.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
現代のネットワークを適切に保護するために必要な要素を分析すると、ハードニング (堅牢化)、保護、そして検知と対応という 3 つの柱に分けられます。また別の見方をすれば、それはプロアクティブ (予防的対策) とリアクティブ (事後対応) を同等に重視すること、つまり、攻撃の「前」「最中」「後」にそれぞれ何をすべきかということです。
ほとんどのネットワークファイアウォールは、トラフィックフィルタリング、脅威防止、侵入防止システムなど、リアルタイム保護 (上図における中央の柱) だけにほぼ特化しています。これらの機能は重要ではありますが、リアルタイムのトラフィック検査だけに集中している組織では、他の多くの面が脆弱な状態になってしまいます。
ソフォスはこれまで、ハードニングやセキュアバイデザインの重要性について繰り返し説明してきましたが、検知と対応も、強固な保護基盤を築く上で同じくらい重要な柱です。
Sophos Synchronized Security
Sophos Firewall は、複数の製品を連携させ、自動的に脅威に対処できるという点で非常に優れています。ソフォスではこの機能を「Synchronized Security」と呼んでいます。
Synchronized Security があれば、ファイアウォールが他のソフォス製品と連携して防御体制を構築し、侵害されたデバイスを隔離します。しかも、これらはすべて管理者の介入を必要とせず、自動的に実行されます。
Synchronized Security が極めて重要であることは、これまで幾度となく証明されてきました。
たとえば、金曜日の深夜に攻撃を受けたと想像してみてください。一般的なネットワークであれば、月曜朝の出社時にランサムウェアからの身代金要求を突き付けられることになります。しかし、Sophos Firewall と Sophos Synchronized Security が導入されていれば、ソフォスのエンドポイント、Sophos Firewall、あるいは Sophos MDR アナリストが何らかを検知した瞬間、Synchronized Security による自動対応が即座に開始されます。これにより、攻撃者は隔離され、他のシステムとの通信、外部への通信、あるいはアプリケーションやデータへのアクセスが一切できなくなります。つまり、月曜日にクリーンアップ作業を行うまでの間、攻撃を完全に封じ込めておくことができるのです。
仕組み
Sophos Synchronized Security は、製品間で Security Heartbeat リンクを介して、常にセキュリティ状態の情報を共有しています。デバイスがファイルの暗号化や C2 サーバーとの通信といった悪意のある動作を試みたことを検知すると、そのデバイスのハートビートステータスは直ちに「赤色」になります。
ファイアウォールは、侵害されたデバイスに関する情報を、正常な状態にあるすべてのソフォスエンドポイントに自動で通知します。これにより、各エンドポイントは当該デバイスからのトラフィックを即座にブロックし、脅威の横展開 (ラテラルムーブメント) を未然に防ぐことができます。同時に、ファイアウォール自身も動的なファイアウォールルールを適用して、他の LAN セグメント、インターネット、サーバー、その他のすべてのネットワークリソースへのアクセスを自動的に遮断します。
これにより、侵害されたホストは事実上隔離され、通信も、データの窃取も、ネットワーク内の移動もできなくなります。さらに、Sophos Firewall を Sophos Endpoint や Sophos Workspace Protection と組み合わせることで、この Synchronized Security 機能をネットワークの内外を問わず、あらゆる場所で働く従業員にまで拡張できます。
導入のメリット
ここまでご紹介したように、Sophos Firewall と Sophos Synchronized Security を組み合わせることで、以下のような数多くのメリットがもたらされます。
- 複数の製品が自動的に連携して脅威に対応するため、管理者が介入しなくても、ネットワーク内で活動する攻撃者を即座に特定して排除できます。
- 24 時間年中無休で稼働し、昼夜を問わず、インシデントが発生した瞬間に攻撃の封じ込めを強力にサポートします。
- Synchronized Security Heartbeat には、攻撃の検知と対応以外にもメリットがあります。たとえば、エンドポイントとファイアウォール間でアプリケーションやユーザーに関する情報を共有することで、認証がスムーズになり、独自開発のアプリや認知度の低いアプリの制御も容易になります。
Synchronized Security は追加料金なしで標準提供されており、ソフォスの Synchronized Security 対応製品やサービスを組み合わせるだけで、自動的に機能します。Sophos Firewall、Sophos Endpoint、Sophos Workspace Protection、Sophos Email、および Sophos MDR (Active Threat Response 搭載) は、すべて Synchronized Security による自動対応をサポートしています。
Synchronized Security は、他社では決して真似できないソフォスの独自機能であり、多くのお客様がソフォスを選び続ける大きな理由の 1 つとなっています。