毎月約7日間もの時間を取られているシステム管理者の希望は「自動復旧ができる仕組み」――ソフォス：＠ITセキュリティセミナー2018.6-7

[宮田健，＠IT]

ソフォス セールスエンジニアリング本部 技術ソリューション部長 セキュリティエバンジェリスト 佐々木潤世氏

　＠ITは、2018年6月8日、福岡で「＠ITセキュリティセミナー」を開催した。本稿では、ソフォスの講演「攻めのインシデント対応　〜シンクロナイズドセキュリティ〜」の内容をお伝えする。

　ソフォスがシステム管理者向けに行った調査では「ファイアウォールは組織が必要とする保護を提供できていない」「IT管理者は帯域の使われ方を正確に把握していない」「そのため、無駄なコストや時間が費やされている」といった状況が明らかになった。

　IT管理者はマルウェアに感染したPCへの対処に追われている。可能ならば自律的に対応してほしい――そのような希望をかなえるため、ソフォスはエンドポイントとネットワーク機器を“シンクロナイズ”し、リアルタイムで検知、防御、復旧まで行う「Sophos Intercept X」を提唱している。

　Sophos Intercept Xの最新版では、エンドポイントにおいてデバイスで情報を収集、分析することに加え、マルウェアの駆除や、感染経緯を把握するための「根本原因解析（RCA）」ビューを提供している。これと「XG Firewall」による検知、分析機能を独自のプロトコルで協調して、自動でインシデント対応する仕組みを提供する。

　ソフォス セールスエンジニアリング本部 技術ソリューション部長 セキュリティエバンジェリスト 佐々木潤世氏は「管理者はマルウェア感染端末の修復に、毎月約7日間もの時間を取られている。ソフォスはIntercept Xで、複雑なセキュリティをシンプルにするソリューションを提供する」と述べた。

根本原因解析（RCA）ビューの例。中心右の「tasksche.exe」がファイル書き込みなどの行動を行っている。その根本原因を探ると一番左の「lsass.exe」であることが分かり、ここからSMB（Server Message Block）プロトコルの脆弱（ぜいじゃく）性を悪用した「WannaCry」亜種の感染であることが把握できる（出典：ソフォス）