米Solera Networksは,ネットワーク・フォレンジック装置を開発しているベンダーである。フォレンジックとは,コンピュータ同士がネットワーク上でやり取りしているIPパケットのすべてを取り込んで記録すること。ネットワーク上で不具合が発生した場合や,情報漏えいあるいは不正アクセスといったセキュリティ上の問題が発生した場合に,あとから分析することで原因や証拠を発見できる。ITproは,来日中の同社幹部に,フォレンジック製品の動向を聞いた。

(聞き手は日川 佳三=ITpro

米Solera NetworksでPresident & CEOを務めるSteve Shillingford氏(写真左),CTOを務めるJoe Levy氏(写真中央),ソレラネットワークスジャパンで代表取締役社長を務める皆川文哉氏(写真右)
米Solera NetworksでPresident & CEOを務めるSteve Shillingford氏(写真左),CTOを務めるJoe Levy氏(写真中央),ソレラネットワークスジャパンで代表取締役社長を務める皆川文哉氏(写真右)
[画像のクリックで拡大表示]

数あるセキュリティ製品の中でフォレンジックの必要性は何か。

CTOのJoe Levy氏:ファイアウォールやIDS/IPS,UTMといったフォレンジック以外のセキュリティ製品群は,技術が進歩すると古い製品になってしまう。セキュリティ上の問題点を必ず検知できるとも限らない。必要な機能が生じるたびに買い替えや追加購入などが発生し,投資し続けることもままならない。一方,パケットをキャプチャするフォレンジックという手法は,永遠に古くなることがない。将来に渡って,いつまでも使える考え方だ。

 ログによる監視だけでは,ネットワーク上で起こっている全ての事実をつかむことはできない。だが,全てのパケットをそのままの形で取得して保存しておけば,ネットワークを介した脅威の全てを把握可能だ。先日も,日本で開催したセミナーで,興味深い議題が出たので紹介しよう。米国が日本のセキュリティ意識の低さを心配している,というものだ。日本を経由して米国の情報が他国に漏れてしまうことを恐れているのである。

そのフォレンジック市場におけるSolera Networks社製品の特徴は何か。

CEOのSteve Shillingford氏:まず第1に,ソフトウエア・ベンダーである点を挙げたい。製品はストレージやサーバー機能を内蔵したアプライアンスの形態をとっているが,我々が開発しているのはソフトウエアであり,ハードウエアには依存しない。このため,必要となるCPU処理性能やストレージ容量に応じてハードウエアを拡張できる。7種類のモデル,増設用ストレージ・ユニット,VMware仮想アプライアンスを揃えているほか,ユーザーの要望次第ではソフトウエア単体でも提供する。

 性能も最初から高い。上位モデルのキャプチャ性能は,10Gビット/秒に達する。性能の高さは重要だ。例えば,これまで複数台のフォレンジック装置を同時に使う必要があった場面において,1台の装置だけで事足りるようになる。収集すべきパケットを限定することなく,全パケットを1台で収集するといった使い方が可能になる。そもそも,ユーザー企業がネットワークに流しているデータ量自体が,急速に肥大化している。

 ストレージ容量と記録容量に制約はないが,上位モデルのストレージ容量は16Tバイト,増設用ストレージ・ユニットは1台あたり24Tバイトである。キャプチャしたパケットは,ファースト・イン/ファースト・アウトで,古いものから順番に消していく。上位モデルの16Tバイトという容量は,典型的な使い方で10Gビット/秒のデータを取得した際に,1~2週間分のパケットを保持できる容量である。巨大な事例では,米国の政府機関が約100カ所で約10Gの帯域を6カ月間分の長期間に渡ってキャプチャしている。

収集したパケットを分析するソフトの特徴は何か。

CTOのJoe Levy氏:大きく3つの情報検索/分析インタフェースを用意している。1つはネットワーク利用状況をグラフ化してレポートするもの。そして,残りの2つは極めて斬新でユニークだ。順番に紹介しよう。

 まず第1に,Googleのようなキーワード検索画面を備えている。ユーザーは,記録してあるパケット群に対して,複数のパケットを組み合わせて構成されるファイル・データの単位で,検索・閲覧・利用できる。ファイルの形では存在していなくても,該当するキーワード文字列を含んだファイルに対してアクセスできるのだ。

 テキスト・ファイルやオフィスの文書ファイルなどのように,元々がファイルだったものを検索対象にできるだけでなく,ファイルの形になっていなかったデータまで検索/閲覧できる。例えば,メール・データは,検索/閲覧時にSolera DSが自動的にemlファイルに変換する。PDFファイルのクリックでPDFのビューアが起動するように,emlファイルの検索/閲覧により,メール・ソフト内でメールを開くことができる。Webの動的ページの結果なども静的なHTMLファイルとして取り出せる。

 第2に,分類フォルダのドリルダウンによって,所望のパケット・キャプチャ・データ(PCAP形式のファイル)を得ることができる。フォルダの分類方法は,ネットワーク・インタフェースの種類や対象プロトコルの種類,IPv4/v6の区別など。こうした各種の分類条件によってフィルタリングされたPCAPファイルに対して,対話型にフォルダを辿ることでアクセスできる。PCAPファイルは,あらかじめ分類済みではなく,フォルダを辿る行為によって生データから目的のデータをリアルタイムに抽出する。

フォレンジック装置は設置したまま放置されるイメージがある。ファイル検索などをアクティブに使う事例はあるか。

CEOのSteve Shillingford氏:情報分析ソフトの利用以外にも,日常的に活用している例は多い。例えば,ある顧客は,ユーザーAからユーザーBへのデータ転送があった際に,その旨をSolera DSから確認用メールとして出力している。また,Solera DSはAPI(RESTまたはSOAPによるWebサービス)を用意しており,各種のアプリケーションからSolera DSの機能を活用することができる。