カスペルスキー、高度な標的型攻撃の発見を可能にする法人向けセキュリティ「Kaspersky Anti Targeted Attack Platform」

　株式会社カスペルスキーは20日、組織のITインフラ全体を監視し、高度な標的型攻撃をはじめとするサイバー攻撃を発見する新ソリューション「Kaspersky Anti Targeted Attack Platform」の提供を開始した。法人を対象とし、パートナー企業経由で販売する。

　Kaspersky Anti Targeted Attack Platformは、インターネットゲートウェイからメール、ウェブおよびエンドポイントまで、組織のITインフラを総合的に監視し、標的型攻撃をはじめとする高度で巧妙なサイバー攻撃を発見するソリューション。攻撃の痕跡を断片的な視点で見るのではなく、ほかの痕跡との相関分析を行うことで重大な攻撃を発見し、深刻な被害を未然に防ぐ。

「Kaspersky Anti Targeted Attack Platform」全体構成図

　製品は、情報を収集するセンサーと、分析するためのセントラルノード、サンドボックスの3つのコンポーネントで構成される。ITインフラ全体から情報を収集するためにセンサーを分散して配置し、収集した情報をKaspersky Labのインテリジェンス、マシンラーニングテクノロジーを組み合わせたセントラルノードと、独自開発のアドバンスドサンドボックスで分析する。

　ネットワーク、メールセンサーは、インターネットゲートウェイのミラーポート（TAP）からトラフィックの情報を、ウェブ通信（HTTP）とメール通信（SMTP/POP3）からオブジェクトを抽出し、分析するためにセントラルノードに転送する。

　エンドポイントセンサーは、エンドポイントのプロセス、通信、疑わしいオブジェクトとメモリイメージを、分析するためにセントラルノードに転送する。他社のウイルス対策製品がインストールされていても導入できる軽量のエージェントも用意しており、法人向けエンドポイント製品「Kaspersky Endpoint Security for Windows」をセンサーとして利用することもできる。

　セントラルノードとアドバンスドサンドボックスで得られた分析結果は、セントラルノード内の標的型攻撃アナライザー（TAA）で相関分析し、相互に紐付けられたインシデントの全体像として管理画面上に表示する。インシデントは脅威の深刻さに応じて重要度が評価され、対応すべき優先度も示す。また、CSIRTなどインシデントレスポンス担当者のアサインと対応の進捗が確認できる機能により、セキュリティ担当者は管理画面を通じて、発生しているインシデントや攻撃の進行とその対応状況を一元的に把握できる。

「Kaspersky Anti Targeted Attack Platform」管理画面

検知イベント一覧画面

　カスペルスキーでは、提供開始に先駆け、国内の複数の大手システムインテグレーターがKaspersky Anti Targeted Attack Platformの検証作業を開始しており、行政機関や大手企業においても検証準備が進んでいると説明。今後は、セキュリティサービスを扱うパートナーと共に、マネージドサービスの開始も視野に入れて販売活動を進めていくとしている。

　Kaspersky Anti Targeted Attack Platformの各ライセンスでは、ソフトウェアアプライアンス、テクニカルサポートが提供される。価格はすべてオープンで、従業員1000人程度の事業規模向け「Kaspersky Anti Targeted Attack Platform Entry」の参考価格は750万円（税別）から。