全トラフィックを「年単位」で記録するエンタープライズ向けソリューション

“長期潜伏型”サイバー攻撃に対抗、TEDがSS8製品を国内発売

2015年06月19日 06時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　東京エレクトロンデバイス（TED）は6月18日、エンタープライズ向けのサイバーセキュリティ対策ソリューション「SS8コミュニケーション・インサイト」の国内提供を開始した。フルパケットキャプチャを行うネットワークフォレンジック製品とは異なり、標的型攻撃やAPTに対抗するため「年単位」ですべての通信を記録、調査可能にすることを目的としている。

米SS8 COOのファイゼル・ラカーニ氏。SS8の製品は、大手民間企業だけでなくサービスプロバイダーや政府情報機関に採用されていると語る

攻撃者の侵入を前提に、効率よくすべてのトラフィックを記録

　同日の発表会では、米SS8 COOのラカーニ氏が、同製品の開発背景や特徴について説明した。SS8では政府／法執行機関や通信事業者向けの製品も展開しており、今回のソリューションはそのノウハウや機能をエンタープライズ向けに展開したものとなる。

「SS8コミュニケーション・インサイト」のダッシュボード画面イメージ

　近年多発している標的型攻撃やAPTでは、攻撃者の仕掛けたマルウェアが長期間（数カ月間～1年間以上）にわたってターゲット組織内に潜伏し、気づかれにくいようゆっくりと機密情報を盗み出す。そのため、侵入が発覚したときにはすでに過去の通信ログが失われ、「いつ、どのように攻撃されたか」「どの情報が、どこに流出したか」といった被害状況が正確につかめず、これが事後対応の妨げとなるケースも多い。

　「昨年発生した米ソニーピクチャーズの情報漏洩事件では、9カ月間にわたってシステムに侵入されていたが、検知できなかった」「企業ネットワークに『防御壁』を作るのは当然のことだが、それだけでは意味がない。それとは別に、ネットワークで何が起きているかをすべて記録し、いざという時には（事後でも）調査できる体制を整えておくことが重要だ」（ラカーニ氏）

「SS8コミュニケーション・インサイト」は、ファイアウォールやIDP、アンチウイルス製品などで侵入が防げなかった場合の事後対応のために、すべての通信を長期間にわたり記録する製品

　攻撃者の侵入が発覚した際、正確な被害状況を知るためには、ふだんからすべてのネットワークトラフィックを詳細に記録しておき、過去にさかのぼって通信内容を精査できる仕組みが必要だ。こうした目的で導入されるのが「ネットワークフォレンジック」製品で、一般的にはネットワークを流れるすべてのパケットを捕捉し、記録する（フルパケットキャプチャ）。

　ただし、フルパケットキャプチャは膨大なストレージ容量を必要とする（たとえば1Gbpsのトラフィックを1年間ぶん保存すると3.9ペタバイト以上になるという）。大きなコストがかかるため、現実には数週間、数カ月間しかデータを保持できないケースがほとんどで、潜伏期間がより長期間化しているサイバー攻撃の調査用途では不十分になる可能性があった。

　そこで、SS8コミュニケーション・インサイトでは「年単位」でのトラフィック記録を可能にし、この課題に対応する。具体的には、パケットそのものではなくトラフィックのサマリー（メタデータ）を記録し、重複排除や圧縮の技術も併用することにより、平均でトラフィックそのものの2000分の1のストレージ容量に抑える。これにより、現実的なコストで数年単位のトラフィックをすべて記録することを可能にしているという。

SS8では、フルパケットキャプチャの2週間ぶんのストレージ容量で、2年ぶんのネットワークトラフィックが記録できる

　詳細な後日調査を可能にするため、記録するメタデータはトラフィックの送信元／宛先IPアドレスやプロトコルだけでなく、アプリケーションの種類やイベント詳細（Webページの閲覧、ファイルのアップロードなど）も含む。また、調査を行いやすいようにダッシュボードでの可視化、検索、レポーティングなどの機能も備える。「実際に法執行機関の捜査で使われているワークフローを取り入れている」（ラカーニ氏）。

　「たとえば『どのPCがC&Cサーバーと不正通信しているか』『フィッシングメールが見つかった場合、それを受け取ったのはどの社員なのか』『Webサイトの広告にマルウェアが仕込まれていたことがわかった場合、これを誰が閲覧したか』といったことを、過去までさかのぼって調査できる」（ラカーニ氏）