改めて紹介すると、「ADRA」はQNAPのエッジスイッチに対応するNDRソリューションだ。対応するエッジスイッチは「QGD-1600Pシリーズ」と「QGD-1602Pシリーズ」で、両者で稼働するOS「QNE Network」にアプリケーションとして導入して利用する。ライセンス料金は米ドル建てで、1年ライセンスが399ドル(約5万2000円)、3年ライセンスが1099ドル(約14万3000円)となる。
ADRAを使うと、スイッチを経由するトラフィックの包括的なモニタリングを行えるようになる。不審な振る舞いを検知すると、脅威の分析(行われようとしている攻撃の分析)を行うと同時に、不審なトラフィック(≒端末)の隔離までを一貫して行える。
QNE Networkは、WebブラウザからアクセスできるWebベースのUI(ユーザーインタフェース)を備えており、ADRAもグラフィカルで分かりやすいUIを備えている。
ADRAをインストール(有効化)した後、QNE Networkのメニューにある「ADRA NDR」をクリックすると、ADRAのダッシュボード(トップ画面)が表示される。ダッシュボードでは過去1時間〜30日間から現在に至るまでのネットワークのリスク評価はもちろん、物理ポートの状況、脅威のアクティビティーなど、現在の状況を素早く判断するためのサマリー情報がコンパクトにまとめられている。
ダッシュボードの各項目にはリンクが設けられている。気になる項目(兆候)がある場合は、そのリンクから詳細な情報にアクセスできる。例えば、ダッシュボードの中央にある「高リスク攻撃」をクリックすれば「リスクレベル」の表示に、左下の「ソース/アクティビティ」をクリックすれば「ソースIP」でフィルタリングされた脅威分析の画面が表示される。
ここからはADRAが備える主要な機能を紹介していく。
セキュリティ操作の項目にある「脅威分析」では、ADRAがさまざまな切り口で分析した不審な振る舞いと、それに対する処置状況などを確認できる。
リスクの検出は自動的に行われるため、実際は正常な振る舞いでもリスク認定されることもある。例えば、スマートフォンやタブレットが「ネット接続の有効性」を確かめるために通信を行う際に、一般的に社内のWi-Fiに接続しているスマホ/タブレットは「潜在的脅威」となるため、このようなトラフィックも標準では「中程度のリスク」として検出される。
リスクではないのにリスクと判定された場合は、脅威分析の一覧にある「除外」アイコンをクリックすることでリスクからの除外操作を行える。
脅威分析の内容はCSVファイルとして書き出すことも可能だ。
設定や対象台数にもよるが、検出された脅威は膨大な数に及ぶこともある。そのため、エクスポート時に1つのCSVファイルに書き出すログを「最大20万行」「最大50万行」「最大100万行」から指定できるため、「CSVファイルが大きすぎて表計算アプリやテキストエディターで開けない」という地味ながらも厄介な問題を回避できる。
企業によっては、情報セキュリティに関する規則によってネットワークの状況を定期的に取りまとめなければならないこともある。また、個人情報を取り扱う作業を受託/委託する企業では、委託/受託先の企業に対してセキュリティ監査を求める場合もある。これらの作業をする際に、CSVファイルへのエクスポート機能は役立つ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:QNAP株式会社
アイティメディア営業企画/制作:ITmedia PC USER 編集部/掲載内容有効期限:2023年3月14日