東京エレクトロン デバイス(TED)は6月18日、エンタープライズ向けのサイバーセキュリティ対策ソリューション「SS8コミュニケーション・インサイト」の国内提供を開始した。フルパケットキャプチャを行うネットワークフォレンジック製品とは異なり、標的型攻撃やAPTに対抗するため「年単位」ですべての通信を記録、調査可能にすることを目的としている。
攻撃者の侵入を前提に、効率よくすべてのトラフィックを記録
同日の発表会では、米SS8 COOのラカーニ氏が、同製品の開発背景や特徴について説明した。SS8では政府/法執行機関や通信事業者向けの製品も展開しており、今回のソリューションはそのノウハウや機能をエンタープライズ向けに展開したものとなる。
近年多発している標的型攻撃やAPTでは、攻撃者の仕掛けたマルウェアが長期間(数カ月間~1年間以上)にわたってターゲット組織内に潜伏し、気づかれにくいようゆっくりと機密情報を盗み出す。そのため、侵入が発覚したときにはすでに過去の通信ログが失われ、「いつ、どのように攻撃されたか」「どの情報が、どこに流出したか」といった被害状況が正確につかめず、これが事後対応の妨げとなるケースも多い。
「昨年発生した米ソニーピクチャーズの情報漏洩事件では、9カ月間にわたってシステムに侵入されていたが、検知できなかった」「企業ネットワークに『防御壁』を作るのは当然のことだが、それだけでは意味がない。それとは別に、ネットワークで何が起きているかをすべて記録し、いざという時には(事後でも)調査できる体制を整えておくことが重要だ」(ラカーニ氏)
攻撃者の侵入が発覚した際、正確な被害状況を知るためには、ふだんからすべてのネットワークトラフィックを詳細に記録しておき、過去にさかのぼって通信内容を精査できる仕組みが必要だ。こうした目的で導入されるのが「ネットワークフォレンジック」製品で、一般的にはネットワークを流れるすべてのパケットを捕捉し、記録する(フルパケットキャプチャ)。
ただし、フルパケットキャプチャは膨大なストレージ容量を必要とする(たとえば1Gbpsのトラフィックを1年間ぶん保存すると3.9ペタバイト以上になるという)。大きなコストがかかるため、現実には数週間、数カ月間しかデータを保持できないケースがほとんどで、潜伏期間がより長期間化しているサイバー攻撃の調査用途では不十分になる可能性があった。
そこで、SS8コミュニケーション・インサイトでは「年単位」でのトラフィック記録を可能にし、この課題に対応する。具体的には、パケットそのものではなくトラフィックのサマリー(メタデータ)を記録し、重複排除や圧縮の技術も併用することにより、平均でトラフィックそのものの2000分の1のストレージ容量に抑える。これにより、現実的なコストで数年単位のトラフィックをすべて記録することを可能にしているという。
詳細な後日調査を可能にするため、記録するメタデータはトラフィックの送信元/宛先IPアドレスやプロトコルだけでなく、アプリケーションの種類やイベント詳細(Webページの閲覧、ファイルのアップロードなど)も含む。また、調査を行いやすいようにダッシュボードでの可視化、検索、レポーティングなどの機能も備える。「実際に法執行機関の捜査で使われているワークフローを取り入れている」(ラカーニ氏)。
「たとえば『どのPCがC&Cサーバーと不正通信しているか』『フィッシングメールが見つかった場合、それを受け取ったのはどの社員なのか』『Webサイトの広告にマルウェアが仕込まれていたことがわかった場合、これを誰が閲覧したか』といったことを、過去までさかのぼって調査できる」(ラカーニ氏)
東京エレクトロン デバイス CNカンパニー 第二営業本部 コーポレートアカウント営業部の香月裕司氏は、高度なセキュリティ環境を必要とする情報通信、金融、航空、電力、政府機関などの企業/組織を中心に、同ソリューションを展開していくと語った。
「年単位でのトラフィック記録ができ、現実的なソリューションといえる。また、セキュリティアナリスト向けの分析機能を備えており、使い勝手がよい」(香月氏)
さらに、セキュリティ専門家人材のいない顧客向けに、マネージドセキュリティサービスプロバイダーと協業して「マネージドサービス」として同ソリューションを提供することも考えられると述べた。
同社では国内販売目標として、年間10件で3億円、3年間で約10億円の売上を挙げている。