** 本記事は、An industry first: Sophos Firewall and NDR Essentials の翻訳です。最新の情報は英語記事をご覧ください。**
Sophos Firewall v21.5 は、業界初の革新的な機能である、Network Detection and Response (NDR) とファイアウォールとの統合を導入しました。
NDR が重要である理由
Network Detection and Response (NDR) は、異常なトラフィック動作を検出し、ネットワーク上で活動するアクティブアドバーサリーの特定に役立つ、ネットワークセキュリティ製品の 1 カテゴリです。
高度な攻撃者は検出を回避する能力に長けていますが、最終的に攻撃を実行するにはネットワーク内を移動したり、ネットワーク外と通信したりする必要があります。
NDR は通常、ネットワーク内に導入され、南北方向 (出入り) と東西方向 (ネットワーク内の横方向) のネットワークトラフィックを監視・分析するセンサーを活用して、不審な活動を検出します。
NDR 製品は長年にわたり使用されてきましたが、Sophos NDR は 2023年初頭から MDR/XDR 製品ポートフォリオの一部となっています。しかし、SFOS v21.5 では、業界初となる NDR と Sophos Firewall との統合を実現しました。また、Xstream Protection をご利用の Sophos Firewall XGS シリーズのお客様には、追加料金なしで提供いたします。
次世代ファイアウォールと NDR を統合することは、当然の選択と思われるかもしれませんが、これまで実現したベンダーはいませんでした。「どうすれば、ファイアウォールのパフォーマンスに影響を与えることなく実現できるか」という課題が存在するからです。
NDR は、多様な AI トラフィック分析エンジンに膨大な処理能力を要します。そこでソフォスは、NDR ソリューションを Sophos Cloud に展開するという革新的アプローチを採用することで、ファイアウォールの負荷を軽減しています。
ファイアウォールの新時代: 検出と対応
これまで、ほとんどのファイアウォールは、アクティブアドバーサリーや脅威をネットワークから排除する「予防」に重点を置いてきました。しかし、脅威が境界防御を突破してネットワークへの侵害を開始するのは、「もし」ではなく「いつ」の問題であることは、誰もが知っています。
このような状況では、検出と対応の速度が極めて重要です。しかし、既存のファイアウォールソリューションの多くは、この課題に対処できていません。内部ネットワークを横断するトラフィックを監視する機能が限られており、外部との通信を試みる脅威を発見しても、対応を行うための機能が備わっていないからです。
これが、Sophos Firewall が他の製品と一線を画す点です。ソフォスは、Synchronized Security や Active Threat Response といったテクノロジーを通じて、自動化された脅威対応の分野で長年先駆的な役割を果たしてきました。Sophos Firewall は、他のソフォス製品や複数の外部ソースから脅威インテリジェンスを独自の方法で統合し、脅威を早期検出・特定を実現しています。
これらの脅威フィードには、Sophos X-Ops チーム、MDR アナリストや XDR アナリスト、サードパーティの脅威インテリジェンスソースが含まれ、そしてこの度 NDR が追加されました。Sophos Firewall にはより広範で詳細な検出機能が搭載されていますが、より重要なのは、エンドポイント、スイッチ、ワイヤレスアクセスポイントなどの他のソフォス製品とリアルタイムで連携して、攻撃を即座に阻止する自動対応機能です。
Sophos Firewall は、XDR および MDR の脅威検出と対応に最適な、新時代のファイアウォール機能の先駆者です。
Sophos Firewall と NDR の連携
Sophos Firewall は、TLS 暗号化トラフィックおよび DNS クエリからメタデータをキャプチャし、その情報を Sophos Cloud 内の新しい NDR Essentials ソリューションに送信します。送信されたデータは、AI を活用したドメイン生成アルゴリズム (DGA) および暗号化ペイロード分析 (EPA) エンジンを使用して分析されます。
EPA は、TLS 復号を行わずに悪意のある暗号化ペイロードを検出できるという点で革命的です。これは非常に強力なイノベーションです。
脅威の大半はネットワーク内の通信およびネットワーク外との通信で暗号化を使用しますが、このようなトラフィックを検査するために TLS 復号を活用している中堅企業はごく一部に過ぎません。
これは、TLS インスペクションには大量のリソースが必要であり、使い勝手を低下させる可能性があり、また、独自のセキュリティ上の課題を抱えているためです。その結果、ほとんどの組織では暗号化トラフィックが死角となっています。
そこで、AI 畳み込みニューラルネットワーク (CNN) を使用した NDR による暗号化トラフィック分析が極めて重要になります。なぜなら、妥協のないアプローチによって、このようなトラフィックの盲点を解消することができるからです。
DGA は、アルゴリズムによって生成される新しい不審なドメインを検出します。これらのドメインは、多くの場合、重要な IoC (セキュリティ侵害の痕跡) となります。マルウェアはネットワークに侵入した後、アルゴリズムで複数のドメインを自動生成し、通信可能なドメインを体系的にテストする場合があります。この活動により、通信が確立される前に検出がトリガーされます。
NDR の使いやすさを高める Sophos FirewallNDR Essentials の検出結果は、1 (低リスク) から 10 (最高リスク) の範囲で評価され、Sophos Firewall の Active Threat Response 機能の一部である脅威フィード API 経由で Sophos Firewall に返されます。
管理者は、自社独自の環境に応じて、アラートをトリガーするリスクスコアのしきい値を設定します。推奨されるデフォルトのしきい値は高リスク (9~10) です。
スコアが 6 以上であるすべての検出結果はログに記録されますが、設定されたしきい値を満たす、またはそれ以上の検出結果だけが通知をトリガーし、Control Center の新しいダッシュボードウィジェット (図を参照) にアラートとして表示されます。 スコアが 6 未満の検出結果は誤検出の可能性があるため、ログに記録されません。
現在、NDR Essentials で検出されたものはブロックされませんが、将来的にオプションとして追加される可能性があります。すべての検出結果は、オンボックスおよび Sophos Central Firewall Reporting 経由で利用可能な Active Threat Response レポートからすべてアクセスすることができます。
より優れた検出結果と対応時間を実現
NDR を Sophos Firewall と統合するこの革新的なアプローチにより、お客様は攻撃の初期段階でネットワーク上で活動するアクティブアドバーサリーに関する情報を迅速かつ詳細に得ることができるため、問題が深刻化する前に攻撃を阻止・排除できます。
Sophos NDR Essentials、Active Threat Response、Synchronized Security を Sophos Firewall と組み合わせることで、他のソリューションでは数日かかる対応を、数秒から数分で実行可能です。
Sophos Firewall は、パートナーとお客様のサイバーセキュリティ成果を向上させるネットワークセキュリティのイノベーションを再びもたらしています。そして、これらのイノベーションを追加料金なしで提供することで、最高の価値を提供しています。
詳細はこちら
NDR Essentials と Sophos Firewall との連携の仕組みの詳細については、こちらのデモ動画をご覧ください。
Sophos Firewall v21.5 の新機能の詳細については、こちらをご覧ください。
