脅威の侵入を100％防ぐことは不可能――。そんな現実を前にして、「侵入後」の対策にフォーカスしたセキュリティソリューションが増えているが、パロアルトネットワークスからも登場した。日本での提供が3月23日から始まった「Magnifier」（マグニファイア）だ。

「侵入後の対策としては、主にDetection & Responce（D&R）がある」（同社シニアプロダクトマーケティングマネージャーの広瀬努氏）が、MagnifierもD&Rにカテゴライズされるソリューションだ。

攻撃者は、侵入すること自体を目的にしているわけではない。侵入後、まずは内部での活動範囲を広げ、最終的にデータを持ち出すことなどが目的である。そして、侵入から目的達成までには通常、数日から数週間、数カ月の期間を要することから、「攻撃が成功する前段階で止めてしまおうというのがD&Rだ」。

D&Rの概要

具体的には、組織内部のログを収集し、その挙動を分析。様々な脅威インテリジェンスも活用しながら、異常な挙動を検出（Detection）することで、迅速な対応（Responce）につなげる。

ただ、既存のD&Rには「多くの課題がある」と広瀬氏は指摘した。

まずはストレージの問題だ。「内部のログ情報の粒度はできるだけ細かいほうがいいが、細かくするとログのサイズが大きくなるため、ストレージのスケーラビリティが問題になる」

次は、アラートの精度の問題。よくある閾値ベースのアラートでは、本当に注意すべき脅威が大量のアラートに埋もれかねない。

さらに、「アラートが挙がった後、素早く対処するためには、情報を集める必要があるが、その点も不十分」だという。