このソリューションにより、マルウェア感染拡大を防止するとともに、通信遮断後も感染端末を遠隔操作して、状況確認や遮断解除などを行えるため、システム管理者の運用負荷を軽減できるという。 このソリューションの特徴は次のとおり。
1. ネットワークの入口・出口監視と内部ネットワーク監視により侵入したマルウェアを早期に検知
ネットワークの入口・出口に加え、内部ネットワークを監視することで、マルウェアの早期検知を実現。入口・出口監視では、サンドボックスのみならず、パターンやルールに基づいた通信の振舞いから、標的型攻撃やゼロデイ攻撃、マルウェアによるC&Cサーバーへの通信などを検出する。さらに、内部ネットワーク監視では、他の端末への拡散、データベースや各種サーバーへの不正な通信を検知し、感染した端末を特定することができる。
2. マルウェア感染端末をネットワークから自動遮断することでマルウェアの感染拡大を防止
DDIで検知した感染端末の情報を基に、「秘文 Device Control」が感染端末側で通信を自動遮断。さらに、画面にメッセージを表示して、マルウェアに感染したことや、遮断した後の対応手順などを端末利用者に通知する。また、システム管理者は、通信を遮断した後も感染端末を遠隔操作して、状況確認や遮断解除などを行うことができる。
このソリューションは、「Deep Discovery Inspector」「秘文 Server」「秘文Device Control」で構成される(別途Syslogサーバー製品が必要)。また、日立システムズから次のオプションサービスが提供される。
・DDIリモート監視(SHIELD セキュリティデバイス監視サービス):日立システムズの「SHIELD SOC(Security Operation Center)」から、企業サイトのDDIを24時間365日、監視・運用するアウトソーシングサービス。
・セキュリティインシデント対応支援(SHIELD クラウドCSIRTサービス):セキュリティに精通したアナリストが、発生したセキュリティインシデントの内容を分析し、情報提供することで、インシデント発生後のシステム管理者の対応判断を支援する。
