編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る

ネットワールド、標的型攻撃対策製品とUTM専用機の自動連携プログラム提供へ

NO BUDGET

2016-12-19 13:20

 ネットワールドは12月15日、標的型攻撃対策製品「RedSocks Malicious Threat Detection(RedSocks MTD)」で不正な通信を検知した際、統合脅威管理(UTM)アプライアンス「Fortinet FortiGate」で自動遮断できる連携プログラムを独自開発したと発表した。2017年1月から連携プログラムを無償で提供する。

 RedSocks MTDは、NetFlowやIPFIXでインターネットへのアウトバウンド通信のフロー情報を監視し、広範囲で高精度なブラックリストとヒューリスティック検知でチェックし、悪意あるサイトなどへの不正な通信をリアルタイムに検知するという。

 アラート情報から遮断すべき宛先のURLやIPアドレスの特定に加えて、端末の特定、脅威の内容が把握できるため、直近の脅威に対応できると説明。フロー情報を長期保存し、過去のアクセス状況を遡って確認もできるため、フォレンジックとしても活用できるとしている。

 RedSocks MTDのユーザー企業から、検知した不正通信が脅威レベル1の場合に、システムを自動遮断する仕組みの提供を要望するケースが多くなり、対応が急がれていた。

提供されるプログラムでの連携イメージ(ネットワールド提供)
提供されるプログラムでの連携イメージ
1.RedSocksで不正な通信をリアルタイムに検知し、アラートを出力、連携プログラムにプッシュ通知する
2.脅威レベル1の場合、連携プログラムからFortiGateにコマンドを発行
3.FortiGateで該当する宛先への通信を即座に自動で遮断
(ネットワールド提供)

 攻撃者の行動や手口、狙っているシステムの脆弱性などの情報を標準化された方法で記述する“脅威情報構造化記述形式(Structured Threat Information eXpression:STIX)”があり、このSTIXで記述された攻撃活動に関連する脅威情報を交換するものとして“検知指標情報自動交換手順(Trusted Automated eXchange of Indicator Information:TAXII)”がある。

 ネットワールドは、STIXやTAXIIにのっとることが今後の標準になるとみる。RedSocksはSTIX/TAXIIに対応しているが、インプットとアウトプットの両方に対応しているセキュリティベンダーはまだ多くないという。自動遮断するには、RedSocks MTDからのアラート情報を受け取るインプットでほかのセキュリティベンダーのSTIX/TAXII対応が待たれていると説明している。

 こうした状況を受けて、RedSocksのディストリビューターであるネットワールドは、 FortiGateとの自動遮断連携プログラムを開発、無償で提供することになった。同プログラムの提供は、商用利用のみ。

 提供方法は、ネットワールドの専用問い合わせフォーム、または、同営業担当経由で利用申し込みを受け付け、その後、ダウンロード専用サイトが案内される。同プログラムは、プログラム自身に対する保守サポートの提供はない。ネットワールドとRedSocksは、事前に動作確認しているが、動作保証はしない。各種カスタマイズは、別途有償対応となる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]