情報セキュリティ戦略セミナー2019 Review
開催日:2019年9月27日 会場:ホテル雅叙園東京

The Enterprise Immune
System:
世界をリードするサイバーAI

ダークトレース・ジャパン

サイバー攻撃対策最新技術

教師なし機械学習によってネットワーク全体の「生活パターン」を把握・可視化し、未知の脅威を自動的に検知・遮断できる新機軸のセキュリティソリューションが紹介された。

従来の境界型防御では防ぎきれなくなったサイバー攻撃

ダークトレース・ジャパン アカウントエグゼクティブ 寺坂 健太郎 氏

ダークトレース・ジャパン

アカウントエグゼクティブ

寺坂 健太郎

「サイバー攻撃から企業や組織のシステムが狙われる脅威は、進化し続けています。最近は、従来からのセキュリティ対策や製品では攻撃を防ぎきれなくなってきました」と、寺坂氏はセキュリティの現状の紹介から講演を始めた。最近のサイバー攻撃の特徴として寺坂氏は、「外部からはIoTによって攻撃対象が増え、さらに内部からはデータ漏えいなど社員が関与するインシデントが増えています」との分析を示した。

 このような状況で外部からの脅威に備えるには、「攻撃を素早く検知し、どのような時系列でどのデバイスがどんな攻撃を受けたのかを可視化する対策が求められます」と説明。さらに、内部からの攻撃に関して、「退職予定者が情報を持ち出そうとする行為を監視したり、国内外の拠点における想定外のIT利用を監視するなどの対策が必要になってきます」と説明を加えた。

 外部からの攻撃には、ファイアウォールやIDS/IPS、アンチウイルスなどの製品で侵入を防ぐことが必須だった。しかし、これらの製品では過去に他社が受けた攻撃(既知の攻撃)パターンしか検知できない。最近では新型のマルウェアが次々と作られているため、もはや既知の攻撃パターンを検知するだけでは侵入は防げない。また、内部からの攻撃は静かに内密に行われるため、ほとんどのケースで情報が漏えいするまで気がつけず、事前に検知できない。

「いずれも、従来型の手法では、ゼロデイ攻撃など最新の攻撃からシステムを守ることは難しく、セキュリティ対策にも限界が見えてきました」(寺坂氏)

免疫機能を活用した異常自動検知のソリューションを提供

 こういった脅威に対してダークトレースでは、免疫機能に着想を得た自己学習型サイバーAIソリューション「Enterprise Immune System」を提供する。免疫機能とは、人間の免疫細胞ががん細胞を異物として見つけ出すように、内部ネットワークの普段の状態と異なる通信を可視化する機能だ。Enterprise Immune Systemでは、まず対象となるシステムの定常状態を、教師なし機械学習で学んでおく。そして、正常時とは異なる稀な通信が発生すると、その動きをリアルタイムに検知して可視化する。

「ダークトレースが提供する未知の脅威への対策は、出入口のチェックではなく、社内ネットワークを完全に可視化して異常を検出する、自己学習型のアプローチです。最近はEDRなど、機械学習でセキュリティを強化するアプローチが増えています。ですが、これらは従来型のルールやシグネチャなどに依存します。それに対して、ダークトレースが提供するソリューションは、個々のお客様の環境にとって何が正常で何が異常かを判断し続けることで、脅威を与えるような兆候を常時監視します」(寺坂氏)

 製品はソフトウェアと一体になった、ハードウェアのアプライアンスで提供される。別途個別の端末にエージェントをインストールする必要がないので、設置も1時間ほどで終えることができ、アプライアンスを監視対象の内部ネットワークのコアスイッチに繋ぐだけで動作が開始される。

「Enterprise Immune Systemはインラインに設置する必要がないので、システムを止める必要がなく通常業務に支障をきたしません。これによって、金融業や製造業のネットワークにも容易に導入できます。また、親機・子機の構成が可能なので、別拠点に子機を設置した一元的なネットワーク監視も可能にします」(寺坂氏)

 外部から遮断された工場系のネットワークであっても、内部不正がいつ起きるかわからない。そこで、ダークトレースにはエンタープライズ向けのソリューションだけでなく、工場系のネットワークを対象としたソリューションも用意されている。閉域網における正常時のネットワークの動きを学習し、万が一の異常を検知する。

「近年、製造業ではIoTデバイスが攻撃の踏み台にされているというニュースが多く見られますが、そのような行為もダークトレースならきちんと検知できたという実績があります」(寺坂氏)

ダークトレースが提供するソリューションは、ネットワーク全体をブラウザ上で可視化。検知した脅威をリアルタイムに発見したり、過去に遡った解析・評価も可能になる

ダークトレースが提供するソリューションは、ネットワーク全体をブラウザ上で可視化。検知した脅威をリアルタイムに発見したり、過去に遡った解析・評価も可能になる

画像を拡大する

脅威を検知する仕組みを事例を交えて紹介

 ここで寺坂氏は、Enterprise Immune Systemがどのように脅威を検知するのかについて、これまでの事例を交えながら説明を続けた。

 検知例1では、ある企業において、リモートログインサービスに使われるTeamViewerを、システム管理者に無断で端末にインストールしていた社員がいた。その端末は定期的にTeamViewer宛に通信しており、同社のIT環境内では大きく外れた動きであった。「TeamViewerは脆弱性を突いた攻撃や乗っ取り被害が相次いでいるため、ダークトレースは該当社員への確認を推奨しました」(寺坂氏)

 検知例2では、ある社員がリモートデスクトップを使用し、内部の端末に対して36.2MBにもなる大量のデータ転送を行っていることが検知された。「リモートデスクトップは、業務上必要であれば問題はないのですが、セキュリティ上の設定を誤っていた場合は大きなリスクとなり、他人が操作している可能性もあります。そのため、ダークトレースは該当社員への本作業の確認を推奨しました」(寺坂氏)

 検知例3では、ある社員が内部サーバーから410MBのデータをダウンロードした後、すぐにDropboxへ452MBのデータをアップロードしたことが検知された。「通常業務の中では極端に大きなデータ転送であり、ダウンロード後すぐに外部ストレージにアップロードしたことから内部不正の可能性があるため、ダークトレースは該当社員への確認を推奨しました」(寺坂氏)

 寺坂氏は最後に、「お客さまのシステム環境において、何が正常で何が異常かは実際に機械学習で学んでみないとわかりません。無償評価プログラムでは約1週間の学習期間後、週に一度3回にわたってリモートでアナリストが調査し、検知されたインシデントとその原因・対応策についてレポートを作成します」と、ダークトレースが行っている「1カ月無償評価プログラム」について紹介し、講演を終えた。

「2019年脅威ケーススタディ」最新レポートはこちらから

情報セキュリティ戦略セミナー
2019 Review

- INDEX -

「2019年脅威ケーススタディ」最新レポートはこちらから

お問い合わせ先

ダークトレース・ジャパン株式会社

お問い合わせURL

URL ● https://www.darktrace.com/ja/

Mail ● japan@darktrace.com

お問い合わせはこちら

このページのトップに戻る