外部からの攻撃対策
i-FILTER Ver.10の外部攻撃対策①
人が辿りつけるURLを「i-FILTER」はすべて把握します。
従って、悪性URLを排除した『安全なwebの世界』を実現します。
従来の『i-FILTER』のDBは「ブロック対象となりうるURLをカテゴライズする方式」でした。
『i-FILTER』Ver.10のDBは、検索サイトでヒットする国内のWebサイトのURLを、コンテンツのURLまで含めてDB登録することで、あらゆるURLをカテゴライズする方式に変わります。
これにより、検索サイトで検索できない( =人がブラウザーで辿りつけないマルウェア通信 )アドレス空間である「ダークネット」や「Deep Web」 といったC&Cサーバーの隠れ先との通信をあぶり出し、ブロックします。
※ i-FILTER Ver.10のカテゴリ
「i-FILTER」Ver.10では115カテゴリ( ユーザー定義カテゴリは含みません )を 用意し、日常的に利用するサイトを100%網羅します。
i-FILTER Ver.10の外部攻撃対策②
網羅率ほぼ100%を維持するための仕組みを新たに導入
数日前に公開されたばかりのWebサイトなど、検索サイト自体の網羅が間に合わないWebサイトのURLは『i-FILTER』Ver.10でも網羅が間に合いません。従って、アクセスしようとするURLが未知のURLだった場合は、個人情報を含むパラメーターを取り除いたURLが弊社が運用するクラウド上の『i-FILTER』Ver.10に通知され、デジタルアーツにてカテゴリ分けした後にDBに配信されます。
この仕組みにより、継続的に網羅率100%を維持します。日本語コンテンツで「閲覧できて問題のないサイト」と判断したものは、1営業日を目処にカテゴライズして配信。DB配信は1営業日に4回実施されます。
i-FILTER Ver.10の外部攻撃対策③
有償オプション全世界の地域と言語まで網羅可能な Global Databaseオプションを新たに用意
i-FILTER Ver.10の外部攻撃対策④
m-FILTERが必要『m-FILTER』 Ver.5との連携で実現する偽装メールDBで標的型メール由来のアクセスをブロック
i-FILTER Ver.10の外部攻撃対策⑤
多層の制御構造で標的型攻撃をブロック
『i-FILTER』Ver.10では、『m-FILTER』Ver.5との連携による偽装メールDB、未登録のURLのブロックによる「ダークネット」や「Deep Web」との通信の根絶を簡単に設定可能です。また、Global Databaseオプションによる全世界の地域と言語の網羅により標的型攻撃由来のWebアクセスをより確実に阻止し、『i-FILTER』が従来から持っている『脅威情報』や『不正IT技術』などのカテゴリや個別リストを組み合せることで、標的型攻撃対策から従来の内部情報漏洩対策としてのWebフィルタリング機能まで一気通貫で1つの製品で実現可能になります。
i-FILTER Ver.10の外部攻撃対策⑥
有償オプションSSL通信を利用したマルウェア通信も解析可能にするSSL APT Adapterオプションを新たに用意
SSL通信をデコードしてサンドボックス製品などで検知を可能にするオプション。従来の『i-FILTER』ではSSLデコードした通信を外部機器に受け渡すことができず、C&CサーバーとのSSLコールバック通信を解析するためには、SSLアクセラレーター製品を別途導入する必要がありましたが、手軽な値段で実現することができるようになります。
※「i-FILTER SSL APT Adapter」自体は「i-FILTER APT Protection」をご購入いただかなくてもご利用可能ですが、サンドボックス製品と「i-FILTER」Ver.10との連携を行う場合には、「i-FILTER APT Protection」も別途購入が必要です。「i-FILTER」Ver.9同様、Sandbox製品とも連携可能です
未知の脅威を防御するSandbox製品と連携
近年増加する、ゼロデイ攻撃などの未知の脅威に対しての防御策が必要です。i-FILTERは、Web上の「未知の脅威」に対する防御策で業界をリードする「FireEye」のWebセキュリティ NX/CMシリーズ、標的型攻撃の「内部対策」と「出入口対策」をワンストップで提供する「Trend Micro」のネットワーク可視化製品Deep Discovery Inspector(DDI)シリーズとの連携オプションをご用意しています。
| 連携方式 | 対応モデル・バージョン | 取得できる「malware type」 | ||||
|---|---|---|---|---|---|---|
| FireEye(※2) | i-FILTER | D-SPA | APT Protection | NX連携 | CM連携 | |
| Urllist方式(※1) | ・NXシリーズ(※3)
・CMシリーズ |
Ver.9.0以上 | Ver.3.0以上 | Ver.1.0以上 | ・FireEye_Callbacks
・FireEye_MaliciousURL |
・domain_match
・malware_callback ・malware_object ・web_infection ・infection_match |
| Notification方式
(※1) |
・NXシリーズ(※3)
・CMシリーズ |
Ver.9.4以上 | Ver.3.0以上(※4) | Ver.2.0以上 | ・domain_match
・malware_callback ・malware_object ・web_infection ・infection_match |
・domain_match
・malware_callback ・malware_object ・web_infection ・infection_match |
| 対応モデル・バージョン | |||
|---|---|---|---|
| DDI(※5) | i-FILTER | D-SPA | APT Protection(※2) |
| ・Deep Discovery Inspector 250 / 1100 / 4100
Ver.3.8 SP1~SP3 |
Ver.9.5以上 | Ver.3.0以上(※6) | Ver.3.0以上 |
(※1) urllist方式:「i-FILTER」がFireEyeのアラートを定期的に収集する方式。 Notification方式:FireEyeが最新のアラートを自動的に「i-FILTER」に提供する方式。
(※2) FireEyeのファームバージョンやAPT Protection(旧オプション名:FE Adapter)の対応OSなどの詳細な動作環境は、製品ページをご確認ください。
http://www.daj.jp/bs/i-filter/option_relation/fe_adapter/
(※3) FireEye NX Essentialsも含まれます。
(※4) 「i-FILTER for D-SPA」オプションをご利用の場合は、Ver.9.4以上にアップデートが必要です。
「i-FILTER for D-SPA」オプションをご利用されてない場合は、D-SPAのプロキシ機能をVer.9.4以上にアップデートが必要です。
(※5) 『Deep Discovery Inspector』でサンドボックス解析されたファイルから取得されたアラートが連携対象です。
『Deep Discovery Inspector Virtual Appliance』及び、『Deep Discovery Email Inspector』は連携対象外です。
『Deep Discovery Inspector』がSSL通信のサンドボックス解析に対応していないため、SSL通信のアラートは連携対象外です。
(※6) 『i-FILTER for D-SPA』オプションまたは、D-SPAのプロキシ機能をVer.9.5以上にアップデートする必要があります。
「i-FILTER」Ver.9同様、 SIEM製品とも連携可能です
様々なシステムのログを統合管理するSIEMとも連携
管理者が標的型攻撃を受けていないか調査するためには、1つずつシステムのログを確認し、怪しい挙動となる相関関係があるイベントがないかを解析するのはとても手間がかかります。
その手助けをしてくれるのがSIEM( Security Information and Event Management )です。
そのSIEMとi-FILTERのアクセスログをリアルタイムで連携することを実現!
| 製品名 | 動作環境 |
|---|---|
| Splunk | 検証済み |
| QRadar | 検証済み |
| その他のSIEM製品 | 順次検証 ※お問合せください。 |
