皆さんこんにちは。技術統括部のTTです。今回は今までのようなGuardianの機能紹介ではなく、Nozomi社が発表した新サービスである「Vantage」の紹介をしていきます。
Vantageとは?
VantageとはNozomi社が提供するSaaS型の監視統合プラットフォームとなります。Nozomi社のコア製品であるGuardianは産業制御システム(ICS)に対し資産管理、リアルタイムモニタリング、異常検知、脆弱性診断を提供する製品です。しかし、Guardianによって複数の拠点を可視化している場合には各Guardianの運用画面を個別に確認しに行く必要があり、台数が増えれば増えるほど管理が複雑になっていきます。その課題を解決するために生み出されたソリューションがVantageになります。
Vantageが持つ特長として以下の点が挙げられます。
- 複数拠点の資産を管理し、様々な箇所/拠点から単一のプラットフォームで利用可能
- アラート検出後のスムーズなアクションを助ける「アラートプレイブック」
- 脆弱性対策の優先付けを自動で提示する「脆弱性ワークブック」
- 運用者が必要な情報に簡単にアクセスするための一新されたUI
- スケーラビリティの高い新ライセンス形態
これらの項目の詳細は次の段落以降で紹介します。
特長その1:多数のGuardianの統合管理
Vantageの特長の1つは多数のGuardianを容易に統合管理できるという点です。Guardianはパケットモニタリングと管理画面を1筐体で賄うことができる製品のため、スモールスタート時の導入の手間がかからないというのが魅力の1つですが、複数台を導入した場合にはそれぞれのGUIにアクセスしなければならないため、運用が複雑になっていきます。Vantageはそのような課題を解決するために生み出された製品であり、どの資産がどのような情報を持ち、どのGuardianで検出されたものであるかを単一の画面で管理することができます。
同様に複数のGuardianを統合管理できる既存の製品としてCMCという製品がございますが、VantageとCMCでは別拠点の同一IPの資産の統合に大きな違いがあります。
Vantageでは同一IPの資産が存在した場合にそれらを別の資産として認識できると共にノードやリンク、変数情報もVantage上で確認できます。一方、CMCでは同一IPの資産が存在した場合に別の資産として認識はできますが、アセット情報までしか表示できないため、ノードやリンク、変数情報を見たい場合は各Guardianまでアクセスする必要があります。
また、VantageはSaaS製品のためインターネットに接続できる環境ならばどこからでも管理画面にアクセスできます。これもクローズドネットワークで利用することの多いGuardianやCMCとの違いになります。
特長その2:アラート検出後のスムーズなアクションを助ける「アラートプレイブック」
Guardianをご利用いただいているユーザー様からしばしば聞かれる悩みとして、「アラートを検知できるのはいいが実際に検知した後にアクションを起こすまで時間がかかる」というご意見がございます。「アラートプレイブック」はそうした悩みを解決するのを助ける機能です。
この機能は、事前にどのようなアクションをするのかを文章にまとめ、その文章をどのような条件のアラート検知時に紐づけるかを定義することで、アラート検知時に対応するアクションが自動的にアラート詳細画面に表示されるというものです。アラートとの紐づけはGuardianにおける「アラートチューニング」と同じ機能である「アラートルール」で行います。
プレイブックの内容とそれを紐づけるアラートルールさえ作成すれば、条件にマッチしたアラートを検知した際にアラートの詳細画面を確認することで、次に行うアクションを一目で理解する事ができ、より迅速なフォレンジックを行うことができます。
特長その3:脆弱性対策の優先付けを自動で提示する「脆弱性ワークブック」
Guardianをご利用のユーザー様から聞かれるもう一つの悩みとして、「脆弱性を可視化できたのはいいが、どこから対策すれば分からない」というご意見がございます。そうした運用者の方が対策に取り掛かりやすくなるための機能が「脆弱性ワークブック」になります。
以下の画面が「脆弱性ワークブック」です。この画面は画像上の数字の順にクリックすることで辿り着くことが出来ます。
画面のように、どのアクションをすることで現在検知している脆弱性がどれほど削減できるかが一目でわかります。また、画面下部の各アクションが記載されているエリアの右にある「review」をクリックすると、具体的にどの脆弱性が解決できるかを確認することが出来ます。
特長その4:今まで以上に情報の検索がしやすい、一新されたUI
既存のNozomi製品はユーザーフレンドリーなUIが魅力の1つですが、VantageではUIに更に改良が加えられユーザーが必要な情報に素早くアクセスできるようになっています。
例えば以下の画面はアセットビューになりますが、以下の点が改良されています。
- 画像上部に表示されているように、アセットタイプやファームウェアなど運用者がよくフィルタリングする項目は、従来のように検索ボックスにキーワードを入力せずともマウスクリックでフィルタリングが可能です。
- 画像右に表示されているように、キーワードを入力する際に「完全一致」や「部分一致」などをプルダウンから選択できるようになっています。従来は演算子が必要でした。またこの検索ルールの変更は画面上部のキーワードのマウスクリック後に適用することも可能です。
また、クエリについても以下の機能が追加されています。
- 構文が視覚的にわかりやすくなる、複数行構文のサポート
- クエリ実行後の任意のフィールドのソート、グループ化、フィルタリング
特に「クエリ実行後の任意のフィールドのソート、グループ化、フィルタリング」については、従来と異なり欲しいデータを抽出するための構文の変更が非常に簡単になっているのでクエリを難しく感じていた利用者の方も利用しやすくなっています。
特長その5:スケーラビリティの高い新ライセンス形態
こちらは機能というより費用に関わる特長ですが、GuardianとVantageはライセンスの考え方が大きく異なります。
Guardianは「ノード」というIPアドレスとMACアドレスの数、すなわちネットワーク通信の論理エンドポイントの数によって使用するライセンスを決定していました。監視ネットワークには複数のIPアドレスやMACアドレスを持つ機器も多く存在するため、単純に資産数からノード数を試算することが難しくなっています。よって導入するGuardianのサイジングが困難であったり、導入後にライセンス制限に到達してしまうというケースが存在していました。
一方、Vantageでは守るべきネットワークに存在する資産(アセット)の数によってライセンスを決定します。この新たなライセンスの考え方により、導入時は監視ネットワークの資産数にのみ注目すれば良くなりました。
また、Vantage導入時の特長としてライセンス制限内である限り、ソフトウェアを無制限に利用可能というコストメリットもございます。物理アプライアンス版をご利用される場合は別途ハードウェアのみご購入頂く必要がありますが、仮想アプライアンス版ご利用の場合は利用者自身で仮想基盤を用意することでソフトウェア費用がかからなくなり容易にスケールアップ可能です。
まとめ
ここまでVantageについて解説しましたが、Guardianとの違いや特長を理解いただけたでしょうか。Nozomi社はOTセキュリティをより強固にするための新製品を続々と発表しています。今後も本ブログでそうした新製品の紹介もしていく予定です。Vantageの詳細をより知りたい場合や興味がある方は是非ブログの問い合わせフォームからお問い合わせ下さい。
