企業のネットワークにおいて怪しいふるまいを行う端末を監視し、自動検知するネットワークセキュリティモニタリング製品を提供する米DAMBALLAが2016年1月26日、同社の主力製品の最新版「DAMBALLA Failsafe 6.1」をリリースした。

Failsafe 6.1における機能強化の目玉は、次世代ファイアウォール（NGFW）製品との連携だ。

Failsafe 6.1が検知した感染端末の情報を、チェック・ポイント・ソフトウェア・テクノロジーズおよびパロアルトネットワークスのNGFWに伝え、当該端末の外部との通信を遮断したり、安全な領域に隔離するといった予防措置を取ることができる。企業のネットワーク内部に侵入した脅威の検知から対応までを自動化することが可能になるのだ。

DAMBALLA日本法人、カントリーマネージャーの新免泰幸氏

DAMBALLA日本法人でカントリーマネージャーを務める新免泰幸氏は、「CSIRT（セキュリティインシデント対策チーム）における人材不足が日本の大きな課題になっている」と指摘。国内で高いシェアを持つFWベンダーとの連携により、「そうした既存のFWをより有効に活用しながら、セキュリティ対策チーム、担当者の手間を省くことができる」と話した。

もう“ノイズ”に惑わされない

米DAMBALLAでCTOを務めるスティーブン・ニューマン氏によれば、北米の顧客企業では、Failsafe 6.1によってCSIRTの負荷が低減したとの評価が高まっているという。

米DAMBALLA CTOのスティーブン・ニューマン氏

現在では多くの企業が、NGFWやIPS/IDS（侵入検知・防御システム）をはじめとする外部からの侵入を防御するためのセキュリティ対策を行っているが、そうした投資が有効に機能しているとは言いがたい状況だとニューマン氏は指摘する。それらの製品群は、マルウェア感染や攻撃者の侵入が“疑われる”状況を検知すると、担当者に対して調査・対処を促すためのアラートを出す。だが、実際には、アラートが絶え間なく出続け、対策チームがその対応に追われるか、もしくは対応自体ができない状況に陥っているケースも少なくないという。

ニューマン氏は、そうした「従来型のセキュリティが出すアラームの大半はノイズだ」と話す。そのノイズの調査・対処に無駄な時間を費やすのではなく、その過程を自動化し、「脅威の分析やセキュリティ対策の改善、リスクの低減に向けて有効に時間を活用できるようにする」のがFailsafe 6.1の目的だ。

Failsafe 6.1は、ネットワーク内の端末の振る舞いを継続的に追跡しながら、その状態に応じた対応を自動的に行う「レスポンスの自動化」を実現するソリューションだ。例えば、「感染が疑われる状態」においては、疑わしい活動をブロックする、機密データへのアクセスを制限する、ロギングの回数を増やすといった対応を取る。

そして、確実に感染したと判明したら、NGFWと連携して、その端末と外部のC&Cサーバーとの通信を遮断したり、詳細なフォレンジックスキャンを実行したりといった防御を行う。ここまでの一連の対応を自動化することにより、CSIRTは「必要な対応をするだけでよくなり、かつ、より正確な対応が可能になる」のだ。