ネットワークバリューコンポネンツ

脅威の検出から有事対応、フォレンジックまで
NDRソリューションで網羅的に対処

ランサムウエアをはじめとするサイバー攻撃の中には、長期にわたり組織内部に潜伏するものが少なくない。
つまり現時点で被害が生じていなくとも、安心してしまうのは禁物なのだ。
この状況に対してネットワークバリューコンポネンツは、米ExtraHop社のNDR製品「ExtraHop Reveal(x)」を提供。
ネットワーク内に潜む脅威の検知からインシデント対応、フォレンジックに至るまで、
トータルなセキュリティー対策の実現をサポートする。

ネットワーク全体を
「面」で監視・可視化するNDR

ネットワークバリューコンポネンツ株式会社 ソリューション企画本部 情報処理安全確保支援士 飯田 竜司氏
ネットワークバリューコンポネンツ株式会社
ソリューション企画本部
情報処理安全確保支援士
飯田 竜司
 攻撃手法の悪質化・巧妙化が進む中、脅威の侵入を100%防ぎきることは極めて困難になっている。セキュリティー被害に遭わないようにするためには、内部に侵入したマルウエアをいち早く検知し、迅速に対処することが重要だ。これを可能にするソリューションが「NDR(Network Detection and Response)」である。

 「似た概念に『NTA(Network Traffic Analytics)』がありますが、こちらは主に脅威や異常の検出に特化したものです。これに対しNDRは、検知した脅威がどういうものなのか、正常なトラフィックとどう違うのかを分析し、さらにその後のインシデントレスポンスまでをトータルにカバーします」とネットワークバリューコンポネンツの飯田 竜司氏は説明する。

 侵入した脅威の検知・対応と聞くと、EDRを思い浮かべる人が多いだろう。確かに目的はどちらも同じだが、監視対象領域に違いがある。エンドポイントデバイスの内部を監視するのがEDR、エンドポイントを含むネットワーク内の通信全体を可視化するのがNDRで、それぞれ対象領域が異なるため、併用することが望ましいという(図1)。  「従来のIT環境では、端末とサーバーの間の縦方向の通信が主流でした。しかし近年は、データセンター・本社・クラウドサービスなどの間の、横方向のトラフィックも増えています。NDRではこれらを『面』で監視することで、高度な脅威にも対処できるようにします」と飯田氏は言う。

70種類以上の
プロトコル&
暗号化通信に対応

 ネットワークバリューコンポネンツは世界中の最新セキュリティー製品を発掘し、国内市場に投入している。NDR分野で提供するのが、米ExtraHop社の「ExtraHop Reveal(x)」[以下、Reveal(x)]だ。

 機械学習とルールベースの検知エンジンの両方を使って、リアルタイムに状況を可視化する。ネットワーク内で稼働するデバイスを検出・分類する機能も備えており、万一、管理者が把握していないデバイスが存在した場合も、自動で検出して対処につなげることが可能だ。そのデバイスがどのような通信を行っていたかも調査できる。

 また、ネットワークの輻輳やサーバーエラーも検知可能。パケットキャプチャ方式でデータを収集するため、業務環境に影響を与える心配もない。最大100Gbpsのトラフィックに対応できるため、過酷な通信環境下でも問題なく利用することが可能だ。

 「市場にある多くのNDR製品は、NTAをベースに開発されています。一方、Reveal(x)はネットワークパフォーマンスのモニタリングを行う製品がベースのため、安全性に加えて通信負荷などの監視も可能。セキュリティー視点だけでは気付けない問題を察知できるほか、トラブルの際はネットワークトラブルかセキュリティーインシデントかの切り分けも迅速に行えるのです」と飯田氏は語る。

 さらに注目したいのが、監視可能な通信方式の多さである。POP3、SMTPといった一般的なものから、データベース系やファイルサーバー系、認証系まで70種類以上のプロトコル、5000以上のメトリクスに対応する。

 「Reveal(x)は、多くの製品が対応していないTLS1.3を含めたSSL通信の復号化が可能。そのほか、ユーザー認証や社内ポータルサイト/Webシステム、ファイルサーバーなどで用いられる暗号化プロトコルも復号できます」(飯田氏)。守るべき通信は暗号化されていることが多い。そのため、暗号化通信への対応が弱いと十分な効果が上げられないが、Reveal(x)なら、暗号化通信に潜んだリスクもしっかりチェックすることが可能だという。

インシデント対応、
フォレンジックにも
活用できる

 加えてReveal(x)は、脅威検出後のインシデントレスポンスに役立つ機能も多数備えている。

 「インシデント発生の起点になったイベントはもちろん、その前後にどのような行為が行われていたかも検知し、攻撃の流れを時系列で表示します。また、発報したアラートについても、『なぜ危険なのか』『どのような攻撃なのか』を具体的に指摘し、とるべき対処方法をアドバイスします」と飯田氏は説明する(図2)。  例えばランサムウエアに侵害された場合は、どのファイル/ディレクトリが暗号化されたかを速やかに特定する必要がある。これをファイルサーバーのログ解析で行おうとすると相当な時間がかかるが、Reveal(x)であればログなしで、必要な情報を瞬時に取得することが可能だ。

 フォレンジックにも活用できる。一般に、フォレンジックを行う際には、サーバーやセキュリティー製品から大量のログを収集し、これを突き合わせて初めて侵害の証拠として使えるようになる。複数の機器をまたぐ作業には、膨大な時間と手間が必要だ。

 「その点Reveal(x)は、脅威の検知からフォレンジックまで一連の機能を備えているため、あらかじめフォレンジックを見据えたログの突合や解析が行えます。これにより、何かあった際も問題の早期解決につなげることが可能です」と飯田氏は強調する。

 情報は分かりやすいユーザーインタフェース上で表示される。侵害を受けたデバイスの詳細や、不審なアクティビティの一覧を確認したり、膨大なトラフィックの中から調査に必要な情報に素早くアクセスしたりすることができるだろう。

 サイバー攻撃が高度化する中、サーバー、デバイスだけでなく、多岐にわたるネットワーク環境を可視化することの重要性が高まっている。Reveal(x)を活用することで、入り口・出口だけでなく、ネットワーク内で水平展開する脅威の活動も横断的に捉えることが可能になるだろう。リスク低減を図りたい企業は、ぜひ検討してみることをお勧めする。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
株式会社ネットワークバリューコンポネンツ URL:https://products.nvc.co.jp/extrahop/inquiry