丸紅ITソリューションズ、事前対策型サイバー攻撃分析・復旧ソリューション「SECDO」を販売開始

　丸紅ITソリューションズ株式会社は3日、サイバーセキュリティに関する企業向けソフトウェアとサービスを提供するイスラエルのCyber Secdoと国内独占販売代理店契約を締結し、同社が提供する事前対策型サイバー攻撃分析・復旧ソリューション「SECDO」の販売を開始した。

　SECDOは、さまざまなセキュリティ製品のアラート通知を、人手による調査が必要な危険度の高いものかどうかを自動で判別し、危険度の高いアラートに対してはその根本原因を自動で特定する。さらに、企業が管理するすべてのサーバーやクライアント端末の被害状況、感染経路を容易に把握できる情報を提供する。

　これにより、システム担当者がアラートを受けてから最短数分で被害の全貌を特定し、的確な対策を策定できる。また、被害に遭ったサーバーやクライアント端末のサービスを止めることなく、悪意のあるプログラムの活動をリモートからピンポイントに停止でき、事業への影響を最小限に抑えながら、迅速に被害からの復旧を進められるとしている。

　SECDOは、サイバー攻撃対策の段階に応じた、監視機能“Observer”、分析機能“Analyser”、対応機能“Responder”の3つの機能で構成される。

　監視機能“Observer”は、スレッドレベル（プログラムの最小実行単位）で、企業が管理するサーバーやクライアント端末のすべての動作をリアルタイムに記録する機能を提供する。この機能により、サイバー攻撃の起点から、侵入・感染経路、被害に遭ったサーバーやクライアント端末に至るまで、攻撃者や悪意のあるプログラムの活動を間断なく連続して記録できる。

　分析機能“Analyser”は、Cyber Secdoの特許技術である「Causality Analysis Engine」により、“Observer”の記録とさまざまなセキュリティ製品のアラート通知内容と、それらの因果関係をリアルタイムに分析する。アラートの原因となった攻撃者や悪意のあるプログラムのすべての活動を、理解しやすいグラフィカルなインタフェースで時系列に表示するとともに、感染の拡大の有無など被害状況を特定する。

　対応機能“Responder”は、“Observer”や“Analyser”の情報をもとに、リモートでサーバーやクライアント端末の被害調査・復旧対応を実施する機能を提供する。復旧対応においては、Cyber Secdoの独自技術である「IceBlock」により、メモリ内の特定スレッドの動作のみを停止することが可能。また、サーバーやクライアント端末のスクリーンショットを常時記録しておくことや、“Responder”との通信を保持したまま、被害に遭ったサーバー・クライアント端末をネットワークから隔離することもできる。

　SECDOの提供形態は、クラウドサービス版またはサーバーソフトウェア版（オンプレミス向け）。丸紅ITソリューションズでは、SECDOを活用したサイバー攻撃被害に関する監視・検知・分析・復旧のアウトソーシングサービスも提供する予定。