通信の異常を検知する製品として、高い評価を得ているのがダークトレース社の「Darktrace Enterprise Immune System(以下、Darktrace)」です。その強みについて、野良氏は「すべてのパケットデータを収集し、すべての状態をありのまま把握することが可能であり、得られる情報が極めて多いこと」だと説明します。
得られる情報が多ければ多いほど、高度な分析が可能となり、異常を検知できる確率が高まります。実際、ある企業でDarktraceを導入したところ、通常ではまず気づけない異常な通信が発見されました。
「認証サーバーに対して1秒間に6回のログインを試みていて、それがすべてエラーになっている通信のあることがわかりました。原因自体は認証サーバーにアクセスするパソコンの不具合で、サイバー攻撃ではありませんでしたが、Darktraceを使わなければこうした通信に気づくことはなかったでしょう」(野良氏)
別の事例では、情報漏えいにつながりかねないインターネット上のサービスを従業員が利用していたとわかりました。
「これは外部から受け取ったPDF形式のファイルを編集するため、PDFをオフィスアプリケーションのファイル形式に変換するインターネットサービスを利用していた、というものでした。
もし、こうしたサービスが悪意を持って運営されていた場合、アップロードしたPDFファイルの内容が盗み見られ、情報漏洩の温床になりかねません。しかし、Darktraceを利用すれば、こうした内部不正につながるような行動も検知でき、ITガバナンスにまで踏み込んだ分析が可能です」(野良氏)

NTTコミュニケーションズ株式会社
ビジネスソリューション本部
ソリューションサービス部
第九グループ
藤田 将功氏
藤田 将功氏が話したのは、監視カメラに対して行われていた不正な通信の検知です。
「監視カメラに不正なアクセスが行われていて、それを検知したという事例もあります。そもそも通常であれば監視カメラにアクセスすることはほとんどありません。にもかかわらず、頻繁にアクセスしているのは異常だとして検知したようです。そのほか、普段ではあり得ない国からのアクセスを異常として検知したといった例もあります」