「サイバー攻撃の警告メッセージは膨大な量になり、マルウエアに感染した端末の特定は難しい。これを支援する」(米ダンバラ、CEOのデビッド・ショルツ氏、写真1)。米ダンバラ(DAMBALLA)は2015年4月7日、都内で発表会を開き、同社製品「DAMBALLA Failsafe」の概要と、国内での事業展開について説明した。国内では、1次販売代理店のアズジェントが4月7日に製品販売を開始した。販売目標は、初年度2億円、3年間で10億円を見込む。
DAMBALLA Failsafeは、企業が標的型攻撃などのサイバー攻撃を受けているかどうか検知する製品。マルウエアに感染して犯罪者のサーバーと通信している端末などを発見すると、与える影響が大きい事案から順にリスト化して提示する(画面)。検知を自動化するだけでなく対処すべき事案をピンポイントで知らせてくれるので、検知から対処までの時間を短縮できるのが特徴だ。「何カ月もかかっていた作業が数日で済む」(CEOのデビッド・ショルツ氏)。
社内LANを流れるデータを分析して、マルウエアに感染した端末のネットワーク上での振る舞いを調べる仕組み。犯罪者のサーバーに関する情報や、マルウエア特有の振る舞いのパターンなどを内部で持っており、これと照らし合わせている。
警告メッセージが多すぎて手に負えない
サイバー攻撃の検知と分析こそがセキュリティ対策において足りないピースだった、と米ダンバラは説明する。従来は、普段と違う挙動など、何かおかしい事象があった時にセキュリティ機器が警告メッセージを出していた。ただこのやり方では誤検出が生じやすく、脅威を特定しにくいという問題があった。ある企業では、1週間で1万7000件の警告メッセージが出たが、このうち本当に怪しいメッセージは19%だけだったという。
日本オフィスの新免泰幸氏(写真2)は、時間と手間がかかる検知と分析を自動化し簡素化できる点にメリットがあると胸を張る。8種類の検知エンジンを使ってネットワーク上のトラフィックを監視し、8個のエンジンの分析結果を突き合わせて脅威のパターンを分析。さらに挙動、重要性、目的などの情報から企業活動に与えるリスクをあぶり出し、優先度を付けて提示する仕組みは同社ならではという。
平均7カ月潜伏する、マルウエア
国内では、ファイアウォール製品などのセキュリティ製品を扱うアズジェントが販売する。大企業向けに販売するほか、中小企業に対してもSIベンダーなどを通じて提供する。ライセンスは監視ノード数に応じて変わる。買い切り型のほか、年額制での契約も可能。年額制の場合、価格(税別)は最小構成(500ノード)で年額756万円。
アズジェントの杉本隆洋社長(写真3)は、「(疑わしい動きを一旦隔離する)サンドボックスだけでは標的型攻撃は防ぎきれない。社内に侵入したマルウエアにどう対処するかが課題」と指摘。マルウエアに感染した端末は平均して7カ月間、感染したまま放置されているといい、潜伏中に犯罪者が用意した外部のサーバーと通信して攻撃の準備を整えていくのだという。
競合製品との優位性について杉本氏は、データを長期にわたって蓄積して平常時の振る舞いを学習する必要がない点を上げる。「センサーを置いてすぐに異常な振る舞いを検知できる」という。
