未知の脅威に対応し、セキュリティ事故発生をゼロへ

 アルプス システム インテグレーション(ALSI)のウェブフィルタリングソフト「InterSafe WebFilter」が新機能を搭載し、「InterSafe WebFilter Ver. 9.0」として2017年11月30日に発売となった。新版は、従来のURLデータベースに加え、第2のエンジン「高度分類クラウド IWCC」を新設。さらに、ウェブアクセスを国・地域別にリアルタイムで可視化する「Geoスコープ(ジオスコープ)」の新搭載によって、セキュリティ事故の発生を限りなくゼロにできるという。

高度分類クラウドにより
網羅率100%に限りなく近づく

 ALSIは、1996年にフィルタリング事業に着手、2000年に自社開発のソフトとしてInterSafe WebFilterの提供を開始した。同製品は、14年連続で国内市場シェア1位(※)を獲得している。

 InterSafe WebFilterのURLデータベースは、国内外のメジャーサイトを中心にデータ収集しており、現在、目視判定で登録されたコンテンツ数は約45億件以上、URL分類は148カテゴリ、網羅率(=カテゴリの分類率)は約98%と国内最高水準を誇る。携帯電話キャリア3社がInterSafe WebFilterのURLデータベースを採用していることも、その高い評価を裏づけている。
 
201801101706_3.jpg
 
201801101706_4.jpg

和田秀之
セキュリティ事業部
ビジネス企画部
プロダクト企画課
課長

 「それでも最近のサイバー攻撃によるマルウェア感染など、高度化する外部の脅威に対処していくには、未知の脅威や不審な通信への対策が欠かせない。当社も、そこに焦点をあてて研究を進めるなかで課題としたのが、残り2%の未知のURLへの対応だった。セキュリティインシデントを限りなくゼロに近づけるにはどうすべきかを模索するなか、新機能として開発したのが、高度分類クラウド IWCCだ」と和田秀之・セキュリティ事業部ビジネス企画部プロダクト企画課課長は解説する。

 新設の高度分類クラウド IWCCは、従来のフィルタリング用URLデータベースに加えて機能する第2のエンジン。従来のURLデータベースが網羅できなかった残り2%の未知のURLに対応するため、ワールドワイドでのユーザーアクセスデータの反映を強化した。主に、サイバー攻撃の温床になりやすいニッチなサイトや一時的にオープンするサイトなどをクラウド上で収集して、アクセス判定する。リアルタイム性が高いため、新たな攻撃にもすばやい対処が可能になる。さらに、IWCCでも未分類となった未知のURLは、アクセス規制により不審な通信を防止する。このIWCCの解析システムは、ALSI独自のアルゴリズム(特許出願中)を採用している。

 「二つのエンジンによる判定で未知のURLへの通信は限りなくゼロに近づき、セキュリティインシデントをさらに低減することができる」「もう一つの大きなメリットは、従来型のブラックリスト運用ではなく、利便性を損なわずにホワイトリスト運用が可能になることだ」と和田課長は説明する。

 前述のように、InterSafe WebFilterはURLデータベースの高い網羅率に加え、分類カテゴリが豊富。これにIWCCが加わったことで、未分類URLは大きく減少する。そこで「未分類」カテゴリを一時規制または規制解除申請に設定するだけで、ユーザーはほとんど制限を受けないホワイトリスト運用が実現する。同時に、万が一の際、インシデントの分析にあたっては未分類だけを調査すればいいので、管理者の負担も大幅に軽減できる。

 「ブラックリスト運用はイタチごっこで対策も限界にきている。今やホワイトリスト運用への転換を考えるべき時期ではないか」と和田課長は訴える。

ウェブアクセスを可視化
予兆を把握する「Geoスコープ」

 新版のもう一つの目玉となる機能が、ウェブアクセスを国・地域別にリアルタイムで可視化し、迅速な状況把握とインシデント対策が可能となる、Geoスコープの搭載だ。各国ごとのアクセス状況は指定した月、週、日の単位で集計し、一目で把握することができる。未知のURLについては、これまでのフィルタリングアクション(規制・一時解除・許可)に加え、新たに国別・地域別の規制に対応した。

 「例えば、取引がない国への未知のURLアクセスが増加した場合に該当国へのアクセスをブロックしたり、通信集中による負荷といったアクセス状況をすばやく把握できるため、予兆のうちに適切な対処が可能になる」と和田課長は説明する。

 また、プロキシログやSIEM情報(セキュリティ情報とイベント管理)との突き合わせによるインシデントの判定負荷を軽減できるため、SOCやCSIRTを支援するツールとしても利用できる。加えて、経営層に状況を報告したり、説明資料を作成する際のデータとしても有効活用が可能だ。

コストパフォーマンスも抜群

 このほか新版では、サーバーの稼働状況を可視化するパフォーマンスモニタ機能を搭載した。マスタとスレーブの稼働状況やフィルタリング状況を管理画面で一括してモニタリングすることができる。モニタリングデータも、CPU、メモリ、ディスクの使用率、各サービスの稼働状況、各種リクエスト数など多彩で、管理者の負担軽減につながる。

 また、新版はファイルをダウンロードする時に無害化する製品と連携できるようになったことから、ランサムウェア対策の強化が可能。連携製品は順次、拡大する方針だ。

 「他社製品では有償オプション扱いになる機能を搭載しながらも、新版の価格は従来同様に抑えた。コストパフォーマンスは数倍高いと自負しているので、ぜひ、導入を検討して欲しい」と和田課長はアピールする。


※各種調査調機関のデータをもとにしたALSI調べ