Fortinetインテグレーションによるセキュリティー脅威への対応の自動化

2020年06月18日

Flowmonの開発元であるFlowmon Networks社から現在公開されている、Fortinet社製品とのインテングレーション動画「Automated incident response with Flowmon and FortiGate」^※から、このインテグレーションにより得られる付加価値についてご紹介したと思います。ここで対象となっているFortinet社製品は、「次世代ファイアウォール」のFortiGateと、「セキュリティ情報・イベント管理ソリューション」となるFortiSIEMになります。
※英語でのご案内となります。日本語字幕なし。

多層防御

当該動画では、まず平均のデータ侵害事故の検知に約200日弱の時間がかかり、ほぼ２割程度の組織のみで適切な対応が取られているに過ぎない現状の解説から始まります。そして検知の網羅性を高めるためには、多層防御の考え方が重要であるというメッセージにつなげています。多層防御はテクノロジーの異なる複数のセキュリティー製品により、検知事象の幅は広がることになるため、基本的かつ重要なアプローチとなります。

図1：多層防御

図1：多層防御

一般的にFlowmonの様なネットワークトラフィックの解析からセキュリティーインシデントを検知するソリューションでは、幅広い事象を把握することが可能ですが、個々の事象についての詳細な情報が不足する場合があります。例えばエンドポイント系のセキュリティー製品では、各エンドポイント内の詳細な動きも把握することから、その様な詳細情報を補完することができ、これらのセキュリティーソリューションの情報を統合することで、より正確な全体像を把握することが可能となります。

早期検知

次のインテグレーションの優位点としては早期検知が挙げられています。FlowmonとしてはADSの振る舞い検知によって、被害が発生する事前事象を捉えることができるので、それによってFortiGate/FortiSIEMに早期に対応連携が可能なことから、そのメリットが示されています。

図2：特定IPの通過不許可

図2：特定IPの通過不許可

2020年06月03日にベータ版リリースが行われたADSの最新バージョン11では、セキュリティーインシデント検知のスループットを格段に高めたデザイン変更が行われており、このインシデントの早期検知に期待される防御性能を飛躍的に高めたリリースと言えます。

自動化

そして３つ目の優位性として、その連携そのものつまりFlowmonによる検知から直接イベント情報がFortiGate/FortiSIEMに連携されることにより、リスクのある外部通信を遮断したり検疫処理を行う等の、自動化を挙げています。この自動化によりリスク検知からその防御に関わるアクションまでが瞬時に連携されることとなり、より高いシステムの安全性が確保されることとなります。

図3：特定IPの通過不許可

図3：特定IPの通過不許可

この自動化のために提供されているスクリプトも加工の自由度があるため、要件に合わせて様々にカスタマイズが可能となっています。またREST他一般に普及している多くのAPIをFlowmonではサポートしているため、提供されているこれら連携のためのパッケージのほか、多様な自動化シナリオを実現することができます。

FlowmonではFortiGateのほか、以下を含む様々なネットワークソリューションとの自動化連携を実現しています。

またセキュリティーイベントを連携させ、より付加価値の高い解析を行うなどの連携も既に多く実現されています。

※ Flowmon Netrowks社のBlog（英文）

このインテグレーション動画の最後で締めくくられている様に、Flowmonでは、検知・応答・回復・証跡・保護で形成されるセキュリティーインシデントのライフサイクルに合わせ、今後もより網羅性の高い柔軟なソリューションの実現のため、有効なインテグレーションを提供予定です。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。