東京エレクトロンデバイスの「Phantom platform」は、運用プロセスを手順書(ランブック)通りに自動実行する「ランブック自動化ソフト」のセキュリティ版に相当する、運用自動化ソフトウエア。SIEM(セキュリティ情報イベント管理)や運用監視ソフトなどからのイベントの通知をトリガーに、ファイアウオールやマルウエア対策製品などのセキュリティ機器を、あらかじめ決めておいた内容で操作できる。

ジョブの実行条件(ワークフロー)を設計するGUIエディタの画面
ジョブの実行条件(ワークフロー)を設計するGUIエディタの画面
(出所:東京エレクトロンデバイス)
[画像のクリックで拡大表示]

 セキュリティ機器の操作内容や、運用管理ジョブの実行条件は、GUIエディタを使ってノンプログラミングで記述できる。GUIだけでは定義できない条件についてはPython言語で記述することも可能。ジョブの実行条件に担当者の承認ワークフローを組み込むことも可能で、承認時のフローを記述したり、承認の反応が一定時間なかった場合のフローを記述したりできる。

 Phantom platformがセキュリティ機器を操作する方法は大きく2つ。1つは、sash/telnetでセキュリティ機器にリモートログインし、CLIコマンドを実行するという方法である。もう1つは、Web APIをキックするという方法である。これらを使い操作をジョブとして自由に記述できるので、さまざまなセキュリティ機器を操作できる。

 セキュリティ機器ごとの操作方法の違いを吸収する仕組みとして、それぞれの機器に応じたプラグインモジュールを用意している。Phantom platformのWebサイトから、170種類(2017年12月7日現在)のセキュリティ機器に対応したプラグインを無償でダウンロードできる。

 プラグインを使うと、ジョブの記述が容易になる。セキュリティ機器に固有の用語や操作手順を用いることなく、一般的な動詞と目的語の組み合わせだけで簡単に操作内容を記述できる。全ての機器に共通して利用できる、自然言語を用いた抽象的で高レベルな記述が可能である。

Phantom platformの概要
用途と機能ランブック自動化ソフトのセキュリティ版に相当する、運用自動化ソフト。SIEMや運用監視ソフトなどからのイベントの通知をトリガーに、ファイアウオールやマルウエア対策製品などのセキュリティ機器を、あらかじめ決めておいた内容で操作できる
セキュリティ機器を
操作する主な方法
■ssh/telnetでセキュリティ機器にリモートログインし、CLIコマンドを実行する
■Web APIを呼び出す
ジョブの記述方法一般的な動詞と目的語の組み合わせだけで簡単に操作内容を記述できる。機器の操作を抽象化するプラグインモジュールを機器ごとに用意しており、無償でダウンロードできる
ジョブの実行条件の記述方法GUIエディタを使ってノンプログラミングで記述できる。GUIでは設定が難しい条件についてはPython言語で記述できる
価格(税別)年額1500万円から
発表日2017年12月7日
提供開始日2017年12月7日
備考発表日/提供開始日と価格は、販売代理店である東京エレクトロンデバイスのもの