新AWS WAFに対応したAIセキュリティ運用クラウドでAISecOpsを実現
サイバーマトリックス株式会社(本社:東京都港区、代表取締役:四柳勝利、以下サイバーマトリックス)はAIセキュリティ運用クラウド「CyberNEO」でAWS WAF v2 Edition をリリースしましたのでご案内いたします。
AWS WAF v2 Editionはパブリッククラウドサービスプロバイダー、AWSが昨年11月にリリースした新しいWAF仕様に対応したサービスになります。AWSでは旧AWS WAFはAWS WAF Classicとして提供され、新しいサービスがAWS WAFとして提供されております。
新しいAWS WAFはAWS WAF Classicと仕様が異なり、ルール数の制限やルールの構成方法が異なります。CyberNEOは新しいAWS WAFで向上された機能が有効活用でき、更にAIによる脅威分析機能、最適化されたWAFルールセットの配信、脅威インテリジェンスの提供、攻撃検知レポートの出力機能など、セキュリティ運用に不可欠な機能を提供いたします。
CyberNEOとは
CyberNEOはAIでセキュリティ運用を自動化するためのクラウドサービスです。
CyberNEO AWSWAF v2 EditionはAWSからリリースされた新しいAWS WAFの運用をセキュリティ専門家が不在の組織でもAWS WAFの導入が行えるようにクラウドを介してセキュリティ専門家の運用ノウハウを受けることができ、AIによるセキュリティオペレーションを実現します。
CyberNEOは人間(セキュリティアナリスト)が行うような分析業務をAIで行うことで人間では不可能なセキュリティ分析を可能にします。ウェブサイトのように大量のアクセスログやセキュリティイベントログが発生する環境ではセキュリティアナリストが個々のイベントチェックすることは不可能で、セキュリティアナリストのノウハウから生成したAIモデルで分析することで効率的に不正なイベントを検出することができます。
本クラウドサービスによりセキュリティ専門家「セキュリティリサーチャー」とAIの専門家「データサイエンティスト」の知見を組み合わせAIモデルを生成して提供することで専門家が不在の組織でもセキュリティ運用を可能にします。
AWS WAFとCyberNEOの連携について
CyberNEOはAWS WAFから出力されたイベントをS3バケットを介して受信します。AWS WAFからS3バケットにログを出力するにはKinesisの設定など必要になりますが、CyberNEOは自動的に構成する機能も提供しており、お客様はWebACLの作成方法を理解しなくてもWAFを構成できる仕組みになっております。
またサードパーティから提供されているマネージドルールで検出した攻撃のレポート表示やマネージドルールの操作もCyberNEOから行うことが可能なため、併用して利用することも可能です。そのためマネージドルールのような静的なルールでは検知ができなかった攻撃をCyberNEOのAI モデルで検知することで今まですり抜けていた攻撃を捉え、攻撃の進行を抑えることができます。
CyberNEOが提供するセキュリティ機能 CyberNEOはAIによる脅威分析、既知の脅威情報との相関、脆弱性診断機能によるリスク評価、WAFのルールをすり抜けた脅威検出時の自動アクションを組み合わせることでセキュリティ運用に欠かせない機能を提供します。(脆弱性診断機能は2020年2月末頃リリース予定) つまり、セキュリティ運用に欠かせない以下の能力をCyberNEOは提供することができます。
異常を見つけるための情報収集(ログ・イベント・脅威情報)
異常を見つけるためのノウハウ(セキュリティ分析)
リスク分析・迅速に対応する能力(脆弱性の把握、初期インシデント対応)
CyberNEOの各機能の解
1.AI NEO(人工知能)
攻撃者はWebリクエストなどの通信データを細工して悪意のあるペイロードを送信します。そのペイロードには様々な特徴が見られ、セキュリティ検出に有効な特徴はセキュリティリサーチャーにより確認されます。その特徴をAIに学習させるにはAI学習に適したデータに変換しなければなりません。またそのデータに適したアルゴリズムの選択はデータサイエンティストの知見が必要になります。 サイバーセキュリティとデータサイエンティストが持つノウハウによりAI NEOが誕生します。
2.Threat Analyzer(脅威分析)
Threat Analyzerはシステムやセキュリティ装置から出力されるイベントやログを受信し、Threat Feedから配信される脅威インテリジェンスと相関することで情報を補完します。 補完されたデータはAI NEOへ送信されAI NEOから攻撃判定結果を返されます。 その結果が攻撃であれば、Threat AnalyzerはPolicy Enforcerに通知してリスクを低減させるためにセキュリティデバイスを操作する指示を送ります。 操作例としては攻撃元のIPアドレスを一時的にブロックし、攻撃が検出されなくなった場合はブロックを解除するように指示します。 Threat AnalyzerはCyberNEOの司令塔の役割を果たします。
3.Policy Enforcer(自動制御)
セキュリティデバイスを自動で制御するため、セキュリティデバイス上で提供するAPIを介してセキュリティデバイスのポリシーを変更・更新します。 この連携機能によりThreat Analyzerから送信されるリクエストを受けセキュリティポリシーを反映することができます。 例えば、Threat AnalyzerはAI NEOから送信元のリスクが高いと通知を受け、Policy EnforcerはThreat Analyzerからブロックリクエストを受けます。攻撃が収まると解除するリクエストを受けます。
4.Threat Feed(脅威インテリジェンス)
ThreatFeedは世界中の脅威情報を収集し、システムに最適な脅威情報が配信できるように情報を最適化します。 また配信先(保護するシステム)にあわせて脅威情報を収集することはインテリジェンスの価値をあげるためには重要です。 例えば、Webサーバを守るためにはWebサーバを狙う攻撃元のIP情報やボット情報を収集することが重要です。
CyberNEO AWS WAF v2 Editionは月額50,000円〜提供します。CyberNEOの機能を安心してご利用いただくため、24時間・365日のセキュリティ専門家による緊急時の対応やお客様の環境に合わせたWAFルールの個別カスタマイズ、インシデント発生時の対応オプションもご用意しております。
2020年Q1にはAzure やGoogle Cloud PlatformのWAFをCyberNEOに対応するため、現在開発中でございます。 協業パートナーも募集しております。 サービスの詳細、パートナー制度についてお問い合わせは以下のURLのお問い合わせフォームからご連絡ください。
Comments