アズビルセキュリティフライデーは2014年11月17日、社内ネットワークを流れるWindows特有のパケットをモニタリングし、可視化するためのネットワークセンサー「VISUACT3」(写真)を発表した。11月25日に発売する。
VISUACT3をインストールしたモニタリング用PCを、LANスイッチ(L2スイッチ)のミラーポートなど経由で監視対象となるセグメントやサーバーに接続。流れるパケットをリアルタイムにキャプチャして分析・可視化する。
可視化対象となるWindowsプロトコルは、Windowsファイル共有(SMB)、認証(Active Directory)、管理アクセス(WMI)、アプリケーション連携(DCOM)、リモートサービス(MSRPC)の5種類。ファイルサーバー監視向けツールだった前バージョン(VISUACT2)ではSMBのみをサポートしていたが、サポートプロトコルを大幅に増やした。
これらWindows特有のプロトコルを可視化することで、Windowsネットワークを介して感染を広げるマルウエアの検出や、内部犯行による情報漏洩対策などに役立てられるという。例えば、「サブネットをまたがるSMB通信や、サーバーからクライアントへのSMBアクセスが発生していたら、マルウエアの侵入を疑える」(同社の佐内大司社長)という具合だ。
新版では、「ログのハッシュ値による改ざん防止」機能も追加された。「新たに記録するログには、直前に記録したログ情報とのハッシュ値を計算して付与する形を取るため、途中のログだけを抜き出して消したり改ざんすることはまず不可能。証跡としての信頼性を高められる」(佐内氏)。
製品ラインアップは、対応可能なスループットが約500Mビット/秒までの「VISUACT3」、専用LANアダプター(NIC)と組み合わせることで約3Gビット/秒まで対応可能な「VISUACT3-H」、同じく専用LANアダプターを利用して4セグメントまでの同時監視を可能にする「VISUACT3-M」の3タイプを用意する。
価格は、VISUACT3が最小構成(ソフトウエアライセンス+クライアントライセンス1000台分)で税別200万円から。既存のVISUACTユーザーは、クライアントライセンスを引き継ぐことができ、ソフトウエアライセンス(税別100万円から)を購入するだけで利用できる。
