はじめに：インターネットアクセスを利用した運用形態においては、Webアクセスやメール受信などを通じてマルウェアが混入するインシデント発生は、いかなる製品をもってしても解消しきれない。また、セキュリティファイアウォール、IDS/IPS、ウィルス対策ソフトウェアなどのマルウェア対策製品からの検知アラートは、初動を行うにも、一般的には端末管理台帳との親和性がなく、端末の特定に時間がかかる場合が多い。さらには、リアルタイムに対応ができない夜間や休日の発報に対して、該当端末への措置に遅れが生じるケースが多い。

目的：本稿では、マルウェア対策製品からのアラートを検知し、ほぼタイムラグなしに該当端末を組織LANから切り離すための監視・レスポンスシステムの要件を検討し、試作を行うこととする。

方法：国立がん研究センターに既に導入されている、セキュリティFW・ウィルス対策ソフトウェア・IDSセンサーからのインシデント発報を一か所に集積させ、得られたアラート内容から、当該端末のMACアドレスを特定する。さらに、認証サーバに対して、対象端末の認証を即時に無効化する処理を実施することで、応急的に該当端末を組織LANから切り離す方式とする。

結果：既に導入済みのセキュリティ対策製品から発報されるアラートの傾向として、 １）SYSLOGまたはSNMPにより通知可能な製品が多いこと、 ２）通知内容として対象端末のIPアドレスが記載されているケースが多いこと、 から、アラート通知を集積させることは可能であるが、IPアドレスからMACアドレスや接続場所を特定する手段が必要である。今回は、組織内の全接続端末のARP情報収集、および、認証ログ、を利用する方式を採用する。

おわりに：試作した監視・レスポンスシステムを用いて、検証のための試験運用を行う予定である。