ニュース

外部への危険な通信をリアルタイムで検知、ネットワールドが標的型攻撃対策アプライアンスを販売

 株式会社ネットワールドは16日、オランダRedSocksとディストリビュータ契約を締結したと発表した。これに伴い、同社の標的型攻撃対策アプライアンス「RedSocks Malware Threat Defender(MTD)」を販売開始する。

 「RedSocks MTD」は、すべてのアウトバウンド・トラフィック(企業や組織からインターネットへの通信)を監視し、情報が詐取される通信を発見して、リアルタイムで検知・通知を行う製品。ファイアウォールやルータなどのミラーポートに接続すると、NetFlow/IPFIXによって、アウトバウンドのパケットの中から必要なフロー情報(送信先のIPアドレスやURL、デバイスの送信元IPアドレス、MACアドレス、ポート番号、プロトコル)を抽出してアプライアンス内に保有する。

 この情報を、RedSocksのエキスパートチーム「The Malware Intelligent Team(MIT)」から30分に1回送られてくる、信頼性の高いC&Cサーバーの情報と照合することにより、マルウェアによるC&Cサーバーへの通信をリアルタイムに検知して、管理者に即時に通知する仕組み。感染した端末の特定や、マルウェアの種類、送信先のIPアドレス/URLの把握が可能で、社内のCSIRTやSOCサービスの早期対応と、情報漏えい被害の最小限化に有効という。

 アウトバウンド・トラフィックの情報はミラーポートから受け取るので、アプライアンス内を通信が経由するわけではなく、またNetFlow/IPFIXにより、必要なフロー情報だけを抽出しているため、使用する帯域は1%程度に限られ、通常の通信へ影響はない。また、既存のネットワーク環境の設定を変更する必要もないとのこと。

 さらにアプライアンス内では、IPアドレスやURLのマッチング作業だけを行っており、通信の解析は実施しないことから、高速なリアルタイム検知が可能。マッチング以外にヒューリスティック検知(挙動検知)も行っているものの、これらの検知手法のCPU負荷は少なく、通信のフロー数の制限もない。このため複雑なサイジング等も不要で、1種類のアプライアンスだけで、大規模から中小規模、ならびにサービスプロバイダー級のニーズにも対応できるとした。

 加えて、サンドボックスを搭載するタイプの製品と異なり、RedSocksのMITから情報を受け取るだけで、ユーザーの機密情報を含む検体や情報を外部へ提供する必要は一切なく、NetFlow/IPFIX対応により、パケットの中身を一切見ないことから、プライバシーや機密情報を出したくないという要望が強い、日本のユーザーでも安心して利用できるとしている。

 価格は、利用帯域幅に応じて課金され、150Mbpsまでの場合、アプライアンス+初年度サブスクリプションで423万円(税別)、次年度サブスクリプションが139万5000円(税別)。

 なお今後は、サイバー攻撃に関する情報共有や交換のため策定された技術仕様STIX/TAXIIにも対応を予定している。これが実現すると、対応した他社ファイアウォール製品などと連携し、検知と同時に自動遮断までを行えるようになるとのこと。

石井 一志