三菱電機インフォメーションネットワーク(MIND)は、三菱電機情報技術総合研究所が開発した「サイバー攻撃検知技術」を取り入れ検知精度を向上させた「標的型攻撃対策サービス」を8月7日から提供すると発表した。攻撃で利用されるマルウェアは数億種類に及び、1つひとつを見分けて検知するのは困難だが、このサービスでは多数のマルウェアの活動をわずか数十種類の「攻撃」に分類し攻撃を検知する。これにより高精度の監視を実現するとしている。

 「標的型攻撃対策サービス」は、企業環境の各種機器のログを収集し、SIEM(Security Information and Event Management)を用いたログ分析により標的型攻撃を検知する。SIEMでは、独自のログ分析ルールを用いて攻撃の痕跡となるログの発生を監視するが、正規ユーザーのパスワード誤入力などを攻撃として誤検知する場合があったという。

 今回、従来のログ分析ルールによる検知手法に加え、新たに「攻撃シナリオを活用したログ分析手法」を導入することで、攻撃と正規ユーザーの活動を高精度で判別することが可能になる。これにより、誤検知の発生を低減させ、誤検知に伴う運用負荷を軽減するとともに、多様な攻撃・脅威に対する監視が可能になるという。

 ■サービスの特徴

 1. 攻撃に対する網羅的な監視を実現



標的型攻撃で用いられるマルウェアの活動を分析し、数十種類の攻撃手口に分類。
分類した攻撃手口を検知するログ分析ルールを導入することで、網羅的な監視を実現。

 2. 攻撃シナリオにより攻撃検知の精度向上



実際の攻撃で発生するいくつかの連続した攻撃手口の組み合わせを攻撃シナリオとして定義。
検知した攻撃手口が、攻撃シナリオに沿って実行されているかを確認。
攻撃シナリオに沿った活動のみを検知対象とすることで、誤検知を低減し精度の向上を実現。
攻撃シナリオを活用した攻撃検知

EnterpriseZine編集部[著]