「Arbor Spectrum」で劇的に向上するセキュリティ業務効率

標的型攻撃の高度化によって、組織のネットワークにマルウェアが侵入するリスクは増大の一途をたどっている。そうしたなか、強く求められている点が組織に潜在する脅威をすばやく検知することとインシデントへの即応力を高めることだ。この2つの課題を一挙に解決しうる次世代型のセキュリティアプライアンスが、Arbor Networksの「Arbor Spectrum」だ。果たして、同製品のアドバンテージはどこにあるのか。その全容に迫る。

重要度を増す侵入前提の対策強化

 相応のセキュリティ対策を講じていても、標的型攻撃によるマルウェアの侵入は100%阻止できない──。標的型攻撃によって名だたる大企業・行政機関が情報流出・漏えいの被害に見舞われるなか、こうした見解が大勢を占めるようになってきた。

 そうしたなか多くの企業・組織がマルウェアの侵入を前提にした製品・ソリューションを求め始めている。つまり、これまでのように境界防衛に軸足を置いたセキュリティ製品・ソリューションだけではなく、組織内部で活動を始めたマルウェアを検知したり、封じ込めたり、駆除したりするソリューションを必要としているのである。

 米国Arbor Networks社の標的型攻撃対策アプライアンス「Arbor Spectrum」は、その時流にピタリとマッチする製品だ。とはいえ、「標的攻撃対策ソリューション」を謳う製品はすでに多くある。果たしてSpectrumの独創性・差別化のポイントはどの辺りにあるのか。疑問を解き明かしていきたい。

DDoS対策で培った脅威インテリジェンスを活用

 Arbor Networksは、2000年創設のネットワークセキュリティベンダーだ。主力は、DDoS攻撃対策製品「Arbor SP(旧称:Peakflow)」。同製品は、Tier1ネットワーク事業者の約9割、各国ネットワークサービスプロバイダーの約7割に導入されており、大手のホスティングプロバイダー/クラウドプロバイダーの間でも広く利用されている。

 こうしたワールドワイドのサイバーセキュリティを強化する目的で、同社は300社以上のサービスプロバイダーと提携、合計140Tbpsにも上るインターネットトラフィック情報を集約する「ATLAS」を構築し、それを通じて脅威インテリジェンスを提供している。Arbor Spectrumも、このインテリジェンスをフルに生かした製品である。

Arbor Networks社のソリューション Arbor Networks社のソリューション
※クリックすると拡大画像が見られます

巨大なC&Cサーバ情報で不正通信をブロック

 今日の標的型攻撃は多種多様な手法を組み合わせながら、長期にわたり実行される。Arbor Networks社によれば、マルウェアの最初の侵入から最終的に情報を持ち出すまでの潜伏期間は平均200日を超えるという。その間、攻撃者は端末に侵入させたマルウェアを外部から遠隔操作してネットワーク内をスキャンし、新たなマルウェアを侵入させたり、他のコンピュータにも感染を広げたりする。そして、経済価値の高そうな情報を探し回り、抜き取っていくのである。このとき、攻撃者がマルウェアとの通信や遠隔操作に使っているのがC&Cサーバとなる。

 このように標的型攻撃の社内ネットワークでの活動は長期に及び、かつ、攻撃者は巧みに活動を隠ぺいするので、その動きはなかなか補足できない。しかも、初期侵入から長い時間が経過すると、発端のマルウェア侵入まで遡って調べることも困難を極める。

 しかしながら、犯罪者がネットワーク内を動き回り、重要情報の在り処を突き止めるまでの期間は情報流出・漏えいの実害が発生するまでの猶予期間と見なすことができる。したがって、この間に社内のシステムとC&Cサーバとの通信をブロックすることができれば、最終的な情報の持ち出しが防げることになる。

 とはいえ、最近ではC&Cサーバの通信が暗号化されているケースが増えており、パケットの中身(ペイロード)をチェックするといった手法では、不審な動きが検知しにくくなっている。そこで必要とされるのが、IPアドレスを手掛かりにしたC&Cサーバの検出だ。

 ATLASでは、世界中の膨大な数のIPアドレスの情報をモニタリングしており、そこからC&Cサーバの最新情報──すなわちIPレピュテーションの最新情報を得ている。そしてArbor Spectrumは、組織内ネットワークを流れるトラフィックを監視し、このレピュテーション情報に基づいて社内のマルウェアと外部のC&Cサーバとの通信を検知するのである。

 こうした仕組み作りが可能なのは、最新のC&Cサーバ情報を把握しているからこそのアドバンテージであり、ATLASを背後に持つArbor Spectrumならではの特徴と言える。また、Arbor Spectrumの場合、社内のマルウェアがC&Cサーバと通信を行う前でも、ネットワーク内スキャンなど、マルウェアによって実行されている可能性の高い通信を判別し、「怪しげな活動」として検知することができ、インライン型のセキュリティ製品とは一線を画す機能を有している。

Arbor Spectrumによる異常通信の検知イメージ Arbor Spectrumによる異常通信の検知イメージ
※クリックすると拡大画像が見られます
提供:アーバーネットワークス株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2017年1月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]