DDoS検知技術を生かした脅威検知ソリューション
サービスプロバイダーやエンタープライズ環境向けにDDoS対策ソリューションと脅威検知ソリューションを展開するアーバーネットワークス。2002年にFlowベース分析による業界初のキャリアクラスのDoS検知ソリューシュンを開発し、以来、ネットワークセキュリティ/マネージメントの分野で優れた製品とサービスを提供してきた。
2007年からは世界最大級のネットワーク監視システム「ATLAS」を構築。インターネットのトラフィックを解析し、そのインテリジェンスをDDoS対策ソリューションの検知能力の向上に生かしている。現在、Tier1と呼ばれるサービスプロバイダー上位層の90%が同社の顧客で、DDoS市場におけるシェアトップのベンダーとなっている。
アーバーネットワークス
SEマネージャ
佐々木 崇氏
佐々木氏はまず、近年のサイバー攻撃の特徴について「攻撃は日々進化しています。防御側は、攻撃者に常に勝ち続けなければいけませんが、攻撃側はある隙間をついて一度だけ勝てばいい。しかも、忍耐力を持ってミッションが完遂するまで攻撃を繰り返します。ネットワークセキュリティ製品やエンドポイントセキュリティ製品だけでこうした攻撃をすべてを防ぐことは不可能です」と解説。
こうした事態に備えてSIEMやフォレンジック製品を導入し、攻撃を受けたあとの被害を最小限にとどめる動きも進んだ。だが、これらを使って影響範囲や根本原因を追求するには専門知識やスキルが必要で時間がかかる。最近の事件を振り返っても、調査の間に被害が拡大するということが現実に起こっている。
「Arbor Spectrum」で攻めのセキュリティ対策を
そんな状況に対し、同社が提案するのがセキュリティプラットフォーム「Arbor Spectrum」だ。同製品は、セキュリティの初心者から経験豊富な担当者に至るまで、あらゆるレベルのセキュリティ部門がネットワーク全体を検索して高度な攻撃を数分以内に発見し、調査ならびに対応できるよう設計された新たなプラットフォームだ。
「Arbor Spectrumで実現できることは、大きく3つあります。セキュリティインシデントに対する迅速な解析・対応、情報漏えいの未然防止、ゼロデイ攻撃の検出です」(佐々木氏)
1つめのセキュリティインシデントに対する迅速な解析・対応というのは、影響範囲の特定やその他の端末への感染活動を瞬時に把握できることを指す。一般に、標的型攻撃を受けて感染源を特定した場合、外部に不正送信する端末を切り離して、セキュリティポリシーを見直し、セキュリティデバイスの機能を再確認するといった対処が行われる。だが、これだけでは対策として不十分だ。不正送信をまだ行っていない感染端末があるためだ。Arbor Spectrumを利用すると、そうした潜伏している感染デバイスまで含めて感染源を検知することができる。
2つめの情報漏えいの未然防止というのは、いわゆるC&Cサーバとの初期の通信確立の時点で被疑端末を特定し、対策を打つことで情報漏えいを未然に防止することだ。通信確立からネットワーク情報の収集、重要情報の収集、実際の持ち出しまではある程度時間の余裕がある。その間に、端末の隔離やアンチウイルスソフトのスキャンと駆除などにより、漏えいを防止するわけだ。
3つめのゼロデイ攻撃の検出は、過去のログデータ(PCAP)を読み込み、最新のシグネチャで検査を行うことで、内部に潜伏している未知の脅威を検出すること。現在潜んでいる未知の脅威を能動的に発見していくことが、将来発生しうる致命的な被害を防ぐことにつながるとする。
佐々木氏は最後に「罠にかかるのを待つのではなく、みずから捕まえに行くセキュリティ対策が求められています」とし、Arbor Spectrumがそれを支援する製品であることを強調した。