中小企業でも安価に効果的なランサムウェア対策ができる！ 「QNAP ADRA」で固める次世代ネットワークセキュリティ（2/5 ページ）

[PR／ITmedia]

PR

QNAP ADRAとは

　改めて紹介すると、「ADRA」はQNAPのエッジスイッチに対応するNDRソリューションだ。対応するエッジスイッチは「QGD-1600Pシリーズ」と「QGD-1602Pシリーズ」で、両者で稼働するOS「QNE Network」にアプリケーションとして導入して利用する。ライセンス料金は米ドル建てで、1年ライセンスが399ドル（約5万2000円）、3年ライセンスが1099ドル（約14万3000円）となる。

• →ADRA NDRサイバーセキュリティ・アプライアンス

　ADRAを使うと、スイッチを経由するトラフィックの包括的なモニタリングを行えるようになる。不審な振る舞いを検知すると、脅威の分析（行われようとしている攻撃の分析）を行うと同時に、不審なトラフィック（≒端末）の隔離までを一貫して行える。

QNAP ADRAの解説動画（日本語）

　QNE Networkは、WebブラウザからアクセスできるWebベースのUI（ユーザーインタフェース）を備えており、ADRAもグラフィカルで分かりやすいUIを備えている。

　ADRAをインストール（有効化）した後、QNE Networkのメニューにある「ADRA NDR」をクリックすると、ADRAのダッシュボード（トップ画面）が表示される。ダッシュボードでは過去1時間〜30日間から現在に至るまでのネットワークのリスク評価はもちろん、物理ポートの状況、脅威のアクティビティーなど、現在の状況を素早く判断するためのサマリー情報がコンパクトにまとめられている。

　ダッシュボードの各項目にはリンクが設けられている。気になる項目（兆候）がある場合は、そのリンクから詳細な情報にアクセスできる。例えば、ダッシュボードの中央にある「高リスク攻撃」をクリックすれば「リスクレベル」の表示に、左下の「ソース／アクティビティ」をクリックすれば「ソースIP」でフィルタリングされた脅威分析の画面が表示される。

ADRAのダッシュボード（トップ）画面はグラフィカルで分かりやすい。Windows、macOSやLinuxのGUIに慣れている人なら、戸惑うことなく操作できるはずだ

エッジスイッチを通るトラフィックにリスクを検出した場合のダッシュボード画面。リスクのあるトラフィックを検知したポートに対して「疑わしい攻撃」のアラートが出ている他、そのトラフィックを発生させているデバイスの数も示されている

ADRAはQNE Network用のアプリケーションとして導入される

　ここからはADRAが備える主要な機能を紹介していく。

脅威分析

　セキュリティ操作の項目にある「脅威分析」では、ADRAがさまざまな切り口で分析した不審な振る舞いと、それに対する処置状況などを確認できる。

　リスクの検出は自動的に行われるため、実際は正常な振る舞いでもリスク認定されることもある。例えば、スマートフォンやタブレットが「ネット接続の有効性」を確かめるために通信を行う際に、一般的に社内のWi-Fiに接続しているスマホ／タブレットは「潜在的脅威」となるため、このようなトラフィックも標準では「中程度のリスク」として検出される。

　リスクではないのにリスクと判定された場合は、脅威分析の一覧にある「除外」アイコンをクリックすることでリスクからの除外操作を行える。

脅威分析では「スキャン」「脅威相関」「ディープ脅威分析」といった脅威検出トリガーや、それに対して講じたアクティビティが一覧表示される

「ディープ脅威分析」によって検出された中程度のリスクは、Wi-Fi接続しているAndroidスマホの接続性チェックによる通信だった。この通信自体は問題ではないのだが、「会社のネットワークに勝手に接続している私物スマホ」だとすると潜在的な情報流出リスクとなりうる

リスク検出は自動かつ安全性重視で行われるため、過検出（誤検出）のケースも考えられる。その場合はアクティビティの右端にあるアイコンをクリックすることで除外操作を行える。除外条件は「シグネチャーID」と「ソースIPアドレス」のペアで設定される。当然、除外操作自体にもリスクが潜んでいるため、警告表示が出る

自動検出された脅威は「高度な検索」を使うことで「（検出）トリガー」「リスクレベル」「ソースIPアドレス」「ソースMACアドレス」などから絞り込める

　脅威分析の内容はCSVファイルとして書き出すことも可能だ。

　設定や対象台数にもよるが、検出された脅威は膨大な数に及ぶこともある。そのため、エクスポート時に1つのCSVファイルに書き出すログを「最大20万行」「最大50万行」「最大100万行」から指定できるため、「CSVファイルが大きすぎて表計算アプリやテキストエディターで開けない」という地味ながらも厄介な問題を回避できる。

　企業によっては、情報セキュリティに関する規則によってネットワークの状況を定期的に取りまとめなければならないこともある。また、個人情報を取り扱う作業を受託／委託する企業では、委託／受託先の企業に対してセキュリティ監査を求める場合もある。これらの作業をする際に、CSVファイルへのエクスポート機能は役立つ。

脅威分析の結果はCSVファイルとして書き出せる（画像は実際に書き出したファイルをExcelで表示したもの）

書き出すログの最大数は事前に設定できる