ネットワークでセキュリティ脅威を監視、可視化し、その対応を行うNDR(Network Detection and Response:ネットワーク検知/対応)ソリューションベンダーの米ExtraHopは、2021年に入り日本市場での事業展開を本格化させるという。
同社は、F5 Networksでシニアソフトウェアアーキテクトを務めたJesse Rothstein氏(現最高技術責任者)とRaja Mukerji氏(現最高顧客責任者)が2007年に共同で設立し、米国シアトルに本拠を置く。元々はネットワーク監視ツールを手掛けていたが、監視対象をセキュリティの脅威に特化し、機械学習技術を加えることで、NDRベンダーに転身した。現在はグローバルで5000社近い顧客を抱える。日本への進出は2020年で、ファイア・アイやメンロー・セキュリティの日本事業立ち上げなどを担当した福山貴也氏がカントリーマネージャーを務める。
ExtraHop Networks Japan カントリーマネージャーの福山貴也氏
特定の組織を標的にするサイバー攻撃者は、まず組織関係者のPCなどへ侵入し、密かにPCなどを遠隔操作しながら、組織内ネットワークを通じて侵入範囲を広げ機密情報など探し、目的の情報を盗み取る。あるいは、その組織のITシステム環境に損害を与えてビジネスにダメージを与えるようなこともある。
国内セキュリティ市場では、2010年代半ばからPCやサーバーなどのエンドポイントにおいて脅威を監視、可視化し、その対応を行うEDR(Endpoint Detection and Response)ソリューションの人気だ。上述したタイプの標的型サイバー攻撃は、攻撃者が密かに巧妙な手口を駆使することから検知が難しいとされる。そこで、エンドポイント機器の状態を監視し、異常が疑われる怪しい兆候を検知したら、その調査と対応を行うEDRが注目を集めてきた。
ExtraHopが手掛けるNDRは、用途や主な機能などはEDRと似ているが、監視対象が組織のネットワークになる。福山氏は、「境界防御型のセキュリティシステムでは、組織ネットワーク内の70%が『ブラインドスポット』になり。攻撃者に境界防御を突破されると手が打てなかった」と指摘する。このため、IT環境の至るところで脅威を監視する必要性が生じた。
ソリューションとしては、まずITシステムのさまざまなログや関連情報を集めて相関性などを分析する「SIEM(セキュリティ情報イベント管理)」ソリューションが2010年頃に登場した。次にPCサーバーなどを監視するEDRが登場し、現在はその普及時期に入りつつある。エンドポイントの大半はネットワーク接続を伴う。そこで、ネットワークを監視するNDRがEDRの後に続いて登場した格好だ。SIEM、EDR、NDRはそれぞれ補完関係にあり、これらがそろって、IT環境を広くカバーするセキュリティ監視システムになるという。
ExtraHopの場合は、「ExtraHop Discover Appliance」という機器をスイッチのミラーポートに接続し、ネットワーク上のパケットを解析してベースラインとなる“常態”を定義する。70種以上のプロトコルに対応した解析と5000種以上のメトリクス、機械学習でベースラインは常に最適化され続けるという。これにより、シグネチャーベースに比べて検知精度を高めやすく、運用の負荷も小さいとする。
脅威の検知は、ネットワークのリアルな状態をベースラインに照らして行う。例えば、従業員がファイルサーバー内の特定のファイルにアクセスしてコピーなどの操作を行ったとする。それが、ベースラインとして設定されている日時などの条件に合っていれば脅威の可能性は低いが、外れていれば可能性が高いとなる。
管理画面
検知後はセキュリティ担当者などが管理画面上で時系列に状況を確認し、一連の行動や使った手法などについて、国立標準技術研究所(NIST)のサイバーセキュリティフレームワークやMITRE ATT&CK(攻撃者が用いる技術や戦術などを体系化したもの)に基づく詳細情報を提供する。担当者はこれらを手がかりに行動分析や遮断、情報の保護などの対応行動をする。
また、ネットワークに接続しているデバイスのリストアップや、例えば、暗号化通信で適用している暗号強度を分析して弱い場合に強いアルゴリズムへの変更をアドバイスするなど機能も備える。これらは、サイバー攻撃に晒されにくい状態「サイバーハイジーン(サイバー衛生)」を確保するものになるという。
現在はパートナー開拓を進めており、福山氏は早期に十数社の顧客を獲得したいと話す。米国ではSaaSとしてもNDRを提供しており、日本では未定ながら検討していくとしている。
