日立製作所、サイバー攻撃の拡散検知ソフトを強化 監視能力を向上

「拡散活動検知ソフトウェア」に機能を追加し、「VMware NSX」や「JP1」と連携する。

[ITmedia]

　日立製作所は12月22日、情報システム内での標的型サイバー攻撃の拡散を検知する「拡散活動検知ソフトウェア」の機能強化を発表した。機能強化版は2017年1月31日から提供する。

　同ソフトは2016年6月から提供しているもの。システム内でのマルウェアの「不審なふるまい」と端末やサーバ装置を渡り歩く「拡散活動」の特徴を捉えることで、攻撃の広がりを監視するとしている。

　今回追加されたのは、クラウド上のサーバやクライアントPCなど仮想化環境への適用機能や、ヴイエムウェアのネットワーク仮想化製品「VMware NSX」、日立の統合システム運用管理製品「JP1」との連携強化など。ユーザーは「分析マネージャ」画面から、マルウェアなどがいつ、どの端末から、どの経路で進入したかを一目で把握できるようになる。

　VMware NSXとの連携ではマイクロセグメンテーション機能を利用し、攻撃を検知した仮想マシンを自動的に仮想ネットワークから隔離して、攻撃の影響を局所化できるようになる。JP1との連携では、同ソフトが検知したサイバー攻撃情報を「JP1/Integrated Management」で確認できるようになった。セキュリティ管理製品「JP1/秘文 Device Control」で、攻撃を受けたクライアントPCを物理ネットワークから隔離することも可能という。

「拡散活動検知ソフトウェア」の適用イメージ（出典：日立製作所）

　また、従来は「ネットワーク型センサ」という方式で監視していたが、今回の機能強化に合わせてエージェントを利用した「ホスト型センサ」方式も提供。サーバやクライアントPC内部の動きを詳細に監視し、監視精度を高められるとしている。

　今回の機能強化では、特にマイクロセグメンテーションについて、ソフトウェアによりセキュリティのセグメントを細かく分け、仮想マシン単位までに分割することで、万一標的型攻撃の侵入に直面しても、マルウェアに感染した仮想マシンだけを隔離して、被害を最小化できる。ただし、効果を高めるには巧妙なマルウェアなどのふるまいを迅速に検知できるかがポイントで、今後はクラウドなどあらゆる環境に対応できる検知ソフトが必要になるとみられる。