セキュリティ・プラス「セキュリティ・ドック」は、従来のセキュリティ・インシデントでは、企業や組織がセキュリティ被害にあってから、侵入された端末の特定を含む事故原因の調査、被害の特定、端末やサーバの復元・初期化などを行っていました。
セキュリティ・プラス「セキュリティ・ドック」サービスは、「早期発見・対策の仕組み」をスポット・サービスとして提供するもの。企業や組織に潜伏期間中の脅威があるか否かを、高精度で効率のいい「DAMBALLA Failsafe」を監視/解析ツールとして使用し、被害が顕在化する前に診断と対処の指針を提示するという。
人間の健康診断である「人間ドック」のイメージになぞらえて、構内ネットワークの人間ドック=セキュリティ・プラス「セキュリティ・ドック」とネーミングしたとしている。
このサービスは、次のようなケースに適しているという。
- ネットワークシステムの定期的な健康診断
- 企業や組織における情報セキュリティ監査の一環
- 感染の疑いがある場合の初動調査の一環
- インシデント発生後の予後経過観察の一環、など
このサービスでは、アズジェントが「DAMBALLA Failsafe」アプライアンスを、ユーザーの環境に設置し、構内のネットワークトラフィックをミラーポートで受けて監視する。
そこで検出された疑わしい兆候から、端末ごとの挙動を綿密に分析して「捜査」を進め、その結果、判定の根拠となる証拠情報(アクセス先情報、アクセスの結果およびパケットキャプチャファイルなど)をそろえた上で、脅威が潜む感染端末を特定。次に、感染内容を指摘するとともに、取るべき対処の指針を提示するという。診断結果提出には1か月間を要するという。
「DAMBALLA Failsafe」は、長い間「振る舞い」を学習しなければ対処できない検知方法ではないため、潜伏中の脅威によってはサービス開始直後から脅威を早期発見することができるとしている。
