標的型攻撃対策のRedSocksで不正な通信を検知時にFortiGateで自動遮断できる連携プログラムを独自開発し無償提供開始

(株)ネットワールドはRedSocks社(本社:オランダ)の標的型攻撃の出口対策製品「RedSocks Malicious Threat Detection (以下、RedSocks MTD)」で、悪意あるサイトへの通信を検知時に、フォーティネット社のUTM(統合脅威管理)製品「Fortinet FortiGate」で自動遮断できる連携プログラムを独自開発し、2017年1月より無償提供を開始する。
また、必要に応じて「RedSocks MTD」と「Fortinet FortiGate」両製品の評価機の無償貸し出しも行う。
「RedSocks MTD」は、NetFlow / IPFIX による全てのアウトバウンド(全てのインターネットへの通信)のフロー情報を監視し、RedSocks社独自リストが8割を占める広範囲で高精度なブラックリストとヒューリスティック検知でチェックし、悪意あるサイト等への不正な通信をリアルタイムに検知する。
アラート情報から、遮断すべき宛先のURLやIP特定はもちろん、端末の特定、脅威の内容が把握できるため、直近の脅威に対応できる他、フロー情報を長期保存し、過去のアクセス状況を遡って確認もできるため、フォレンジックとしても役立つ製品。
「RedSocks MTD」の検知力やコストパフォーマンスなどが評価されて、導入検討するユーザーが増加しているが、「RedSocks MTD」で検知した不正通信が脅威レベル1の場合には、自動遮断する仕組みの提供を要望されるケースが多くあった。
セキュリティ分野における異なるベンダー間の連携は、サイバー攻撃活動に関連する項目を記述するための技術仕様STIX言語で記述された情報を共有・交換するための技術仕様TAXIIに則り行うことが今後のデフォルトになる。TAXIIの仕様策定メンバーがいるRedSocks社はいち早くSTIX / TAXIIに対応しているものの、インプット、アウトプット共に対応しているセキュリティメーカーは、まだ多くない。自動遮断の実現には、「RedSocks MTD」からのアラート情報を受け取るインプットにおいて、他のメーカーのSTIX / TAXII対応が待たれる。
そこで、自動遮断の連携をより早期に実現するため、RedSocks社の日本初のディストリビューターであるネットワールドは、独自で連携プログラムを開発することにした。
今回無償提供を開始する自動遮断連携プログラムは、多くのUTMや次世代ファイアウォールの中でも、国内No.1のシェアを誇るフォーティネット社のUTM製品「Fortinet FortiGate」との連携プログラムになる。
同プログラムにより、一刻を争う脅威に対し、「RedSocks MTD」のリアルタイム検知を活かしつつ、さらに防御まで含めたリアルタイムの初動対応が可能になり、サイバーセキュリティ対策のレベル向上や管理者の運用負荷軽減を図ることができる。

(株)ネットワールド
http://www.networld.co.jp/