これは、アラクサラのサイバー攻撃自動防御ソリューション用ソフトウェア「AX-Security-Controller(AX-SC)」と、Flowmonの振る舞い検知機能「Flowmon ADS(Anomaly Detection System)」との連携を両社で技術検証したもの。
「Flowmon ADS」が、C&Cサーバとの通信、ポートスキャン、ディクショナリアタックなどのネットワーク上の望ましくない挙動を検知し、マルウェア感染や乗っ取りの可能性がある被疑端末のIPアドレス情報を特定して「AX-SC」へ通知し、「AX-SC」が自動的に被疑端末の通信遮断および検疫隔離する。
これにより、アラクサラのスイッチ製品と「AX-SC」でネットワークを構築しているユーザーは、「Flowmon」アプライアンスを追加することで、インターネットへの出入り口、および組織内部のネットワークトラフィックを横断的に監視して、被害をエッジスイッチで食い止め、ネットワーク全体への拡散を防止することが可能となり、セキュリティ脅威の検知と対策の自動化を実現するという。
「Flowmon」の概要と優位性
「Flowmon」は、NetFlow/IPFIXなどのフロー情報をベースにネットワークトラフィックの可視化、監視、分析などを行うアプライアンス製品で、フロー情報の収集・分析・監視を行う「Flowmonコレクタ」、フロー情報生成専用機「Flowmonプローブ」、各種プラグインで構成される。
「Flowmonコレクタ」のプラグインである「Flowmon ADS」は、多彩な振る舞い検知機能により、ネットワーク上の望ましくない通信を監視し、サイバー脅威、ポリシー違反などを検知する。
フロー情報による監視は、データ量が膨大で解析・管理負荷の高いパケット解析と比較して、データ量は1/500と軽量。また、SNMP解析が、ユーザ単位 / アプリケーション単位で監視できないのに対して、フロー情報による監視では、アクセス形態、通信の帯域、通信相手、頻度、使用アプリケーションなどの詳細情報を収集して分析・可視化する。
さらに、「Flowmon ADS」の振る舞い検知機能は、その特性から可視化対象をLAN/WANの区別なく標準フローを生成可能なポイントに適用することが可能なため、境界側の防御システムを飛び越えて侵入してくるような昨今の巧妙なマルウェアの検知にも威力を発揮するという。
「AX-Security-Controller」と「Flowmon」との連携
アラクサラの「AX-SC」は、端末がどのスイッチのどのポートに接続されているかの情報を自動的に収集することで端末の接続位置を管理/可視化し、セキュリティ装置からの情報に従ってインシデント発生箇所のスイッチを制御して、セキュリティ上問題のある端末の通信を自動的に遮断するなどネットワークレイヤの制御を可能にする。
「AX-SC」は、トレンドマイクロ、パロアルトネットワークス、ファイア・アイなどのセキュリティソリューションが提供するセキュリティ製品と連携可能だが、今回新たに、フローベースで振る舞い検知する「Flowmon ADS」との連携が追加されたことで、既存のセキュリティシステムを相関的、多層的に補強していくことが可能になる。
また、「Flowmon ADS」は、フローの証跡ログとインシデントを結び付けることができるので、外部からの攻撃以外に、禁止されているネットワークアプリケーションの利用やアクセス権限のない端末からのデータへのアクセスなど、内部から外部、または内部犯行などに対応し、社内ポリシー違反の観点から内部セキュリティを強化することも可能。
さらに、本体の「Flowmonコレクタ」のトラフィック解析機能を使えば、ネットワーク全体のすべてのフロー情報を収集して、GUI上で任意の視点で詳細情報をドリルダウンして、稼働状況や問題点を把握することが可能。
RAID構成のストレージを搭載しており、保存したフロー情報により過去にさかのぼって分析し、誰が/いつ/どこで/何をしたかを把握することも可能だという。
