このページの本文へ

企業ITインフラ全体を俯瞰的に監視、高度サイバー攻撃をいち早く検知するソリューション

カスペルスキー、社内センサー網で高度な標的型攻撃対策「KATA」

2017年04月24日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 カスペルスキーは4月20日、高度な標的型攻撃を検知する新ソリューション「Kaspersky Anti Targeted Attack Platform」(以下、KATA Platform)を提供開始した。インターネットゲートウェイからメール、Web、エンドポイントまで、企業インフラ全体を俯瞰的に監視し、標的型攻撃を始めとする高度なサイバー攻撃を発見する。

「Kaspersky Anti Targeted Attack Platform(KATA)」の概要

 KATA Platformは3つのコンポーネントで構成される。企業ネットワーク内に 設置し、その中を流れる通信を収集する「センサー」、センサーから転送されてきた情報をKaspersky Labのインテリジェンスに基づき分析する「セントラルノード」、未知のマルウェアに対して動的解析を実施する「アドバンスドサンドボックス」だ。いずれもソフトウェアベースで構成されており、たとえば複数拠点にセンサーを分散配置し、データセンター内のセントラルノードとアドバンスドサンドボックスで脅威を監視するようなクラウド展開にも対応する。

 センサーには、HTTPやFTP、SMTPといった複数のネットワークプロトコルを監視する「ネットワークセンサー」と、エンドポイントを監視する「エンドポイントセンサー」の2種類がある。センサーは軽量設計で、後者は他社のウイルス対策製品がインストールされている環境でも共存可能だ。

 セントラルノードは、定義データベースやヒューリスティック分析、レピュテーションデータベース、YARAルールをベースに相関分析するほか、エンドポイントで吸い上げた情報を機械学習し、正常時と異なるふるまいや通信から異常を検知する。

 YARAルールは、サイバー犯罪者グループが作るマルウェアの特徴をルール化し、標的の環境でしか動作しない高度なマルウェアであってもわずかな特徴からルールを作成し、検知できるよう共有するための仕組みだ。同一攻撃グループが複数社に対して攻撃キャンペーンを展開しても、標的となった企業でルールが作成されれば、そのルールを適用した他の標的企業も攻撃を阻止できる。

 「セントラルノードは少なくとも1TB以上のディスク容量を必要とするが、標的型攻撃の特定に不要なログは機械学習後に整理するので、基本的には『10TBが必要』といった事態にはならない」(ビジネスディベロップメント マネージャー 千葉周太郎氏)

カスペルスキー ビジネスディベロップメント マネージャー 千葉周太郎氏

 そしてアドバンスドサンドボックスは、独自開発のサンドボックスで回避機能を実装するマルウェアにも対応する。「最新の回避手法は定義データベースのようにアップデートされる」(千葉氏)。

 これらコンポーネントから得られたイベント情報や各イベントの相関分析の結果などは、管理コンソールから攻撃全体を俯瞰できる。攻撃のキルチェーンも順を追って確認でき、対応の判断がしやすくなる。

KATA Platformの管理コンソール

 同社は昨年、法人事業の中期戦略の1つに総合セキュリティソリューションの拡大を掲げ、エンドポイントでの「防御」、攻撃の「発見」「対処」「予見」およびスキルの「育成」の中から優先順位に応じて選択、組み合わせて活用する方法を推進していた。1年間、行政機関や通信業などで多数の実績を重ねることに成功した同社は、今年はKATA Platformを中核製品と1つとして、さらに総合セキュリティソリューションビジネスを加速させる。

 国内では、すでに大手システムインテグレーターが技術検証中で、行政機関やエンタープライズ企業でも導入に向けた検証実施を予定している。

 ライセンスは、インターネット帯域幅とネットワークセンサーの数に応じて、従業員1000名程度の事業者向け「KATA Entry」(100Mbps、センサー1台)、従業員2000名程度向け「KATA Standard」(250Mbps、センサー2台)、従業員5000名程度向け「KATA Advanced」(1Gbps、センサー2台)、従業員5万名程度向け「KATA Advanced+」(2Gbps、センサー3台)、従業員5万名以上向け「KATA Enterprise」(4Gbps、センサー4台)の5種類を用意。追加センサーは、Standard以上から購入できる。

 また、ソリューション導入をサポートするトレーニングサービスを、管理者、セキュリティアナリスト、インシデントレスポンス向けに用意している。

 最小構成のEntryライセンスで750万円(税別)から。トレーニング費用はオープン価格だが、それぞれ数十万円程度が目安になる。販売は、KATA Specializationパートナーが実施。年間で2ケタの導入を目指す。

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード