ニュース
» 2016年06月23日 09時30分 UPDATE

Maker's Voice:サイバー攻撃の手がかりはアラート5分前のパケットに――SavviusのCEO

ネットワーク監視機器メーカーSavviusは、ディアイティと共同でサイバー攻撃調査ツールを国内展開する。同社CEOは、「アラート発生時から5分前までのパケットが重要だ」と話す。

[國谷武史,ITmedia]

 ネットワーク監視製品を手掛ける米Savvius(旧WildPackets)は、セキュリティベンダーのディアイティと共同でネットワークフォレンジック製品「Savvius Vigil Security Appliance」を国内展開する。Savvius社長兼CEOのローレンス・ズルック氏は、「セキュリティ機器のアラートから5分前までのパケットが重要だ」と語る。

 Vigil Security Applianceは、セキュリティアナリスト向けのツールとなる。ネットワークのパケットを常に蓄積し、IDS/IPS(不正侵入検知・防御システム)やSIEM(セキュリティインシデント・イベント管理)などのセキュリティ機器と連動する。機器がアラートを発すると、その前後5分以内のパケットデータからアラートに関するものを探し出したり、状況などを詳しく解析したりできる。

ネットワークの全パケットを常時蓄積して、アラートの前後の分だけを解析に利用する

 上述のアラートから5分前までのパケットが重要になるという理由についてズルック氏は、「サイバー攻撃が疑われるような重要性の高いアラートを調べる場合、アラートが発生する5分前までの通信にその手掛かりのほとんどが含まれている。現場のセキュリティアナリストの多くが『5分以内のパケットで十分』と話しており、米国の金融業界では5分前までのパケットを蓄積しておくことが推奨されている」と話す。

Savviusのローレンス・ズルック社長兼CEO

 サイバー攻撃などを調べるアプローチでは、ネットワークやシステムのログを解析する方法がよくとられる。しかしズルック氏は、ログの情報だけではアラートが発生した後の状況しか分からないと指摘。状況をより正確に把握するには、アラートが発生する直前のパケットデータに注目する必要があるという。

 ただ、ストレージ容量の制約や大半の通信が正常なものであることを考慮すると、膨大な量のパケットデータを全て蓄積することは非現実的。このため同社は、アラート時の前後5分間の全てのパケットだけを利用できるようにしているという。

 「セキュリティ機器から大量に発生するアラートの処理に対応しなければならないというのが、セキュリティアナリストの悩みだ。彼らが必要とするものにフォーカスできるようにすることで、業務の効率化を支援したい」と述べている。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -