高度な標的型攻撃の発見を可能にする、次世代サイバーセキュリティプラットフォーム「Kaspersky Anti Targeted Attack Platform」を提供開始

2017年4月20日
製品ニュース

~ 組織のITインフラ全体を監視し、インテリジェンス、サンドボックス、マシンラーニングを組み合わせて高度なサイバー攻撃を発見 ~

情報セキュリティソリューションを提供する株式会社カスペルスキー(本社:東京都千代田区、代表取締役社長:川合林太郎)は、組織のITインフラ全体を監視し、高度な標的型攻撃をはじめとするサイバー攻撃を発見する新ソリューション「Kaspersky Anti Targeted Attack Platform」を本日より提供開始します。法人を対象とし、パートナー企業経由で販売します。

昨今、日本の組織を狙う高度化、複雑化した標的型攻撃は増加傾向にあり、特に長期にわたって潜伏し最終的に甚大な被害をおよぼすものが増えています。組織にはその対策として、次世代ファイアウォール、サンドボックス、エンドポイントの振る舞い検知ソフトウェアなど、特定の領域を監視する製品の導入が進んでいますが、それでも攻撃や侵入に気づくのはますます難しくなっています。さらに、全領域に対応するために複数の製品を導入するには膨大な費用がかかることから、万全な対策をしきれずにセキュリティ侵害に遭ってしまうこともあります。こうした最新のサイバー脅威のリスクを軽減するために、組織のITインフラ全体を俯瞰し、発生したインシデントに迅速かつ適切に対処するための方策が求められています。

Kaspersky Anti Targeted Attack Platformは、インターネットゲートウェイからメール、ウェブおよびエンドポイントまで、組織の複雑化したITインフラを総合的に監視し、標的型攻撃をはじめとする高度で巧妙なサイバー攻撃を発見します。これまでの単なる検知ソリューションとは異なり、攻撃の痕跡を断片的な視点で見るのではなく、ほかの痕跡との相関分析をおこなうことで重大な攻撃を発見し、深刻な被害を未然に防ぐことが可能になります。

■ Kaspersky Anti Targeted Attack Platform概要

Kaspersky Anti Targeted Attack Platformは、情報を収集するセンサーと分析するためのセントラルノード、そしてサンドボックスの3つのコンポーネントで構成されています。ITインフラ全体から情報を収集するためにセンサーを分散して配置し、収集した情報をKaspersky Labのインテリジェンス、マシンラーニングテクノロジーを組み合わせたセントラルノードおよび独自開発のアドバンスドサンドボックスで徹底的に分析します。

セントラルノードとアドバンスドサンドボックスで得られた分析結果は、セントラルノード内の標的型攻撃アナライザー(TAA)で相関分析し、相互に紐づけられたインシデントの全体像として管理画面上に表示します。インシデントは脅威の深刻さに応じて重要度が評価され、対応すべき優先度も示します。また、CSIRTなどインシデントレスポンス担当者のアサインと対応の進捗が確認できる機能により、セキュリティ担当者は管理画面を通じて、発生しているインシデントや攻撃の進行とその対応状況を一元的に把握することが可能です。


図1: Kaspersky Anti Targeted Attack Platform 全体構成図


図2:Kaspersky Anti Targeted Attack Platform 管理画面


図3:Kaspersky Anti Targeted Attack Platform管理画面 検知イベント一覧

1.ITインフラ全体から情報を収集するセンサー

・ネットワーク、メールセンサー

インターネットゲートウェイのミラーポート(TAP)からトラフィックの情報を、ウェブ通信(HTTP)とメール通信(SMTP/PoP3)からオブジェクトを抽出し、分析するためにセントラルノードに転送します。

・エンドポイントセンサー

エンドポイントのプロセス、通信、疑わしいオブジェクトとメモリイメージを、分析するためにセントラルノードに転送します。他社のウイルス対策製品がインストールされていても導入できる軽量のエージェントも用意しています。また、法人向けエンドポイント製品「Kaspersky Endpoint Security for Windows」※1 をセンサーとして利用することも可能です。

2.分析エンジン

・セントラルノード

各センサーから転送されてくるオブジェクトをKaspersky Labのインテリジェンス(定義データベース、ヒューリスティック分析、レピュテーションデータベース)を利用して解析します。YARAルールによるスキャンも可能で、APTや標的型攻撃のサイバー犯罪グループが使う、通常のセキュリティ製品では検知できない悪意あるオブジェクトをその特徴から発見することができます。また、収集した情報を継続的に監視し、マシンラーニングによって、長期間にわたる偵察活動や情報を窃取する不審な振る舞いも発見します。

3.新たな脅威を評価するサンドボックス

・アドバンスドサンドボックス

解析すべきオブジェクトをアドバンスドサンドボックスに転送し、独自開発の仮想環境で徹底的に分析します。サンドボックスを回避する最新のマルウェアに対処するために、サンドボックスのモジュールは都度配信されます。

提供開始に先駆け、国内の複数の大手システムインテグレーターがKaspersky Anti Targeted Attack Platformの検証作業を開始しており、行政機関や大手企業においても検証準備が進んでいます。今後は、セキュリティサービスを扱うパートナーと共に、マネージドサービスの開始も視野に入れて販売活動を進めていきます。

■ 提供するライセンス体系と価格

Kaspersky Anti Targeted Attack Platformの各ライセンスでは、ソフトウェアアプライアンス、テクニカルサポートが提供されます。

Kaspersky Anti Targeted Attack Platformのライセンス体系と選定の目安

ライセンスで有効になる機能 

価格

Entry
・従業員数1,000名程度の事業規模向け
・監視可能なインターネット接続帯域: 100Mbps

・ネットワークセンサーまたは、メールセンサー
・エンドポイントセンサー

オープン価格※2
参考:Kaspersky Anti Targeted Attack Platform Entryで750万円(税別)から

Standard
・従業員2,000名程度の事業規模向け
・監視可能なインターネット接続帯域:250Mbps

・ネットワークセンサー、メールセンサー:合計2台まで
・エンドポイントセンサー

Advanced
・従業員5,000名程度の事業規模向け
・監視可能なインターネット接続帯域:1Gbps

・ネットワークセンサー、メールセンサー:合計2台まで
・エンドポイントセンサー

Advanced +
・従業員50,000名程度の事業規模向け
・監視可能なインターネット接続帯域:2Gbps

・ネットワークセンサー、メールセンサー:合計3台まで
・エンドポイントセンサー

Enterprise
・従業員50,000名を超える事業規模向け
・監視可能なインターネット接続帯域:4Gbps

・ネットワークセンサー、メールセンサー:合計4台まで
・エンドポイントセンサー

管理者トレーニング

1日間 

オープン価格※2

セキュリティアナリストトレーニング

1日間

インシデントレスポンストレーニング

5日間 

※1 Kaspersky Endpoint Security for Windows Windows用のセキュリティ対策アプリケーションです。PC向けとサーバー向けがあります。

※2 価格の詳細は直接メールでお問い合わせください。(jp-sis@kaspersky.com

■ 参考情報 

「Kaspersky Anti Targeted Attack Platform」

http://www.kaspersky.co.jp/enterprise-security/anti-targeted-attacks