オリゾンシステムズは2017年2月1日、社内ネットワーク通信の振る舞いからマルウエア感染や不正ログインなどのセキュリティ上の脅威を検知するソフト「Flowmon ADS」を強化し、米シスコシステムズ製のスイッチと連携して脅威を自動的に遮断・ブロックできるようにしたと発表した。新機能は、2月1日に提供を開始した。
シスコ製のスイッチを制御するネットワーク管理ソフト「Cisco Prime Infrastructure」(Cisco PI)と連携する。Cisco PIのWeb APIを介して、マルウエア感染端末などをスイッチから切り離すリクエストを発行する。リクエストを受けたCisco PIは、スイッチにログインしてCLI(コマンドラインインタフェース)コマンドで端末を切り離す。
Flowmonは、ネットワーク機器やプローブ装置からフロー情報を収集して蓄積し、これを分析するためのアプライアンス製品である(関連記事:オリゾンシステムズ、キャプチャをNetFlowに変換するトラフィック分析アプライアンスを出荷)。フロー情報とは、いつ、どの端末から、どの端末に、何のアプリケーション通信を行ったか、というネットワーク通信の概要であり、これを収集することによって、トラブル発生時の原因究明や異常な通信の検知などに利用できる。
今回強化したFlowmon ADSは、Flowmonの機能を拡張するプラグインであり、ネットワーク通信の振る舞いを調べることで、マルウエア感染などのセキュリティ上の問題を検知する機能を提供する。典型的な攻撃の振る舞いとして、現状で42種類のパターンを登録している。例えば、短時間に多数のログインを試みている端末などを検知する。複数の振る舞いを組み合わせて脅威を判定することもできる。運用管理ソフトのIPアドレスを検知対象から除外するといった設定も可能。
今回の強化によって、Flowmon ADSが脅威を検知した際に、Cisco PIと連携して問題のある端末をネットワークから切り離せるようにした。端末をネットワークから切り離す条件は、ユーザーが細かく設定できる。リアルタイムに蓄積されていくフロー情報を5分に1回のペースで分析し、条件に合致した場合にネットワークから切り離す。
価格(税別)は、Flowmonの中核製品で、フロー情報を蓄積・分析するFlowmonコレクタが100万円程度から。振る舞い検知の機能を提供するプラグインであるFlowmon ADSは、Cisco PIとの連携が可能なBusinessエディションの場合に300万円から400万円程度から。合わせて500万円程度から。
「ネットワーク通信の振る舞いを検知して遮断するというFlowmon ADSの手法は、ゲートウエイとエンドポイントを対象とした既存のセキュリティ対策を補完する」と、オリゾンシステムズはアピールする。
