株式会社ラック

通信内容の記録・可視化により、不正プログラムの活動を検知

そうした要請に応える製品を探していた同社の目に留まったのが、アズビル セキュリティフライデー株式会社の提供するネットワークセンサ VISUACT™3でした。

「典型的な標的型攻撃では、メールの添付ファイルやユーザーのWebサイトへのアクセスなどを介して組織のネットワーク内に不正プログラムが侵入し、システムで保持されている機密情報などを外部に持ち出すという手法が取られます。VISUACT3は、ファイルサーバの操作履歴だけでなく、Active Directory®認証やWMI、DCOM、MSRPCといった組織がWindows®システムを利用することで発生する様々な通信の内容を一つのネットワークセンサーでカバーして詳細なログとして記録し、見える化できる我々の知る限り唯一の製品です。これがあれば組織内に侵入されてしまった後の見つけることが極めて難しい不正な活動を効果的に見つけ出すことができると考えています」(小笠原氏)

ラックでは、2015年1月にVISUACT3を導入。以来、継続的な運用を実践しながら、検証を進めてきました。VISUACT3は、同社の顧客に対して、今後提供していく標的型攻撃対策ソリューションのコンポーネントになり得る、という確かな手応えを感じているといいます。

「具体的な対策のアプローチとしては、まず、VISUACT3によって記録、見える化されたログの内容を、分析ツールなどで解析します。すると、不正な通信を検知することはもちろん、明確な不正とは判断できないにせよ、その挙動が怪しいといった異常の兆候を捉えて、検知を行うことができます」(加藤氏)

また、導入が極めて容易で管理がしやすい点でも、VISUACT3がユーザーに大きなメリットを提供できると期待しています。

「一般的なウイルス対策製品のように、組織で利用しているパソコン1台1台にソフトウエアをインストールしていく作業が不要です。ネットワーク内の必要な箇所に、その通信状況をモニタリングするネットワークセンサをLANケーブルで接続し設置するだけ。当然、管理に関しても対象が1カ所に集約され、作業負荷も最小限にとどめることができます」(小笠原氏)

VISUACT3による監視ポイント
Windows®ネットワークの見える化

SIEM(Security Information and Event Management)サーバやネットワーク機器、セキュリティ関連機器、各種アプリケーションから集められたログ情報に基づいて、異常があった場合に管理者に通知を行うなどして、その対策方法を通知する仕組み。

※VISUACTはアズビル株式会社の商標です。
※Windows、Active Directoryは、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
この記事はazbilグループのPR誌azbil(アズビル)の2016 Vol.1(2016年02月発行)に掲載されたものです。