末へのソフトウェアのインストールなどといった特別な設定は不要で、端末のOSに縛られることなく、幅広い環境に導入することができます。
また、通信遮断中の端末への警告はブラウザを使って発信します。アナウンスの内容はカスタマイズ可能で、アクションの指示などを端末の利用者に表示することにより初動の迅速化に役立てることができます。
<特長3>エッジスイッチまでの監視で、内部の拡散活動を検知
リモートミラーリングとポリシーベースミラーリングの2つのミラーリング機能で、ネットワーク全体をエッジスイッチまで効率的に監視し、内部の拡散活動を検知することでインシデントの検知率向上に寄与します。
- リモートミラーリング機能
- スイッチ上を通過するパケットをセキュリティ製品にミラーリングする機能で、端末の怪しい挙動をエッジスイッチレベルで即座に検知します。
- ポリシーベースミラーリング機能
- あらかじめ設定した監視対象のパケットのみを抽出して転送する機能です。セキュリティ製品の負荷を軽減し、効率的な全体監視を実現します。
<特長4>端末管理ソリューションとしても有効
コントローラが端末の接続位置を可視化し、効率的な端末の管理をサポートします。例えば、各端末が接続されている装置/ポート/VLANを一目で確認することができます。
また、エイリアスが設定されていない未登録の端末を、検索により容易に発見することができます。しかも遠隔地からでも閲覧可能なので、離れていても問題に迅速に気付くことができ、初動を速めることができます。
ソリューション構成イメージ
「サイバー攻撃自動防御ソリューション」では、ネットワークにアラクサラのコントローラとセキュリティメーカーのセキュリティ製品を接続することで、システムのトラフィックをエッジスイッチの通信まで含めて常時監視します。
攻撃者が送ってきた標的型攻撃メールを開きウイルスに感染すると、即座にセキュリティ製品がトラフィックの怪しい挙動から感染した端末を検知し、コントローラに感染した端末の通信遮断を指示します。そして、コントローラの制御により、エッジスイッチが感染した端末の通信を遮断することで感染の拡大を阻止します。
さらに、セキュリティ製品の指示により、コアスイッチが攻撃者とウイルスの通信を遮断。そして、感染した端末の画面に感染した旨の警告を表示します。
連携するセキュリティメーカー各社の製品と、強化されるセキュリティ機能は次のようになります。
(2018年6月時点。50音順)
- トーテックアメニティ「NetRAPTOR」
- 問題発生端末のフォレンジック情報を自動的に蓄積し、通信を遮断。
- トレンドマイクロ「Deep Discovery™ Inspector」「Trend Micro Policy Manager™」
- 問題発生端末を自動的に監視開始し、標的型攻撃やゼロデイ攻撃を「ふるまい」から検出して通信を遮断。
- パロアルトネットワークス「次世代ファイアウォール PAシリーズ」
- アプリケーション、アプリケーション機能、ユーザー、コンテンツに基づいて、暗号化されたトラフィックを含むすべてのトラフィックを分類、可視化し、標的型攻撃対策として有効な多層防御をアプライアンス1台で実現。
- ファイア・アイ「FireEye Network Security」
- ゼロデイのWeb攻撃や複数のプロトコルを使用したコールバックを検知でき、従来型セキュリティ対策では対応できない巧妙なサイバー攻撃への対応が可能。
- フォーティネット「FortiGate」
- ファイアウォールや不正侵入検知/防御(IPS)など、複数のセキュリティを1台で実現できるファイアウォールプラットフォームで、外部ネットワークからの脅威と、内部ネットワークからの情報漏洩の両側面で対応が可能。
- FFRI「FFRI yarai Analyzer」
- メールの通信をリアルタイムに分析し、検出したインシデントに応じて制御。
対応製品
構成品 | 概要 |
---|---|
AX-Security-Controller | 【サーバ上で動作するソフトウェア】 端末の接続位置を可視化し、セキュリティ製品の指示に従いスイッチを制御 |