ウォッチガード、相関分析による脅威検知と自動レスポンスを提供するクラウドセキュリティサービス

　ウォッチガード・テクノロジー・ジャパン株式会社（以下、ウォッチガード）は7日、クラウドベースの新サービス「Threat Detection and Response（TDR）：脅威検知＆レスポンス」の国内提供を発表した。

　米国では1月に発表しているサービスで、同社のネットワークセキュリティアプライアンス「Firebox」などのネットワークセンサー、およびエンドポイントのセンサーから収集したイベント情報を相関分析することにより、ランサムウェアをリアルタイムに検知し、必要な対策をエンドポイントで自動実行して、サイバー攻撃による被害を最小限に抑えられるという。

　ウォッチガード 社長執行役員の根岸正人氏は「2017年はランサムウェアは新たなレベルへと進化し、自己増殖型ランサムウェアであるランサムワームが登場するだろう」と述べ、新たなサイバーセキュリティ対策が必要になることをアピールした。また、統合脅威管理分野において、ネットワークとエンドポイントの検知機能とレスポンス機能の両方をあわせ持つ、唯一のセキュリティーサービスだと強調する。

ウォッチガード 社長執行役員の根岸正人氏

　TDRは以下の4つのコンポーネントで構成される。

　WatchGuard米本社では、次世代型エンドポイントセキュリティを提供する米Hexis Cyber Solutionsの事業部門HawkEye Gを、2016年6月に買収。自社のネットワークセキュリティとの統合を進めてきた。

　今回発表されたTDRは、Fireboxなどウォッチガードが提供するネットワークセキュリティアプライアンスによる「ネットワークセンサー」と、「ホストセンサー」と呼ばれるエンドポイントにインストールするエージェントソフトからの情報を、クラウド上の脅威管理共有基盤に集約し、ヒューリスティクスおよび脅威インテリジェンスを活用して相関分析を実行する。

　検知した脅威情報はリスクと重要度に応じてスコアリングされ、脅威のレベルが高い場合はインシデント・レスポンスを自動的に実行することができる。

TDRの構成

　ホストセンサーはエンドポイントにおいて、特定フォルダ内の実行ファイル情報、レジストリ情報、プロセス情報などをThreatSyncに送信する。ThreatSyncでスコアリングされた脅威フィード（MD5ハッシュ値)はホストセンサー間で共有され、インシデントに対するレスポンス・コマンドの実行（応答）、修復などポリシー設定に基づく自動化処理（検疫/隔離、プロセスキルなど）を実行し、マルウェアの感染を未然に防御する。

ホストセンサーはエンドポイントの情報を取得しThreatSyncに送信する

ホストセンサーの情報はクラウド上の脅威管理共有基盤に集約

相関分析の結果、脅威情報がスコアリングされる

インシデントに対する自動レスポンスアクション、または推奨されるアクション

　なお、ホストセンサーが対応するエンドポイントのOSは、WindowsがWindows Server 2003 SP2以降のサーバーOSと、Windows 7以降のクライアントOSで、LinuxはRed Hat/CentOSのバージョン6/7に対応する。一部のLinuxディストリビューションを除けばWindowsのみが対象となっているが、今後はMacOSへの対応も進めていく予定であるという。

　TDRはウォッチガードの統合セキュリティスイート「WatchGuard Total Security Suite」のパッケージライセンスの中で標準提供される。参考価格は、Firebox M300とWatchGuard Total Security Suiteの1年間のライセンスを合わせて99万7200円。次年度の更新については58万7700円。