日立情報通信エンジニアリングと日立ソリューションズは2016年12月20日、マルウエア感染などのセキュリティインシデントが発生した際に、問題のある端末を自動的にネットワークから切り離せるようにするSIパッケージシステム「ネットワークセキュリティ対策自動化ソリューション」を発表した。12月21日から提供する。両社のどちらからでも購入できる。
インシデント発生時にネットワークスイッチの設定を動的に変更する仕組みである。従来であれば人手を介して実施していた初動対応を自動化する。システムの構成要素として、ログ解析ソフト「Splunk」と、米シスコシステムズ製のスイッチを制御するネットワーク管理ソフト「Cisco Prime Infrastructure」(Cisco PI)を利用する。
日立情報通信エンジニアリングは今回、Splunkなどの運用管理ソフトからシスコ製スイッチを制御できるように、Cisco PIとの連携機能をSDK(ソフトウエア開発キット)の形で開発した。名称は「インシデント対応SDK」である。Splunkは、連携プログラムを起動して端末のIPアドレスを伝えることによって、端末をネットワークから切り離せる。
Splunkは、マルウエア感染などのインシデントを検知したことをトリガーに、SDKを組み込んだ連携プログラムを起動する。連携プログラムは、切り離すべき端末のIPアドレスがどのスイッチに接続されているかをCisco PIを介して調べ、Cisco PIのWeb API経由で端末を切り離すリスエストを発行する。最終的にCisco PIは、スイッチにログインしてCLI(コマンドラインインタフェース)コマンドを投入して端末を切り離す。
端末を切り離す手段については、ACL(アクセス制御リスト)のフィルタリングルールで対応したり、ネットワークポートを遮断したりするなど、いくつかのパターンを用意しておいて、ケースによってSplunk側で切り替えて運用できる。
インシデント対応SDKの価格(税別)は、170万円。SIパッケージシステムの費用や、SplunkおよびCisco PIの価格は個別見積もり。
