IT、IoTおよびOTのデバイスを
まとめて発見・識別して対策する
Armis

◆Armis Centrix

最新のテクノロジーを駆使した高度なセキュリティ対策を講じても、ネットワークに1台でも無防備なデバイスが接続されていたらサイバー攻撃を防御できない。そのため自社のIT資産の安全性を高めるには、ネットワークに接続されている全てのデバイスとそのリスクを把握して、適切な対策を講じる必要がある。しかし企業や組織には管理されていないデバイスが存在する。最近ではIoTやOTのデバイスもネットワークに接続されるようになり、状況の把握が困難になっている。そこでITとIoT、OTのデバイスをまとめて可視化してリスクを把握できるArmisのサイバーエクスポージャー管理プラットフォーム「Armis Centrix」が注目を集めている。

見えていないものは守れない
放置デバイスが脆弱性となる

 グローバルでサイバーエクスポージャー管理プラットフォームを提供するArmisで日本市場のカントリー・マネージャーを務める秋谷哲也氏は「見えていないものは守れない」と警告する。

 秋谷氏は「ネットワークに接続されている全てのデバイスを把握するとともに、どのメーカーのどの製品なのかを識別できないと、そのデバイスの挙動が正常なのか異常なのかを判断できず、的確に対策できません」と指摘する。

 最近ではIoTやOTのセンサーやコントローラーなど、産業用デバイスもネットワークに接続されるようになり、これらの防御も求められている。しかしIT向けのツールではIoTやOTのデバイスを「見る」ことはできない。

 秋谷氏は「IoTやOTのデバイスだけを攻撃することは少なく、メールでマルウェアに感染したPCを利用してIoTやOTのデータを窃取したり、IoTやOTのデバイスを不正に制御したりする手口がほとんどです。逆にIoTやOTのデバイスから侵入して、ITデバイスを侵害するケースもあります。ですからITとIoTおよびOTのセキュリティはまとめて管理するべきです」と強調する。

 ArmisはITとIoTおよびOTの両方に対応するサイバーエクスポージャー管理プラットフォーム「Armis Centrix」を提供している。サイバーエクスポージャー管理とはサイバー攻撃の対象となり得るデバイスとその脆弱性、すなわちアタックサーフェスを可視化してリスクを測定し、対策の優先順位を判断するセキュリティ対策の手法だ。

1,500万以上ものプロファイルを保有
あらゆるデバイスを発見・識別できる

 Armis Centrixは「Armisアセット集合知エンジン」と「Armisスレット ディテクション エンジン」で構成されている。Armisアセット集合知エンジンはArmis Centrixに接続されている30億のデバイスをトラッキングして収集したデータをデバイスナレッジベースに蓄積し、1,500万以上ものデバイスプロファイルを保有する。

 デバイスプロファイルにはIPアドレスやMacアドレスだけではなく、メーカーや製品の型番、搭載されるOSやファームウェアのバージョン、接続先や使用されているロケーション、関連するユーザーなどの情報が含まれ、これらを参照してITデバイスとIoTおよびOTのデバイスを詳細に識別する。

 秋谷氏は「新たに接続されたデバイスのプロファイルを追加していくことで、デバイスナレッジベースを増強し続けています。これはプラットフォームをクラウド上に構築している強みであり、リソースが制限されることなくデバイスナレッジベースを拡大できます。デバイスナレッジベースにはITとIoTおよびOTのあらゆるデバイスが登録されています。もし発見したデバイスが識別できない場合はAIを駆使してデバイスナレッジベースを拡張したり、エンジニアがデバイスのメーカーと製品の型番を確認してプロファイルを入手して、デバイスナレッジベースに追加したりしています」と説明する。

より多くのデバイスを認識して対策できる
その能力と効果を実際に体験してほしい

Armis
カントリー・マネージャー
秋谷哲也

 Armisスレット ディテクション エンジンは無線を含むネットワーク上の全てのデバイスの挙動を継続的に監視し、異常を検出する。検出した異常な挙動は、Armisアセット集合知エンジンのデバイスプロファイルおよび過去の動作や類似のデバイスの挙動と比較して判断することで精度を高めている。

 秋谷氏は「例えばデバイスを導入する環境がすでに汚染されている場合、その状態で学習した情報を参照すると間違った判定をする恐れがあります。そのため一つのデバイスの挙動で判断するのではなく、類似の複数のデバイスの挙動の判定と比較して異常を判断する仕組みを採用しています」と説明する。

 これら二つのエンジンを利用して、ネットワーク上のデバイスをエージェントレスで自動的に発見し、分類、識別して可視化する「発見・可視化」と、デバイスの状況や振る舞いを継続的に解析し、リスクと脅威を測定して対策の優先順位を提示する「解析」、そして100種類以上のセキュリティツールや管理ツールと連携して、通信をブロックしたりスキャンを強制したりする「保護」の三つの機能を実現し、別掲図の通り主に四つのサービスをクラウドを通じて提供している。

 Armis Centrixはグローバルで製造業や小売・流通業をはじめ製薬や医療機関、さらに金融機関や政府機関などさまざまな業界で実績があり、高い評価を得ている。そして日本市場でも大手の製造や製薬で実績を伸ばしている。

 日本市場におけるビジネス展開について秋谷氏は「ネットワーク上のデバイスを1台でも多く識別できれば脆弱性への対策が進み、セキュリティを強化できます。まずはオフィスのフロアや工場の拠点、医療機関の病棟などスモールスタートで導入していただき、Armis Centrixのデバイスを発見、識別する能力を体験していただきたいと考えています」と説明する。

 そして「Armis Centrixは運用中のセキュリティツールやデバイスやネットワークの管理ツールと連携できますので、既存の資産を生かしてセキュリティを強化できます。マルチベンダーで製品を提供しているダイワボウ情報システム(DIS)さまと、あらゆる業界にお客さまを持つDISさまの全国のパートナーさまと協業することで、日本市場でのビジネスを伸ばせると期待しています」と意気込みを語る。