ジュニパー、クラウド上に蓄積した脅威情報を「SRXシリーズ」で利用可能に

森本昌夫氏

　ジュニパーネットワークス株式会社（以下、ジュニパー）は7日、脅威情報プラットフォーム「Spotlight Secure」を拡張し、次世代ファイアウォール（NGFW）「SRXシリーズ」のファイアウォールポリシーと連動させると発表した。

　Spotlight Secureは、クラウドベースの脅威情報プラットフォーム。サイバー攻撃に関連する情報を収集し、セキュリティ機器と連携して高度な防御を実現する。Juniperが全世界で調査する情報のほか、政府機関や業界団体の情報、他社が収集する情報なども集約される。

Spotlight Secureによる脅威情報配信の仕組み

　今回、Spotlight Secureと企業内部に導入された「Junos Space Security Director」という管理ツールが連携し、社内に導入されたSRXシリーズに、動的な防御を実現するインテリジェンス情報として配信する仕組みを実現させた。

　併せて、Spotlight SecureにC＆Cフィード（マルウェアを外部から操作するC＆Cサーバーの活動情報）と、GeoIPフィード（国別IPアドレス情報）を新たに追加した。「C＆Cサーバーを利用した攻撃は情報漏えい事件の原因を生み出す典型例。当社はこの対策に最も注力している。一方のGeoIPフィードでは、例えば「China」など国名を登録するだけで、その国の発信元IPアドレス情報を常に更新して、一括遮断することが可能となる」（セキュリティソリューションズ統括部長の森本昌夫氏）。

感染したホストの検知例

GeoIPベースのトラフィック制御

　こうした脅威情報プラットフォームは、昨今多くのベンダーが構築しており、米国ではそれらをいかに共有するかという議論も深まっている。ジュニパーのSpotlight Secureが特長的なのは、これらサードパーティの情報も収集する「オープン性」にあるとのことで、外部との情報共有を積極的に進めているという。

　そうしてSpotlight Secureに集まった幅広い脅威情報を、自動的に社内のJunos Space Security Directorに取り込み、加えて、ローカルに設置されたセキュリティ製品のログ情報や、ユーザー自身で保有する脅威情報（例えば、ブラックリストやホワイトリスト）も取り込んで、社内で利用する脅威情報として一元管理できる。

ユーザー独自のカスタムフィード（脅威情報）も追加できる

　社内で一元管理された脅威情報には、情報ごとに脅威スコアを追加。最新の脅威トレンドに基づき、優先順位付けを行う。ユーザーはこれらを参考にしながら、自社で保護対象とした脅威情報を実際にSRXシリーズに適用できる。

　こうした仕組みにより、多様な脅威情報と検知技術を組み合わせて利用できるようになる。脅威情報は100万件を超えるカスタム・フィードのエントリーが可能で、大量のフィードも一元管理できる。その中から最新かつ最適な情報のみがファイアウォールに送られ、新たな脅威情報を手動でファイアウォールへ転送する手間が軽減される。