NTT Com、独自解析エンジンを活用したリスク管理サービス提供へ:悪質サイトの共通点を見いだしてあぶり出し
NTTコミュニケーションズは、独自開発の「セキュリティ情報・イベント管理エンジン(SIEMエンジン)」に基づく「総合リスクマネジメントサービス」を3月から提供する。
NTTコミュニケーションズ(NTT Com)は2月7日、独自開発の「セキュリティ情報・イベント管理エンジン(Security Information and Event Management:SIEMエンジン)」に基づく「総合リスクマネジメントサービス」を3月から提供する方針を発表した。誤検知の確率を低く抑えながら、既存のセキュリティ対策では発見が困難だった未知のセキュリティリスクを発見、対処できるよう支援する。
このSIEMエンジンは、NTTのセキュアプラットフォーム研究所(NTT研究所)と、海外子会社であるドイツのIntegralis、スウェーデンのSecodeが共同で開発したものだ。顧客ネットワークに設置されたファイアウォールやIDS/IPSといったセキュリティ機器やWebプロキシから収集したログと、同社が世界中に設置したハニーポットから得た最新の攻撃情報、サンドボックスを活用したファイル解析検査結果などを集約し、分析を加える。膨大な量の情報を、Hadoopなどビッグデータ分析技術を駆使して解析することにより、真に疑わしいWebサイトや、マルウェアに感染してしまった内部端末を特定し、対応できるようにしていく。
このSIEMエンジンには、市場で提供されているほかのリスク解析エンジンには見られないアルゴリズムを実装した独自エンジンが組み込まれている。1つは、「相関通信時系列分析エンジン」。攻撃の時系列に見られる特徴を踏まえてログを分析し、長期にわたって潜伏するタイプの攻撃を見つけ出す。特に標的型攻撃では、怪しまれずに情報を盗み出すため、端末へ感染した後も目立った動きを見せず、一定時間が経過した後に活動し始めるタイプのものがあるが、こうした攻撃も発見できるという。
また、「ブラックリスト共起分析エンジン」は、DNSのクエリやHTTPリクエストなどのログと既知のブラックリストを突き合わせ、分析する。そして、共起度計算に基づき、既知のブラックリストに掲載されている悪質なサイトと共通性の高いサイトを抽出し、ブラックリストを拡張していく。同社によると、共起関係に着目することで、既存のブラックリストの70倍のリストをあぶり出していくことが可能という。
さらに、近傍探索や悪質なサイト間の構造解析を活用することで、研究所で作成するブラックリスト(セキュリティ情報データベース)も拡張していく。
NTT ComではこのSIEMエンジンを活用し、これまで提供してきたセキュリティ機器のマネージドサービスにとどまらない、高度な分析/改善提案サービスを提供していく計画だ。インシデント対応だけでなく、業界の競合他社などと比べての評価と改善計画の立案など、中長期的なリスク管理体制の確立も支援していく。SIEMエンジンを基盤として解析を自動化することで、ファイアウォールやIDSを対象とした既存のマネージドセキュリティサービスの料金は、従来の半額程度に抑えるという。
総合リスクマネジメントサービスでは、SIEMエンジンに加え、日本や米国、マレーシアなど世界7カ国に設置するグローバルリスクオペレーションセンター(GROC)の「リスク分析官」が不審なイベントやログに高度な分析を加え、深刻度を判定することで、従来のセキュリティ対策をすり抜けてくる未知の脅威を検出することだ。
また、二重に分析を加えることで、顧客が歓迎しない誤検知の割合も減らす。「これまでの誤検知の割合を100とすれば、SIEMエンジンを使うことで95%は除外でき、残りの5%を分析官が0に近づけていく」(同社)という。
Copyright © ITmedia, Inc. All Rights Reserved.