active threat response
製品とサービス 製品とサービス

Sophos Switch/Sophos Wireless (AP6) 向け Active Threat Response のご紹介

Active Threat Response が、Sophos AP6 シリーズとスイッチのすべてのお客様にご利用いただけるようになりました。

** 本記事は、Introducing Active Threat Response for Sophos Switch/Sophos Wireless (AP6) の翻訳です。最新の情報は英語記事をご覧ください。**

Active Threat Response は、ソフォスのネットワークアクセスレイヤー製品である Sophos SwitchSophos Wireless (AP6 シリーズのみ) に新たな機能をもたらします。

幅広い管理対象のデバイス、管理対象外のデバイス、有線デバイス、無線デバイスが接続するようになり、企業ネットワークの制御は難しくなっています。もはや管理対象デバイスの状態を監視するだけでは不十分であり、ボットネットの標的となり得る IoT デバイスなど、管理対象外の不審なホストの接続を必要に応じてブロックできなければなりません。

ソフォスの委託により実施された第 1 回「MSP のビジネス展望 2024 年版」レポートによると、マネージドサービスプロバイダー (MSP) は、安全でない無線ネットワーキングとサイバーセキュリティスキル/専門知識の不足を最大のサイバーセキュリティリスクとして認識しています。

Active Threat Response とソフォスのシングルプラットフォームアプローチは、セキュリティ管理を効率化し、ネットワークインフラストラクチャ製品が対象とする範囲外にまで有線/無線ネットワークセキュリティを拡張することで、これらの懸念を解消します。

不正デバイスの検出

不正デバイスの検出という概念は無線の世界ではよく知られています。しかし、多くのソリューションでは「不正デバイスは不正 AP に接続されたデバイス」と定義されているため、不正 AP の検出と一緒に行われる傾向にあります。不正デバイスの検出では誤検出が発生しやすいことから、自動検出を使用する場合には注意が必要です。しかし、Active Threat Response はこれとは異なり、アクセスポイントとスイッチは信頼できる別のソースから、対象を絞り込んだ検証済みの脅威情報を取り込みます。

Active Threat Response の仕組み

API によってトリガーされた脅威フィードには、侵害された可能性のあるホストの MAC アドレスが含まれており、この脅威フィードを任意の Sophos Central アカウントに送信できます。トリガーされた脅威フィードは、ネットワーク全体に自動的に伝達され、すべてのソフォスのスイッチと AP6 アクセスポイントが更新されます。

更新されたスイッチと AP6 アクセスポイントは、侵害されたデバイスを隔離し、通信を遮断します。MAC ベースのフィルタリングでは MAC スプーフィングを防止できませんが、修復のための貴重な時間を確保し、管理対象外のデバイスが標的となった場合の目的となりがちなラテラルムーブメントを阻止することができます。

脅威フィードのソースは、Sophos MDRSophos XDRSophos NDR などのソフォスソリューションのいずれかになります。さらに、ソフォスのパブリック API を使用することで、サードパーティのセキュリティソリューションを使用しているお客様にもこの機能が提供されます。

メリット

  • 有線/無線のホストおよび管理対象/管理対象外のホストを隔離します。
  • ラテラルムーブメントを防止し、修復のための時間を確保します。
  • 複数のソース (ソフォスまたはサードパーティのソリューション) から検出可能

Sophos Switch と Sophos Wireless 向けの Active Threat Response は、Sophos Firewall で提供される機能とは異なります。Sophos Firewall では、Synchronized Security 機能とソフォスが管理するエンドポイントとの組み合わせに基づいて、異なる対応アクションと自動化が提供されます。

Sophos Switch、Sophos Wireless、Sophos Firewall で Active Threat Response を組み合わせて使用することで、すべてのネットワークレイヤーで最適な保護が保証されます。

ソフォスエコシステムの強化

Active Threat Response は、ソフォスのエコシステムに独自かつ新たな側面をもたらします。単一のベンダーによってセキュリティを統合することのメリット、および単一の管理プラットフォームを使用することのメリットをこれまで以上にもたらします。その結果、お客様のセキュリティポスチャは改善され、幅広いソリューションとサービスを販売、サポートするチャネルパートナーの立場が強化されます。

前提条件とアクティベーション

Active Threat Response を使用するには、有効化する Sophos Central アカウントが、各 AP6 アクセスポイント/Sophos Switch の有効なサポートサブスクリプションを所有している必要があります。お客様は、Sophos Wireless と Sophos Switch で個別にこの機能を有効化できます。

脅威フィードを受信するには、対応するソフォスのソリューション/サービス、またはパブリック API を使用して脅威情報するサードパーティソリューションも所有している必要があります。

API フレームワーク

今回の初期リリースでは、お客様ご自身がソフォスソリューションを管理する場合、API に関する一定の知識が必要です。API は、脅威フィードデータの取り込みに使用され、隔離されたホストのリストを管理・更新する手段も提供します。今後のリリースでは、Sophos Central での管理オプションや設定オプションを追加し、あらゆるスキルレベルのネットワーク管理者がこの機能を利用できるようにする予定です。

入手方法について

Active Threat Response は、Sophos Central でデバイスを管理している (また、有効なサポートサブスクリプションに加入している) Sophos AP6 シリーズと Switch のすべてのお客様にご利用いただけます。

Active Threat Response の詳細については、Sophos.com/Wireless または Sophos.com/Switch の Web サイトをご覧ください。