未知の攻撃の検知・分析にグループの力を結集！

標的型攻撃を高精度で検出するNTT Comの「SIEMエンジン」

2013年02月08日 06時00分更新

文● 大谷イビサ／TECH.ASCII.jp

相関関係の検出やブラックリスト拡張に独自性

　SIEMエンジンでは、既知の脅威や誤検知の排除を行なうため、既存のセキュリティ製品のログを独自に解析し、誤検知を排除する。そして、これらの従来型のセキュリティ対策をすり抜けてくる新種・未知のマルウェアを、サンドボックスで仮想実行したり、プロファイルと照らし合わせる。ここまでは他のベンダーの製品でも実現されているが、SIEMエンジンでは、「相関通信時系列分析エンジン」と「ブラックリスト共起分析エンジン」などの技術のほか、NTTセキュアプラットフォーム研究所の独自データベースというデータベースを用いることで、検出精度を大幅に向上させたという。

未知の脅威に対する対応

　まず、相関通信時系列分析エンジンは、不正な通信の時系列に注目することで作られたルールとネットワークログを照らし合わせるもの。市販製品では難しい、長期に渡るログ解析によって、潜伏するタイプの攻撃も発見できる。

相関通信時系列分析エンジン

ブラックリスト共起分析エンジンの仕組み

　また、ブラックリスト共起分析エンジンは、マルウェアの感染時・感染後には、複数のサイトに多発的にアクセスされるという共起関係があることに着目したもの。用意されたブラックリストと、DNSやHTTPのトラフィックログを照らし合わせ、元のブラックリストに入っていない新規の悪性サイトを抽出する。こうした共起性に注目したブラックリスト生成技術は現在存在しておらず、「既存のブラックリストの約70倍の悪性サイトがあぶり出せる」という。

　ブラックリストの元になるデータベースに関しても、単にハニーポットや動的解析で、悪性のIPアドレス／URLをリスト化しただけでなく、NTTセキュアプラットフォーム研究所独自の手法で精度を高めているという。たとえば、悪性URLの近傍探索という技術では、既知の悪性URLで異なるサブドメインの配下にある実行ファイルのパスなどを悪性URL候補として、検査対象に挙げる。また、悪性サイト間の構造を解析することで、攻撃の一連の流れをつかむことが可能になるという。

　こうしたSIEMエンジンの導入により、誤検知は従来に比べ95％削減され、残りの5％も専門のエンジニアが手動で排除していくという。コストに関しても言及され、IDSやファイアウォールの基本的なマネージドサービスは従来の半額程度に削減。さらにライフサイクル管理を実現する高度なサービスでも、従来の料金の若干増しで提供でき、精度を上げるオプションメニューも提供できるという。

統合リスクマネジメントサービスを日米で提供

　こうした技術を取り込んだSIEMエンジンはデータベースとパッケージ化され、グローバルに複数設置されるという。これは国や地域によって規制が異なるためで、国情に応じたコンプライアンス分析を行なうために個別のデータベースを保有する。また、オペレーションセンターもグローバルを前提としたGROC（Global Risk Operation Center）に発展させ、3段階のレベルに応じたオペレーション体制を構築したという。

SIEMエンジンとデータベースのパッケージはグローバルで複数配置される

　また、セキュリティサービス基盤とオペレーション体制、そしてGlobal Enterprise Methtologyというリスク分析・評価手法を採用した「統合リスクマネジメントサービス」を日米で新たに提供する。サービスでは、ユーザーのICT環境のあらゆるリスクを洗い出し、改善計画の立案や継続的なモニタリングなどを提供し、PDCAサイクルを回していくという。

　SIEMエンジンに関しては、自社のサービスだけではなく、直接競合する事業者やベンダー以外への外販も検討しており、特にアプライアンスは早期に投入される見込みとなっている。

■関連サイト