未知の攻撃の検知・分析にグループの力を結集！

標的型攻撃を高精度で検出するNTT Comの「SIEMエンジン」

2013年02月08日 06時00分更新

文● 大谷イビサ／TECH.ASCII.jp

2月7日、NTTコミュニケーションズは標的型攻撃などのセキュリティリスクを高い精度で検知・分析する「セキュリティ情報・イベント管理エンジン（SIEMエンジン）」を開発。マネージドセキュリティサービスで2013年3月から運用を開始すると発表した。

凶悪化する標的型攻撃に技術の粋を集める

　SIEMエンジンは、NTTコミュニケーションズのほか、同社の子会社でセキュリティ事業を手がけるIntegrails（ドイツ）、Secode（スウェーデン）のノウハウ、およびNTTのセキュアプラットフォーム研究所の先端技術を融合して開発されたもの。デバイスやセキュリティ製品、サーバー、ネットワーク機器などから出力されたイベントやログを収集し、相関分析によるリスク検知や脅威レベルの自動評価を行なう。従来、専門エンジニアの知見と経験に頼っていたリスク検知や影響の分析、レポートなどを自動化し、精度の向上とコスト削減を実現するという。

SIEMエンジンのコンセプトと機能概要

　発表会で登壇したNTTコミュニケーションズ経営企画部マネージドセキュリティサービス推進室長与沢和紀氏は、SIEMエンジン開発の背景として、遠隔操作ウイルスによるサイバー犯罪や特定業種や政府機関などを狙った高度な標的型攻撃が蔓延していることを挙げた。未知の脆弱性を狙った最近のこうした攻撃は回数自体が少ない上で、ターゲットが絞られているため、検出がきわめて難しい。

NTTコミュニケーションズ経営企画部マネージドセキュリティサービス推進室長与沢和紀氏

　与沢氏が紹介した内閣官房12の政府機関の例では、6万名に対して標的型攻撃の訓練をしたところ、添付ファイルを開封したユーザーは平均で10.1％、URLをクリックしたユーザーも平均で3.1％にのぼったという。攻撃者から見てきわめて効率のよいことがわかる。セキュリティ対策を何重にも施しているグローバル企業でも、標的型攻撃への対応は遅れており、調べてみると危険なプロトコルの通信やマルウェアの感染、マルウェア配信サイトへのアクセスなどが見られたという。

　こうした外部からの攻撃に対し、NTTコミュニケーションズはクラウドやオンプレミスを含めたユーザーのICT環境を防御するマネージドセキュリティサービスをグローバルで提供している。エンドポイントからアプリケーション、コンテンツに至るまでフルレイヤーをカバーしているのが大きな特徴で、セキュリティリスクを最小化する7つのポイントで、多層的に防御を図っている。今回発表されたSIEMエンジンは、このマネージドセキュリティサービスを支える新しい運用基盤として用意される。