日立製作所は6月6日、情報システム内における標的型サイバー攻撃の拡散を検知するソフトウェアの提供を6月30日から開始すると発表した。
ソリューション概要イメージ
このソフトは、システムの多層防御を強化する内部対策製品に着目し、専門家の継続的なメンテナンス作業を必要とせず、情報システム内に侵入したマルウェアの標的型サイバー攻撃を自動的に検知する拡散活動検知ソフトウェア。
具体的には、このソフトウェアを管理サーバにインストールすることで、端末におけるマルウェアの拡散活動を検知する。ソフトウェアには2つのエンジンが搭載されており、まず「機械学習型エンジン」が各端末の正常なふるまいを学習し、自動的にそのふるまいから逸脱する異常な端末を検出。その後、「攻撃拡散分析エンジン」により、その異常なふるまいをする端末と通信する他の端末の動きを全体的に分析し、異常なふるまいが連動していないか確認する。
正常なふるまいの自動学習によって逸脱する異常な端末を判定するため、最新のマルウェア情報の入力や専門家によるチューニングなどを必要とせず、日々巧妙化する標的型サイバー攻撃への対応を可能にする。という
主な特徴として、「機械学習型エンジン」と「攻撃拡散分析エンジン」により、攻撃者が起こす異常なふるまいと拡散活動から標的型サイバー攻撃を自動で検知する点を挙げた。2つのエンジンは、情報システムを通常利用する際の通信情報などを自動的に学習して攻撃を検知するための手がかりとすることにより、最新のマルウェア情報を用いずに、巧妙な攻撃手法を用いた標的型サイバー攻撃などに対しても、高い精度での攻撃検知率を実現しているという。日立では、実証実験を通じて検知率90%以上の成果を確認しているとのこと。
-
また、正常なユーザーが普段と違う操作をした際に攻撃として誤検知しないよう、「攻撃拡散分析エンジン」によって複数端末の挙動を俯瞰して監視し、情報システム内部で標的型サイバー攻撃の拡散活動を行う際に見られる、複数端末での異常なふるまいの連鎖を分析する。これにより、高い攻撃検知率を保ちつつ、誤検知率を単純なふるまい検知型製品の10分の1に低減したという。
さらに自動学習の成果に基づいて 標的型サイバー攻撃を検知するため、サイバー攻撃対策製品に必要な、複雑なパラメータ調整やルール設定を必要としない運用を実現したとアピールしている。
なお、このソフトは以下の2製品と連携し、検知および対処の機能として役立てることが可能という。
- アラクサラネットワークス「AX260A」
- 日立ソリューションズ「秘文 Device Control」
アラクサラネットワークスが販売する、ホワイトリスト機能を搭載した小型アプライアンス「AX260A」と連携し、センサとして役立てることが可能。AX260Aが、ホワイトリストに登録されていない異常な通信フローを検出して拡散活動検知ソフトウェアへ送信することで、情報システム内の端末にエージェントソフトウェアなどをインストールしなくても、標的型サイバー攻撃を検知できるようになる。
日立ソリューションズが販売する情報漏えい防止ソフトウェア「秘文Device Control」と連携し、検知された攻撃に対処することが可能。秘文 Device Controlが、拡散活動検知ソフトウェアからの検知情報を受信すると、攻撃の起点となっている端末をネットワークから切り離し、攻撃者が重要情報を持ち出す前に攻撃を頓挫させ、情報資産をを保護する。