最新セキュリティ製品で標的型攻撃を防げ! 第12回
未知の攻撃の検知・分析にグループの力を結集!
標的型攻撃を高精度で検出するNTT Comの「SIEMエンジン」
2013年02月08日 06時00分更新
2月7日、NTTコミュニケーションズは標的型攻撃などのセキュリティリスクを高い精度で検知・分析する「セキュリティ情報・イベント管理エンジン(SIEMエンジン)」を開発。マネージドセキュリティサービスで2013年3月から運用を開始すると発表した。
凶悪化する標的型攻撃に技術の粋を集める
SIEMエンジンは、NTTコミュニケーションズのほか、同社の子会社でセキュリティ事業を手がけるIntegrails(ドイツ)、Secode(スウェーデン)のノウハウ、およびNTTのセキュアプラットフォーム研究所の先端技術を融合して開発されたもの。デバイスやセキュリティ製品、サーバー、ネットワーク機器などから出力されたイベントやログを収集し、相関分析によるリスク検知や脅威レベルの自動評価を行なう。従来、専門エンジニアの知見と経験に頼っていたリスク検知や影響の分析、レポートなどを自動化し、精度の向上とコスト削減を実現するという。
発表会で登壇したNTTコミュニケーションズ 経営企画部 マネージドセキュリティサービス推進室長 与沢和紀氏は、SIEMエンジン開発の背景として、遠隔操作ウイルスによるサイバー犯罪や特定業種や政府機関などを狙った高度な標的型攻撃が蔓延していることを挙げた。未知の脆弱性を狙った最近のこうした攻撃は回数自体が少ない上で、ターゲットが絞られているため、検出がきわめて難しい。
与沢氏が紹介した内閣官房12の政府機関の例では、6万名に対して標的型攻撃の訓練をしたところ、添付ファイルを開封したユーザーは平均で10.1%、URLをクリックしたユーザーも平均で3.1%にのぼったという。攻撃者から見てきわめて効率のよいことがわかる。セキュリティ対策を何重にも施しているグローバル企業でも、標的型攻撃への対応は遅れており、調べてみると危険なプロトコルの通信やマルウェアの感染、マルウェア配信サイトへのアクセスなどが見られたという。
こうした外部からの攻撃に対し、NTTコミュニケーションズはクラウドやオンプレミスを含めたユーザーのICT環境を防御するマネージドセキュリティサービスをグローバルで提供している。エンドポイントからアプリケーション、コンテンツに至るまでフルレイヤーをカバーしているのが大きな特徴で、セキュリティリスクを最小化する7つのポイントで、多層的に防御を図っている。今回発表されたSIEMエンジンは、このマネージドセキュリティサービスを支える新しい運用基盤として用意される。
(次ページ、相関関係の検出やブラックリスト拡張に独自性)
この連載の記事
-
第20回
TECH
標的型攻撃には相手の“やる気”を削ぐのが一番! -
第19回
TECH
日本ラッド、タイガーチームサービスの脆弱性診断開始 -
第18回
TECH
2社に1社はボットに感染!チェック・ポイントのレポート -
第17回
TECH
各国から攻撃! おとり水道制御システム、公開18時間で標的に -
第16回
TECH
次世代セキュリティ製品の不名誉を返上するジュニパー -
第15回
TECH
マルウェア検知率100%を目指すマカフィーのサンドボックス -
第15回
TECH
標的型攻撃対策ではプロの常駐支援もあり? -
第14回
TECH
未知の脅威を防ぐ!サンドボックス搭載の新Software Blade -
第13回
TECH
ファイア・アイ創業者が語る国家レベルのサイバー攻撃 -
第11回
TECH
標的型攻撃に包括的な対策を提供するFortiOS 5.0 - この連載の一覧へ