ITpro Special ITpro EXPO 2015 review ITpro
ITpro EXPO 2015 review トップ

ITpro Expo:アルチザネットワークス

境界セキュリティを中心とした多層防御では、脅威の侵入を100%回避することはできない。そうした観点から、今インシデント発生後の対応を迅速・正確に行い、攻撃の兆候を見逃さない体制をつくる対策が注目されている。アルチザネットワークスの「etherExtractor(イーサ・エクストラクター)」はそうした対策を支援する製品だ。

株式会社アルチザネットワークス
ネットワークプロダクト開発部
部長
門田 隆之

 標的型攻撃や内部関係者による情報の持ち出しなどに対し企業では、例えば次世代ファイアウォールやIDS/IPS、サンドボックス、さらにはクライアント保護ツールなど、多大なコストと時間をかけて対策を講じている。しかし、このような多層防御を施しても、脅威の侵入を100%防げるわけではないというのが実情だ。

 「重要なのは、これまでの防御に偏重したセキュリティ対策から脱し、攻撃される前提に立ってインシデント発生時の事業継続性や業績へのインパクトも考え合わせた対策を検討することです」とアルチザネットワークスの門田隆之氏は語る。その際の有効なアプローチが、ネットワークに流れる全パケットを保存して証拠保全を行う方法だ。

ネットワーク内を流れる通信パケットを完全に記録

 アルチザネットワークスの提供する「etherExtractor」は、まさにそうしたアプローチによる対策を支援する製品。特長は、パケットデータのヘッダやペイロードを含めて、一切のロスなく完全な状態でキャプチャし、保存できること。例えばマルウエアの感染元がどのファイルなのか、不正に持ち出されたのはどのデータか、あるいは誰がファイルにアクセスしたかなど、発生したインシデントに関わるあらゆる事象を正確に再現できる。

 「仮に、最大100万人分の顧客データが収められたシステムで情報漏洩が発生した場合、企業は『顧客データが100万人分が漏洩した可能性がある』と発表せざるを得ません。

 しかし、全てのパケット情報がキャプチャされていれば、例えば漏洩データは2万3500人分だったと正確に事実を把握できます」と門田氏は説明する。被害が100万人と2万数千人では、経営に及ぼすインパクトも大きく異なる。従来は“グレー”にならざるを得ない事象についても、その実態を明確にできるのがetherExtractorの重要なメリットである。

 さらに、データ分析プラットフォームの「Splunk(スプランク)」を用いて、様々な機器やシステムで取得したログデータに加え、etherExtractorでキャプチャし保存したパケットデータを合わせて、統合的に分析することも可能だ。フォレンジック調査はもちろんのこと、インシデントの発生に関わる予兆把握につなげることもできる。

 「防御偏重の対策に多大なコストや人を投入するケースに比べて、攻撃されることを前提とした対策では、関係あるリソースをより効率的に使うことができ、さらに事業継続性やリスク回避といった観点でも、より大きな効果が得られます」と門田氏は改めて強調する。

■etherExtractorとSplunkの活用イメージ
etherExtractorがパケットをキャプチャし、Splunkがマシンログを収集・分析・可視化する。
[画像のクリックで拡大表示]
お問い合わせ