「SECDO」は、さまざまなセキュリティ製品のアラート通知を、人手による調査が必要な危険度の高いものかどうかを自動で判別し、危険度の高いアラートに対してはその根本原因を自動で特定する。加えて、企業が管理する全てのサーバーやクライアント端末の被害状況、感染経路を容易に把握できる情報を提供する。
これにより、システム担当者がアラートを受けてから最短数分で被害の全貌を特定し、的確な対策を策定することが可能だという。また、被害に遭ったサーバーやクライアント端末のサービスを止めることなく、悪意のあるプログラムの活動をリモートからピンポイントに停止することができ、事業への影響を最小限に抑えながら、迅速に被害からの復旧を進めることが可能だとしている。
「SECDO」は、サイバー攻撃対策の段階に応じた、監視機能“Observer”、分析機能“Analyser”、対応機能“Responder”の3つの機能で構成されている。
・監視機能“Observer”
業界初のスレッドレベル(プログラムの最小実行単位)で、企業が管理するサーバーやクライアント端末の全ての動作をリアルタイムに記録する機能を提供。この機能により、サイバー攻撃の起点から、侵入・感染経路、被害に遭ったサーバーやクライアント端末に至るまで、攻撃者や悪意のあるプログラムの活動を間断なく連続して記録することが可能。たとえ、攻撃者がサーバーやクライアント端末内の侵入・攻撃の痕跡を削除した場合でも、痕跡および削除の操作は“Observer”に記録される。
・分析機能“Analyser”
Cyber Secdo社の特許技術であるCausality Analysis Engineにより、“Observer”の記録とさまざまなセキュリティ製品のアラート通知内容とそれらの因果関係をリアルタイムに分析。多数のアラートの中から危険度の高いものを自動で選別した上で、アラートの原因となった攻撃者や悪意のあるプログラムのすべての活動を、理解しやすいグラフィカルなインタフェースで時系列に表示する。
加えて、攻撃者や悪意のあるプログラムの活動の痕跡を基に、企業が管理する全てのサーバーやクライアント端末を調査し、感染の拡大有無等、被害状況を迅速かつ的確に特定することが可能。
・対応機能“Responder”
“Observer”や“Analyser”の情報を基に、リモートでサーバーやクライアント端末の被害調査・復旧対応を実施する機能を提供。復旧対応においては、Cyber Secdo社の独自技術であるIceBlockによりメモリ内の特定スレッドの動作のみを停止することが可能。また、サーバーやクライアント端末のスクリーンショットを常時記録しておくことや、“Responder”との通信を保持したまま被害に遭ったサーバー・クライアント端末をネットワークから隔離することも可能。
事前対策型サイバー攻撃・分析復旧ソリューション「SECDO」は、クラウドサービス版とサーバーソフトウェア版(オンプレミス向け)の2種類の提供形態を用意している。丸紅ITソリューションズでは、「SECDO」を活用した、サイバー攻撃被害に関する監視・検知・分析・復旧のアウトソーシングサービスも提供する予定だという。
