ローカルとグローバルの学習で高い脅威検知率を誇るCognito Detect
NDRのソリューションを導入する際に重要となるのが、脅威の検知精度の高さだ。「過検知や誤検知が少ないことが重要です」と羽田野氏。これは検知の際のノイズの少なさとも言い換えられる。検知精度が高いことでユーザーから評価されているNDRソリューションが、VECTRA AI社が提供する「Cognito Detect」だ。
Cognito Detectでは、脅威検知にAI技術を活用している。さらにセキュリティフレームワークに基づいた60のルールを定め、そのルールに紐付いた検知も行う。AIとルールを組みあわせて利用することで、他のNDRよりも高い精度で脅威を検知ができるのだ。
「Cognito Detectでは脅威を検知した際に、重要度を自動で判定し提示します。ダッシュボードでネットワークの中のどのホストが怪しいかもすぐに把握でき、トリアージがしやすく対策が迅速にとれます」と井形氏。
VECTRA AIは2011年からNDRのソリューションを展開しており、すでにグローバルで数多くの実績がある。そこから世界中のさまざまな攻撃者の「振る舞い」を把握しており、典型的な攻撃パターンを掴んで検知精度の向上に利用している。
多くのNDRのツールでは、「ローカルラーニング」で企業環境特有の振る舞いを把握する。学習して企業における通常の振る舞いを把握し、その平均値から外れると怪しいと判定する。つまり平均から外れるものは、全て怪しいと判定しがちだ。
「通常と違う振る舞いだけで、怪しいとは判断できません。Cognito Detectでは、ローカル環境での怪しい振る舞いに加え、グローバルではこういったパケットの流れがあれば怪しいことも知っています」と井形氏。グローバル、ローカルの2つの振る舞い情報を活用して、誤検知や過検知を減らし検知精度を上げているのだ。
Cognito Detectの導入は容易だ。ネットワーク機器のコアスイッチに、ブレインと呼ばれるCognito Detectのアプライアンスを接続するだけですぐに監視を始められる。センサーと呼ばれる物理あるいは仮想の小さなアプライアンスをアクセススイッチに接続すれば、アクセススイッチ配下のサブネットワーク環境の情報をブレインに集めることもできる。
複数拠点がある場合は、拠点にセンサーを設置しブレインに情報を集約する。またCognito Recallを使えば、センサーが収集したネットワークメタデータを、クラウド上の基盤に集め可視化することもできる。Cognito Detectをリアルタイムの脅威検知に利用し、Recallは収集したデータを蓄積し後から詳細な調査や監査に活用するのだ。
もう1つ、Cognito Stream機能も用意されている。これは、収集したログを外部転送する機能で「Splunkなどに情報を送り、他のログ情報などと合わせより詳細なリスク分析に活用できます」と井形氏は言う。
企業がCognito Detectを導入する際には、事前にPOV(Proof Of Value:価値実証)を行うことが多い。コアスイッチにブレインを追加し、通常であれば数週間学習すれば環境に合わせた脅威の検知ができるようになる。学習段階では誤検知や過検知もあるが、学習が進めばそれらは減る。POV中に脅威の検知が上がってこなければ、擬似攻撃などでCognito Detectの効果を確認することもある。
Cognito Detectの検知画面では、攻撃の様子がフェーズ分けされ一元的に可視化される。これにより、現状どの攻撃フェーズにあり、次にどのフェーズに移行するかが明らかになる。攻撃フェーズの状況が把握できれば、次にどういった対策のアクションをとれば良いかも判断しやすいのだ。