サイバー攻撃を“受けた後”に着目するセキュリティ新製品が登場情報セキュリティEXPOレポート

セキュリティ対策では脅威を防ぐことに重点が置かれてきた。2014年春の情報セキュリティEXPOでは脅威の侵入を許してしまった後の対応に注目する製品が出品されている。

» 2014年05月14日 17時29分 公開
[ITmedia]

 ITの総合展示イベント「2014 Japan IT Week 春」が5月14日、東京ビッグサイトを会場に開幕した。イベントの1つである「情報セキュリティEXPO」には今年も多数の企業が出展。各社の訴求で新たに注目されたのが、サイバー攻撃など脅威による被害を受けた後の対応を支援するという新製品だ。

 トレンドマイクロが参考展示した「Trend Micro Deep Discovery Endpoint Sensor(仮称)」は、同社の標的型サイバー攻撃対策ソリューションと連携して、クライアントPCなどの被害状況を迅速に把握できるための仕組みを提供するという。

 標的型サイバー攻撃は、攻撃者が社内のコンピュータを踏み台にして徐々に攻撃範囲を広げていくことが知られる。被害抑止では踏み台にされたコンピュータを迅速に特定して対処することが必要になるが、コンピュータが多数稼働している大規模企業などでは、これを調べるだけでも大変な作業になってしまう。

 同社は既にネットワークやサーバで不審な通信やファイルなどの脅威を検知する仕組みを提供。Endpoint Sensorはこれと連携し、踏み台にされたとみられるコンピュータの洗い出しやそのコンピュータ上で行われた活動、ほかに被害を受けたコンピュータの捜索といった対応を支援できるとしている。

Endpoint Sensorでは他社のセキュリティ製品がインストールされているコンピュータでも影響などを迅速に把握できるという

 マクニカネットワークスは、ログ管理・分析ツールのSplunkやFireEyeの脅威解析システムを使って、標的型サイバー攻撃の状況を詳細に解析していく方法を紹介した。FireEyeで解析された不審なファイルや通信の挙動に関する情報と、企業や組織で保存している大量のログ情報の相関関係を分析することで、過去に遡って脅威の動向を把握していけるという。

 これは「SIEM(セキュリティインシデント・イベント管理)」ソリューションとも呼ばれ、セキュリティベンダー各社が注力している分野の1つ。同社担当者によれば、SIEMは特に未知の脅威を迅速に検知できる点で有力な手段になると説明する。ただし、実際の被害状況などを詳細に調べていく上では、セキュリティ関連のログ以外に、ITシステム全体の膨大な種類と量のログを一緒に分析しなくてはならないという。

 同社の分析デモでは最初の検知をきっかけに、過去に同様の不正通信があったかどうかや、攻撃者に踏み台にされたコンピュータが不正ログインを試したり、ファイルサーバにアクセスしたりといった履歴をグラフィカルレポートで瞬時に通知する様子を披露している。

検知した脅威が過去にどんな様子であったかをSplunkのツールで可視化した様子。遡れる期間はログの保存期間などに依存する

 脅威の検知後に迅速に防御を講じる仕組みとして、マカフィーは「Security Connected」というフレームワークに基づくソリューションを出典した。Security Connectedは、ネットワークやエンドポイントなどの各種対策を相互連携させて防御レベルを高める仕組みを提供しているという。

 ブースでは脅威解析の「Advanced Threat Defense(ATD)」や次世代ファイアウォールなどを出展。ATDで検知した脅威情報をIPSやメール/Webセキュリティ製品へ迅速に反映させて脅威を遮断できるようにしているが、2014年中には次世代ファイアウォールとの連携、また、被害を受けたコンピュータの復旧なども可能にしていくという。

ATDで検知した脅威の情報は各種防御製品へ直ちに反映され、定義ファイル配信などを待たなくても攻撃を遮断できるようにする

 2014 Japan IT Week 春は5月16日まで開催されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ