図●マルウエア感染端末の検知からセキュリティ製品による対処までを自動化できる
図●マルウエア感染端末の検知からセキュリティ製品による対処までを自動化できる
(出所:米ダンバラ)
[画像のクリックで拡大表示]
写真●米ダンバラ、CTO(最高技術責任者)のスティーブン・ニューマン氏
写真●米ダンバラ、CTO(最高技術責任者)のスティーブン・ニューマン氏
(出所:米ダンバラ)
[画像のクリックで拡大表示]

 米ダンバラ(DAMBALLA)は2016年1月26日、社内ネットワークを流れる通信パケットを分析することによってマルウエアに感染した端末を発見するアプライアンス製品の新版「DAMBALLA Failsafe 6.1」を提供開始した。新版では、データ連携可能なセキュリティ製品を増やした。例えば、大手ベンダーのファイアウォールにマルウエア感染端末の情報を通知し、外部との通信をブロックできるようにした。

 DAMBALLA Failsafeは、マルウエアに感染して犯罪者のサーバーと通信している端末を自動で検知し、ビジネスに与える影響が大きい事案から順にリスト化して提示する製品である(関連記事:マルウエア対策、全自動で確実に 米国の気鋭製品が日本上陸)。これにより、マルウエアの検知から対処までの時間を短縮できる。プロキシー装置など外部のセキュリティ製品が公開しているAPIを利用してデータ連携することによって、DAMBALLA Failsafeによる検知からセキュリティ製品による対処までを自動化できる()。

 今回の新版では、データ連携可能なセキュリティ製品を増やし、新たにファイアウォールと連携できるようにした。マルウエア感染端末の情報をファイアウォールに通知することによって、マルウエア感染端末から犯罪者のサーバーへの通信を自動でブロックできるようになった。連携可能なファイアウォールとして、米パロアルトネットワークスの製品と、イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズの製品を利用できる。

 新版ではまた、ファイアウォール以外にも、特権ID管理の米サイバーアーク(関連記事:特権IDによる操作を監視するソフト、機密度に応じてワークフローの複雑さを変える)、エンドポイント向け情報漏えい対策の米デジタルガーディアン(関連記事:「日本市場は追い風」、セキュリティベンダーのデジタルガーディアンが日本で攻勢に)、改ざん検知や脆弱性診断の米トリップワイヤ(関連記事:トリップワイヤがファイル更新検知ソフトの新版、ファイル内容まで検査可能に)、の3社の製品と連携できるようにした。

 DAMBALLA Failsafeがマルウエア感染端末を検知する仕組みは、社内LANを流れるネットワークパケットをキャプチャーして、これを分析するというもの。マルウエア感染端末のネットワーク上での振る舞いなどを、パケットのヘッダー情報を中心に分析する。

 これまで時間と手間がかかっていた検知と分析のフェーズを自動化/簡素化し、マルウエア感染端末と対処方法をより的確に指摘する。従来のマルウエア対策の場合、普段と違う挙動など何かおかしい事象があった時にセキュリティ機器が大量の警告メッセージを出していたため、フォールスポジティブ(誤検出)などのノイズが多かったという。