日立、ネットワークセキュリティ対策の自動化ソリューションを販売
2016年12月20日 21:33
日立情報通信エンジニアリングと日立ソリューションズは20日、セキュリティの脅威(インシデント)に対し、問題のある端末をネットワークから自動で切断または隔離するソリューションを21日から販売開始すると発表した。
このソリューションではまず、日立ソリューションズが販売している「Splunk」のイベントログ収集・相関分析を利用し、脅威を検知する。「Splunk」は、膨大なマシンデータを収集し、検索や監視、分析・可視化を可能とするシステムで、サーバ1台から大規模なネットワークまで対応している。検知された脅威は、ネットワーク管理SDNシステムの「Cisco Prime Infrastructure」(Cisco PI)がネットワークを制御し、セキュリティ対策の初動を自動化する仕組みだ。
日立情報通信エンジニアリングは、セキュリティ脅威発生時に人手を介さずネットワークを自動制御する「Splunk」と「Cisco PI」の連携プログラム「インシデント レスポンス自動化SDK for Prime Infrastructure」(インシデント対応SDK)を開発。この「インシデント対応SDK」は、セキュリティ対策の初動に必要な切断や隔離などの機能を集約したライブラリであり、対象端末のIPアドレスを基に制御対象のネットワーク機器を自動的に認識して制御するなど、簡単なインタフェースでネットワーク制御を実現する連携プログラムだ。
「インシデント対応SDK」が「Splunk」と「Cisco PI」を繋ぐことで、従来は人手を介して実施されていた初動対応を自動化することができ、夜間や休日など情報システム管理者不在時でもセキュリティ対策の初動が行えるなど、サイバー攻撃被害の最小化と運用管理コストの低減が可能。
日立ソリューションズでは、「Splunk」に関して豊富な導入実績や経験を持つことから、不正があると思われる機器やシステムのログを相関分析し、より高度なセキュリティ脅威の検知が可能としている。「インシデント対応SDK」に関しては、さまざまなセキュリティ製品との連携を柔軟にするユーザースクリプトを用意することで、導入済みのシステムを利用できるほか、より高度なマルウェア対策システムへのアップグレードにも対応可能としている。