NECは2015年3月30日、マルウエア感染が疑われる社内端末を社内LANから自動的に隔離するシステム「サイバー攻撃自動防御ソリューション(次世代ファイアウォール連携)」(図)を販売開始した。次世代ファイアウォール機器とSDN(ソフトウエア・デファインド・ネットワーク)製品を組み合わせて、マルウエア感染検知時の初動対応を自動化する。価格(税別)は、ハードウエア/ソフトウエア一式で1100万円から。必要に応じて別途SI(システムインテグレーション)費用がかかる。
NECは今回、同社のSDNコントローラー/スイッチ製品群「UNIVERGE PF」を特定用途に応用したパッケージシステムの新製品として、SDNを用いてマルウエア感染端末を自動的に隔離するためのシステムを用意した。マルウエア感染端末を推定する機器としては、パロアルトネットワークスの次世代ファイアウォール機器である「PAシリーズ」を使う。NECは今回、PAシリーズとSDN製品群を連携させるためのアダプターソフトを新規に開発した。
新規に開発したアダプターソフトは、PAシリーズが検知したマルウエア感染端末を、SDNコントローラーを使って社内LANから隔離する。具体的には、PAシリーズが出力したログをSyslog経由で収集し、ポリシーに基づいてネットワーク構成を動的に変更する。ネットワーク構成は、Web API(REST API)を介してSDNコントローラーの設定をリモートから制御することで変更する。
システムの最小構成は、SDNコントローラー×1台、SDNスイッチ×2台、次世代ファイアウォール×1台、SDN連携アダプターソフト、---である。それぞれのエントリー製品を組み合わせた場合の価格は、1100万円から。
次世代FWが感染端末を検知、アダプターがSDNを制御して隔離
マルウエア感染を検知するPAシリーズとは、IPアドレスやポート番号だけでなく、使っているアプリケーションの種類やユーザー名などを識別してアクセス制御に利用できる次世代ファイアウォール機器である。発見したばかりの新規のマルウエアについての知識をクラウド上で共有して配信する仕組みを持つ。こうした機能を利用して、特定の外部アドレスと通信しているなど、マルウエア感染が疑われる怪しい挙動を検知する。
NECは、今回のPAシリーズとの連携のほかにも、SDNコントローラー/スイッチと他社製セキュリティ製品を連携させるパッケージを用意している。2014年11月には、標的型攻撃を検知してSDNでネットワーク構成を変更することを目的に、トレンドマイクロの「Deep Discovery」と「Deep Security」とSDNコントローラーを連携させるためのアダプターソフトを開発している(関連記事:標的型攻撃を検知してSDNで自動制御、NECが来春販売)。
