【Interop 2015】サイバー攻撃の検知から初動対処までを自動化、インシデント対応時間を短くすることでリスクを低減(NEC) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.02.23(金)

【Interop 2015】サイバー攻撃の検知から初動対処までを自動化、インシデント対応時間を短くすることでリスクを低減(NEC)

研修・セミナー・カンファレンス セミナー・イベント

 NECは複数のSDN関連ソリューションとして、サイバー攻撃の検知から初動対処までを自動化し、インシデント対応の時間を短くすることでリスクを低減する「サイバー攻撃(標準型攻撃)自動防御ソリューション」のデモを行っていた。

 近年のサイバー攻撃は複雑かつ巧妙化しており、従来のような入口・出口対策だけでなく、内部対策も重要になっている。また各ゾーンに配置するIDSは、検知能力に優れている製品も多いが、遮断機能が装備されていない。そこで次世代セキュリティとSDNを利用し、多層防御と防御の自動化を行うことが、このソリューションの狙いだという。

 具体的な自動防御の流れは、まずトレンドマイクロの「Deep Discovery Inspector」や「Deep Security」によって、ネットワーク上の怪しい振舞いを監視する。Deep Discovery Inspectorは、シグネチャでマルウェアを検知できるホストIDSだ。一方のDeep Securityは、内部端末間の不審な通信を可視化できるネットワークIDSだ。

 もし、これらのIDSがマルウェアの感染や改ざんなどを検知すると、SDN連携アダプタに通知され、そこで適切なセキュリティ対処を判定。その結果をSDNコントローラの「UNIVERGE PF6800」に指示する。それを受けたSDNコントローラは、データプレーン側のスイッチ「UNIVERGE PF5000シリーズ」を制御し、不正なPC端末やサーバなどを隔離したり、遮断するという流れだ。

 また、パロアルトネットワークスの次世代ファイアウォールと連携することも可能だ。感染の疑いのあるグレー状態で、機密情報がある社内サーバなどにアクセスする際には、必ず次世代ファイアウォールに通るように、SDNで通信を捻じ曲げることも可能だ。

 このようにSDN連携アダプタによってsyslog、SNMP(ネットワーク監視プロトコル)などをトリガーにして、さまざまなセキュリティ製品を統合的に管理し、インシデントの検知が行えるようになる。今後の展開としては、複数デバイスで検知した情報を、SIEM製品(Security Information and Event Managemet)のようなセキュリティ統合管理システムと連携させ、相関分析した後に、より適切な制御を行えるようになるという。

【Interop 2015 Vol.52】NEC、SDNの応用としてサイバー攻撃自動防御ソリューションをデモ

《井上猛雄@RBB TODAY》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×