日立情報通信エンジニアリングと日立ソリューションズの「ネットワークセキュリティ対策自動化ソリューション」は、マルウエア感染などのセキュリティインシデントが発生した際に、問題のある端末を自動的にネットワークから切り離せるようにするSIパッケージシステムである。
インシデント発生時にネットワークスイッチの設定を動的に変更する仕組み。従来であれば人手を介して実施していた初動対応を自動化する。システムの構成要素として、ログ解析ソフト「Splunk」と、米シスコ・システムズ製のスイッチを制御するネットワーク管理ソフト「Cisco Prime Infrastructure」(Cisco PI)を利用する。
日立情報通信エンジニアリングは今回、Splunkなどの運用管理ソフトからシスコ製スイッチを制御できるように、Cisco PIとの連携機能をSDK(ソフトウエア開発キット)の形で開発した。名称は「インシデント対応SDK」である。Splunkは、連携プログラムを起動して端末のIPアドレスを伝えることによって、端末をネットワークから切り離せる。
Splunkは、マルウエア感染などのインシデントを検知したことをトリガーに、SDKを組み込んだ連携プログラムを起動する。連携プログラムは、切り離すべき端末のIPアドレスがどのスイッチに接続されているかをCisco PIを介して調べ、Cisco PIのWeb API経由で端末を切り離すリスエストを発行する。最終的にCisco PIは、スイッチにログインしてCLIコマンドを投入して端末を切り離す。
端末を切り離す手段については、ACL(アクセス制御リスト)のフィルタリングルールで対応したり、ネットワークポートを遮断したりなど、いくつかのパターンを用意しておいて、ケースによってSplunk側で切り替えて運用できる。
用途と機能 | マルウエア感染などのセキュリティインシデントが発生した際に、問題のある端末を自動的にネットワークから切り離せるようにするSIパッケージシステム |
---|---|
仕組み | インシデント発生時にネットワークスイッチの設定を動的に変更する。従来であれば人手を介して実施していた初動対応を自動化する |
システムの構成要素 | ■「Splunk」(ログ解析ソフト) ■「Cisco Prime Infrastructure」(米Cisco Systems製スイッチを制御するネットワーク管理ソフト) ■「インシデント対応SDK」(Cisco PIと連携する機能。Splunkなどの運用管理ソフトからCisco Systems製スイッチを制御できるようになる) |
動作の具体例 | (1)Splunkが、マルウエア感染などのインシデントを検知したことをトリガーに、SDKを組み込んだ連携プログラムを起動する。 (2)連携プログラムは、切り離すべき端末のIPアドレスがどのスイッチに接続されているかをCisco PIを介して調べ、Cisco PIのWeb API経由で端末を切り離すリスエストを発行する。 (3)最終的にCisco PIが、スイッチにログインしてCLIコマンドを投入して端末を切り離す。 |
価格(税別) | インシデント対応SDKは170万円 SIパッケージシステムの費用やSplunkおよびCisco PIの価格は個別見積もり |
発表日 | 2016年12月20日 |
提供開始日 | 2016年12月21日 |
備考 | 日立情報通信エンジニアリングと日立ソリューションズのどちらからでも購入できる |