対策連携は自動化がトレンド
現在のセキュリティ対策では、アンチウイルスやファイアウォール、不正侵入検知/防御システム(IDS/IPS)、サンドボックスといった個々の製品を連携させる取り組みが進む。NICTのNIRVANA改は、連携製品が検知した攻撃の情報を集約、分析し、防御までを実行するプラットフォームで、会場のネットワーク基盤「ShowNet」のネットワーク監視センター(NOC)でのセキュリティ監視にも用いられている。
NIRVANA改が連携する製品は、開発当初は数種類だけだったが、今回のInteropでは19社34製品にまで拡大。機能面でもセキュリティ担当者が、膨大なアラートを効率的にフィルタリングするルールを柔軟に設定したり、検知前後の攻撃の状況をタイムラインに沿って再現することで、詳しく分析したりできるようになった。
NIRVANA改と連携する製品が会場内からのランサムウェアとみられる通信を検知した
NICTブースの講演では、Interop会場内の攻撃状況をNIRVANA改から詳しく分析していく様子が紹介。デモンストレーションの最中に、ランサムウェアに感染しているとみられる出展企業の端末からの通信が発見され、聴講者からどよめきが起きるハプニングもあった。
NIRVANA改と連携する製品の出展社もInteropの特別賞を受賞した。例えば、人工知能(AI)技術を利用したPC向けのマルウェア対策製品「CylancePROTECT」を手掛けるサイランスは、一部の出展社に製品を提供。端末からの通信をNIRVANA改で監視し、不審な兆候を検出した場合に製品側の情報を活用して詳しい調査ができるという。
会場内にあるCylancePROTECTが導入された端末では、取材時点でマルウェアが検知されていないが、「迷惑アプリケーション」と呼ばれる対応判断が難しいソフトウェアの通信がいくつか検出されていた
またアラクサラネットワークスが出品した「サイバー攻撃自動防御ソリューション」は、ネットワークセグメントごとの設定や、マルチレイヤによる監視、ポリシーに基づく通信の自動遮断やセグメントの隔離、ネットワークフォレンジックなどが行える。会場では、個人情報のリストファイルを誤って送信したメールをセキュリティソフトで検知し、このアラートを受信したNIRVANA改からネットワークコントローラを制御して、送信をブロックするデモンストレーションが紹介された。
アラクサラネットワークスのソリューションでは、国産セキュリティ製品群とも密に連携するセキュリティシステムを構築可能という
