ソフォスは2019年1月22日、APRESIA Systems、ディアイティとの協業による「スレットハンティング」ソリューションを提供開始すると発表した。

ソフォスの次世代ファイアウォール「Sophos XG Firewall」と、APRESIA Systemsのネットワークスイッチのアクセス制御を動的に変更するソフトウェア「AN-Tracker」、ディアイティのサイバー攻撃統合分析プラットフォーム「WADJET（ウジャト）」が連携することで、サイバー攻撃の検知、隔離、調査、ブロックという一連の動作が自動化される。

3社協業により、 サイバー攻撃の検知、隔離、調査、ブロックという一連の動作が自動化される

具体的には、ソフォスの次世代ファイアウォール「Sophos XG Firewall」が脅威を検知すると、そのログをディアイティのサイバー攻撃統合分析プラットフォーム「WADJET（ウジャト）」に送信。WAJETの相関分析エンジンでは分析ルールに基づき、通信を遮断すべき候補を抽出する。管理者に防御候補がメールで通知されるので、WADJETの管理UIにログインして実行ボタンを押すと、機器にログインすることなく自動でポリシーが変更される。また、AN-TrackerではWAJETからの指示を受け、遮断が実行される仕組みだ。マルウェア感染時には、迅速な感染端末の把握と隔離により、感染の拡大や二次被害を防ぐことが可能となる。

「スレットハンティング」ソリューションの全体イメージ

ソフォス セキュリティコンサルタントの佐々木潤世氏は「サイバー攻撃が高度化する中で、防御する側も進化しなければならない。3社の協業によるサイバーセキュリティ・エコシステムを構築することで、迅速かつ高度なインシデント対応が可能になる」と語った。

WAJETでは、組織のネットワークに配備されたセキュリティ機器やネットワーク機器からのトラフィックやアラートをリアルタイムに分かりやすく可視化する。例えばアラートが上がると「警」の字が画面に浮かび上がるほか、セキュリティ機器からのアラートの数や鮮度を視覚的に確認することができる。

WADJETは複数のセキュリティ機器からのアラートを集約し、分かりやすく表示する

他の遮断（隔離）ソリューションの多くは、リアルタイムで分析・隔離を行うため、過去のインシデント調査にはログの解析が必要となる。これに対し、「スレットハンティング」ソリューションは過去に遡ってトラフィックやアラートの再生も行えるので、インシデント発生後の分析にも有効だ。

「スレットハンティング」ソリューションは、大学や研究施設、企業のCSIRT、IoTを活用する産業分野などを中心に訴求していく。また、大学などのセキュリティ技術者を育成するプログラムにおいて、実践的な攻撃を可視化し、その対応を学ぶ教育用システムとしても活用できるという。