PR
写真●米SS8の最高執行責任者であるフェイゼル・ラッカーニ氏
写真●米SS8の最高執行責任者であるフェイゼル・ラッカーニ氏
[画像のクリックで拡大表示]
図1●社内に入り込んだサイバー攻撃の検知にはネットワーク通信の記録・分析が有効
図1●社内に入り込んだサイバー攻撃の検知にはネットワーク通信の記録・分析が有効
[画像のクリックで拡大表示]

 東京エレクトロンデバイス(TED)は2015年6月18日、標的型攻撃などのサイバー攻撃を受けた際に、これらへの感染状況や被害状況を調べられるセキュリティ製品「SS8コミュニケーション・インサイト」の提供を開始した。ネットワークの通信内容を取得して長期保存する機能と、保存した通信内容を分析して攻撃の痕跡を検出・分析する機能を提供する。販売目標は年間10社。TEDでは、製品のライセンス販売だけでなくSIサービスとしての提供も視野に入れる。開発会社は米SS8。

 同製品を使うと、通信データを分析する手法によって、社内ネットワークに入り込んでいるマルウエアの挙動を検知したり、これらに感染した端末を把握したりできる。いつからどのような攻撃を受けているのかが分かる。これにより、攻撃内容に応じた対策がとれるようになる。米SS8の最高執行責任者であるフェイゼル・ラッカーニ氏(写真)は、「企業はこれまで防壁によってサイバー攻撃を止めることに注力していたが、これでは対策としては不十分。社内に入り込んでしまうことを前提に、入り込んだ攻撃を捕捉して対処する仕組みが求められる」と、同製品の意義を説明する(図1)。

分析に必要なデータだけを年単位で長期保存

図2●パケットデータではなく通信のメタデータだけを記録する。データ量を削減できるほか、検索・調査に耐えうるデータを蓄積できる
図2●パケットデータではなく通信のメタデータだけを記録する。データ量を削減できるほか、検索・調査に耐えうるデータを蓄積できる
[画像のクリックで拡大表示]
図3●マルウエアや不正な攻撃を検出した際には、過去にさかのぼって攻撃の実態を把握できる
図3●マルウエアや不正な攻撃を検出した際には、過去にさかのぼって攻撃の実態を把握できる
[画像のクリックで拡大表示]

 製品の最大の特徴は、ネットワーク通信の内容を、後から検索しやすい形式で年単位の長期にわたって保存することである。一般的なネットワークフォレンジック製品とは異なり、パケットデータをそのまま記録することはせず、どのような通信なのかを記したメタデータの形で記録する(図2)。いつ誰が誰と何のプロトコルで通信したのかといった情報や、やり取りされたファイルのMD5ハッシュ値など、セキュリティ上の分析に必要なデータだけを記録する。さらに、重複排除や圧縮によってデータ量を減らす。

 フェイゼル・ラッカーニ氏は、「標的型攻撃は長期間にわたって行われる。攻撃の内容を後から調べるには、ネットワーク通信の内容を年単位で保管し、過去に遡って分析できることが重要」と、長期にわたって通信内容を記録できることの重要性を説く。これに対して従来のネットワークフォレンジック製品の場合、数週間から数カ月のデータしか保存できなかったという。

 通信内容を長期的に記録できるので、何らかの形でマルウエアの情報などが入手できた際には、過去にさかのぼって感染状況を調べられる(図3)。これにより例えば、過去にフィッシングメールを受けとった社員は誰か、誰がマルウエアに感染したのか、どの端末が外部のC&Cサーバー(司令塔サーバー)と通信したのかなど、感染当時は分からなかったことが数カ月後などに分かる。

 サイバー攻撃の検知に特化したデータ分析ができる点も特徴である。例えば、ネットワーク上のホストの振る舞いからマルウエアの挙動を検出するアルゴリズムを搭載する。Dropboxなど、情報のやり取りに使われるアプリケーションについての知識も豊富であるという。また、分析に役立つ外部知識として、ホストが通信しているインターネット上のサーバーがどの国に置かれているのかといった情報や、Active Directoryから取得したユーザーやコンピュータの情報、さらにセキュリティベンダーが配信している新規マルウエアの情報などを利用する。