監視した通信内容を効率的に保存、迅速に可視化
こうして検知された情報は、アラートとしてArbor Spectrumのコンソール画面で確認できる。コンソール画面では、監視対象トラフィックで検知されたインシデントが内容別に色分けされ、時間軸でグラフ化される。その中から気になるインシデントをクリックすることで、当該の通信を行った端末が一覧表示され、端末ごとの通信状況を確認したり、通信内容そのものにまでドリルダウンしたりすることができる。
Arbor Spectrumの画面イメージ
※クリックすると拡大画像が見られます
もう1つ、Arbor Spectrumの大きな特徴と言えるのが、インシデントの事後対応を効率化する機能だ。
Arbor Spectrumでは、怪しい通信として検知したトラフィックはRawデータを残すほか、通信パケットのヘッダとメタデータ化したペイロードも記録しており、過去に遡った調査を可能にしている。つまり、監視カメラのように社内ネットワークのマルウェア活動を監視するのと同時に、マルウェアの活動記録を残しておき、何らかのインシデントが起きた際には、インシデントの発生経緯をスピーディに振り返ることができるというわけだ。
Arbor Spectrumによる内部活動の監視イメージ
※クリックすると拡大画像が見られます
ここでなぜ、ペイロード全体を記録しないのかが気になるところだが、Arbor Networks社の説明によれば、社内ネットワークでのマルウェアの活動を見定めるうえで重要なのはヘッダ部分であり、ペイロードについては、そのすべてを記録してデータの肥大化や可視化のパフォーマンス劣化を招くよりは、メタデータ化されたペイロードを記録として残すほうが効率的とのことだ。
Arbor Spectrumは、同製品以外で異常を検知した際の調査手段としても活用でき、スピーディな情報の可視化により、インシデント調査担当者の業務効率を大幅に向上させることができるという。
さらに、異常が検知できていない「ゼロデイ脆弱性攻撃」への対応も、今後のバージョンアップで予定されている。予定されている新機能では、別途保存しておいた過去の「Rawデータ(生データ)」を、マルウェア活動の最新シグネチャを使って再検査することで、検知されぬまま潜伏して活動を続けているマルウェアを能動的に発見することが可能になるという。
人材が不足しがちなセキュリティ組織の活動を支援
言うまでもなく、標的型攻撃は人による犯罪だ。それだけに、攻撃者の活動の分析は自動化がなかなか難しい領域とされている。
「そのため、最後は人による分析が頼りとなりますが、セキュリティ人材は顕著に不足しており、腕利きの分析官は、頻発するインシデントへの対応に追われ、非常に多忙な日々を送っているのが現状です」と、Arbor NetworksでSEマネージャーを務める佐々木崇氏は語る。
同氏によれば、Arbor Spectrumは、そうした人による分析作業を強力にバックアップするものであり、分析業務の大幅な効率化・迅速化を実現するという。
「例えば、Arbor Spectrumを用いれば、新人の分析官でも、エキスパートに匹敵する量の調査をこなすことができますし、シニアクラスの分析官なら、これまでとはケタ違いの効率で業務がこなせるようになるのです」(佐々木氏)。
標的型攻撃の高度化と多様化に歯止めがかかる兆しはなく、数多くの攻撃者が、多種多様な技術とノウハウを駆使して、さまざまな攻撃を組織に仕掛けてくる。ゆえに、攻撃の分析力を高め、万が一、攻撃によるインシデントを発生させても、適切な対応をスピーディに取れるようにしておくことがサイバーセキュリティの強化には欠かせない。また、その備えが万が一の際の企業ブランドを守ることにもつながる。一方で、優秀なセキュリティ人材が多くの組織で不足しており、攻撃の分析を飛躍的に効率化するツールが不可欠となってきた。
Arbor Spectrumは、まさにそうしたニーズにフィットするソリューションとして、多くの組織のセキュリティ担当者やCSIRT(Computer Security Incident Response Team)の活動を下支えしていくことになりそうだ。その今後に注目が集まる。
