ネットワンシステムズは10月25日、LANに接続された機器におけるマルウェアの脅威に対処するセキュリティサービス「Managed Detection and Response(MDR)サービス」を発表した。12月に提供を始める。
新サービスは、同社のセキュリティ監視センター(SOC)が提供しているネットワークセキュリティ装置の運用代行や脅威監視サービスをベースに、顧客企業のLANに接続されるPCなど各種端末でのマルウェア感染の検知や端末の特定・隔離、被害状況の調査までを行う。
実際のサービス内容は顧客企業の希望に基づいて提供するが、主に(1)ファイアウォールの設定の最適化による情報漏えいの抑止、(2)マルウェア感染端末の検知と隔離対応、(3)詳細な解析によるマルウェア感染端末の特定から隔離までの対応、(4)感染端末内部の解析と感染の拡散を抑止する対応--の4つを想定。参考利用料は(1)のケースで月額44万円から、(3)のケースで同64万円からとなる。
「Managed Detection and Responseサービス」の概要
具体的には、(1)の内容ではAlgoSecの「Security Management Suite」を利用してファイアウォールやネットワーク機器の設定ルールやログを収集、分析し、ネットワークの利用実態に即した内容に最適化する。危険性の高いアクセス経路の把握や廃止といった措置を講じて、情報流出のリスクを低減する。
(2)や(3)では、ForeScoutの「CounterACT」やCore Securityの「DAMBALLA Network Insight」を利用してLAN内における不審な通信を監視し、マルウェア感染端末の存在を検知したり、ログ分析などから特定したりして、顧客企業が希望する対処を行う。検知後に自動で感染端末をLANから隔離することできるという。(4)では、Carbon Blackの「Cb Response」を使用して端末内部でのマルウェアの行動を解析したり、類似した状況が他の端末でも発生しているかといった調査を行う。
SOCによるネットワークセキュリティ装置の運用・監視サービスは、2017年1月にスタートし、数十社の企業が利用しているという。記者会見したセキュリティ戦略支援部長の菅原崇史氏によれば、企業からインターネットとLANとの“境界部”の監視だけでなく、LAN内部の監視ニーズも寄せられているとのこと。従来は端末にインストールしたアンチウイルスソフトによる対策が主流だったものの、サイバー攻撃の高度化で情報流出などの被害が多発し、特にセキュリティ要件の厳しい金融や公共分野からの要請が強いという。
ネットワークの境界部を監視代行するサービスは古くからあるが、近年はLAN内部にも監視や対策の運用代行を求める企業が増えているという
これらの業界で新サービスが提供するような対策を自前で講じられるところは、非常に大規模な組織に限られるのが実情だとし、同社が日常的な監視や運用を代行することで、ユーザーの負担を軽減できるという。サービスを活用するには、ユーザー側に一定の知見やマルウェアインシデントにおける対応プロセス、ルールの整備なども求められるが、同社はこうした支援にあたるとしている。
