セキュリティもパフォーマンスも完全可視化
SOC/NOCを強化するReveal(x)
ExtraHop Reveal(x)は、ユーザーから特に高い評価を受けており、同社の記録的な成長をけん引したNDRソリューションである。大規模環境の膨大なデータも容易に対応可能で、セキュリティとパフォーマンスの双方に関する洞察を抽出でき、展開も柔軟でニーズに合わせやすい。TLS暗号通信なども高速に復号し、素早いインシデントレスポンスを可能とする。
Reveal(x)は、機械学習技術を用いてネットワークのベースラインを常に学習し、トラフィックをリアルタイムに解析して、異常な振る舞いを検知する。ネットワーク上のデバイスを自動的に分析し、役割によって分類する機能も有している。もちろんモバイルでもIoTでも商用サーバーでも、何でも監視対象になる。対応プロトコルが非常に多いのも特長で、プロトコル解析によって5000種類以上のメトリック情報を抽出可能だ。
展開モデルは多彩で、本体はオンプレミス型の「Reveal(x) Enterprise」とSaaS型の「Reveal(x) 360」の2種類が用意されている。
オンプレミス型の場合、データ収集を担う「ExtraHop Discover Appliance(EDA)」と、トランザクション・レコードの情報を保持する「ExtraHop Explore Appliance(EXA)」という2種類のアプライアンスを導入する。膨大なリソースを必要とする機械学習はExtraHopのクラウド上で動作するため、スケールメリットを活かした解析処理が可能となる。スイッチのミラーリングポートにEDAをつなぎ、EXAと連携するだけでよいため、既存の環境に与える影響は最小限だ。このアプライアンスは非常に高性能なモデルも容易されており、最大で100Gbpsのスループットを発揮する。内部ネットワークに数十Gbpsクラスの高速な環境を整備している組織も多いが、Reveal(x)であれば1台で十分に対応可能というわけだ。
SaaS型は、機械学習やトランザクション・レコードを保持するレコードストア、コントロールプレーンなどの各種機能をクラウドサービスとして利用するタイプである。監視対象の環境にセンサーを配置する必要はあるが、EXAの機能がクラウド上で利用でき、オンプレミス型に比べ、より長期間のトランザクション・レコードの保持期間を実現できるほか、複数のEDAを導入した際にも、クラウド上で管理が容易となる特長がある。
「素早くインシデントに対応し、素早く現状を把握して復旧するには、SOCとNOCの連携が欠かせません。Reveal(x)のセキュリティ情報とパフォーマンス情報の双方を可視化できるという特徴は、非常に大きなメリットです。SOCチームとNOCチームの双方が利用するインテリジェントプラットフォームとして機能し、運用のサイロ化を解消します。コラボレーションプロセスを確立し、スキルやベストプラクティスを共有することも可能で、IT運用を大幅に効率化できます」(福山氏)
Reveal(x)のインターフェースは使いやすいのも特長で、インシデント検知後も数クリックで攻撃の活動や被害の状況を詳細に調査できる。EDRや次世代ファイアウォールなどとも連携し、端末を隔離したり、通信をブロックしたりすることも可能だ。これによりSOC/NOCの活動はさらに効率化され、インシデントレスポンスを高速化できることだろう。
「ExtraHopのNDRは、暗号化されたセッションを含めて企業全体をリアルタイムに可視化できるため、セキュリティアナリスト・SOCマネージャー・経営者が、それぞれ優先度の高い脅威・攻撃対象・重要な資産に焦点を当てて対策を講じることが可能となります。既知・未知の脅威をリアルタイムに検出し、容易な操作で効率よく調査して、素早く対応・復旧にかかれるようになります。洗練された攻撃者に対し、企業や企業のSOCチームが優位性を取り戻すためのソリューションなのです」(福山氏)
