X

クラウドコンピューティングが必要ですか? 今すぐ始める

Akamai logo
+1-8774252624
+1-8774252624
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
製品トライアル
サイバー脅威にお困りの方
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
Dark background with blue code overlay
Blog

ETPが誤検知!? その時の対応は?

執筆者

Junichi Sugii

November 27, 2019

執筆者

Junichi Sugii

Enterprise Threat Protector(以下「 ETP」)はサービス開始から2年ほどが過ぎ、国内でも多くのお客様にご利用いただくようになりました。
私も多くのお客様にETPを紹介、提案させていただいていますが、その中で「運用中にもし誤検知があったらどうするの?」というご懸念を持たれ、お問い合わせいただくケースがありましたので、今回はETPの検知の仕組みや、対応方法について紹介いたします。

サイトにアクセスできないのはETPのブロックによるものなのか?

まずは誤検知かどうかを調査する事になるきっかけですが、おそらく管理者の方にユーザーから「○○のサイトにアクセスできないんだけど。」といった連絡が来ることから始まるかと思います。
アクセスできないサイトについてブラウザで確認した際に、実際に図1のようなエラーページが表示されていれば、明らかにETPがブロックしていると判断できます。(ETPのポリシー設定でエラーページを表示させる設定になっている場合)

図1:ETPエラーページの例(日本語表示も可能です)

もし、ブラウザ標準のエラー表示画面(「このサイトにアクセスできません」といったメッセージ等)が表示されている場合は、ETPがブロックした可能性の他に、サイト側のサーバーがダウンしている、ネットワークのどこかに問題があるといった可能性も考えられますので、ETPの管理画面で検知されている事を確認する事になります。

ETP管理画面での確認

イベント分析画面には図のように検出された時間、アクション(MonitorまたはBlock)、ドメイン等が表示されていますので、確認対象サイトのドメインがブロックされているログが表示されていれば、ETPによるブロックと判断できます。

 

図2:イベント分析画面での検知例

なお、イベント分析画面には表示されていないドメインについては、インジケーター検索を使って検索すれば、ETPが脅威のあるドメインと判定しているかどうかを確認する事ができます。

 

図3:脅威ドメインの例(詳細情報が表示される)
図4:脅威ドメインではない例(DNSアクティビティのみ表示される)

ETPの脅威検知の仕組み

ここで少し話はそれますが、ETPは誤検知が少ないと言われる根拠の参考情報として、ETPの脅威検知のもとになるデータ、仕組みについて紹介させていただきます。
ETPは以下の図5のようなAkamai Cloud Security Intelligenceを参照しています。
Akamai Cloud Security IntelligenceはWAFソリューションを含む、すべてのアカマイのポートフォリオからのデータを集めたインテリジェンスです。

 

図5:Alkamai Cloud Security Intelligence

具体的な仕組みは、アカマイサーバーを経由するトラフィックや攻撃情報といったAKAMAI DATA、 外部ベンダーより購入するTHIRD PARTY DATA、そして公開されているPUBLIC DATAをもとに、それらのデータを機械学習も利用しながら総合的に分析し、また必要に応じてアカマイのスペシャリストの判断も含めながら最終的に脅威かどうかを検出、判定し、誤検知を最小化する仕組みを採用しています。

ETPがブロックしていた場合の対応

さて、話を戻しますが、ETP管理画面において、対象サイトがETPによってブロックされたことが判明しても、明らかにETPが正常なサイトをブロックしている(誤検知である)場合や、業務上どうしてもアクセスする必要がある場合については、アクセス可能となるような対応が必要となります。
ETPにおいては、カスタムリストの作成もしくはアカマイに誤検知を報告する事が対応方法となります。

カスタムリストの作成

カスタムリストは20秒~30秒で展開されるので、誤検知かどうかはさておいて、迅速に対応したい場合に有効です。「リスト」画面右上の「+」アイコンから「New Custom Exception List(例外リスト)」を作成し、「Exception List Domains」にアクセスしたいドメインを追加する事で対象ドメインがブロックされなくなります。

 

図6:カスタムリストの作成画面

アカマイに報告

対象ドメインについて誤検知だと思われる場合、アカマイのアナリストにEメールにて報告する事が可能です。
インジケータ検索を使用して対象ドメインを検索した際に、何らかの脅威カテゴリーに分類されてしまっている場合は、画面内の「レポート無効」をクリックすると、Eメールを送信するウィンドウが表示されます。もしくは、イベント画面で対象ドメインをクリックした際に表示される「レポート無効」をクリックしても、同様にEメール送信ウィンドウが表示されます。なお、メッセージは英語にて作成していただくようお願いいたします。

 

図7:アカマイへの報告画面

最後に

今回はETPにおける検知状況の確認方法と、ETPによってブロックされたサイトに対しアクセスできるようにする方法を紹介させていただきました。
この記事がETP運用の参考となりましたら幸いです。
また、ETPについては以下の記事も非常に有用ですので、合わせてご参照いただければと思います。

AKAMAIの標的型攻撃対策ソリューション ENTERPRISE THREAT PROTECTOR (ETP)のご紹介

アカマイ エンタープライズ ソリューション のアップデート

ETPで脅威を検出したクライアントを特定するには

ETP製品紹介ページ

執筆者

Junichi Sugii

November 27, 2019

執筆者

Junichi Sugii

関連ブログ記事

LLM は、ほとんどの組織が完全には理解していない複雑な新しいアタックサーフェスです。
LLM は、ほとんどの組織が完全には理解していない複雑な新しいアタックサーフェスです。

多額の損失を避けるために賢く選択するならLLM セキュリティソリューション

November 27, 2024
LLM は、テクノロジースタックの単なるツールではなく、独自のリスクを負った新しいアタックサーフェスです。組織の評判を守る方法について説明します。
by Maxim Zavodchik, Alex Marks-Bluth, and Neeraj Pradeep
続きを読む

Dockerを用いたEAA connectorの導入

November 21, 2024
Dockerを用いたEAA Connectorの導入をご紹介します
by Abe Kusuyuki 阿部 久珠幸
続きを読む
チームが API セキュリティに関する知識を継続的に得られるようにすることが重要です。
チームが API セキュリティに関する知識を継続的に得られるようにすることが重要です。

セキュリティチームは API の脅威が増大することによる影響を実感していることが調査で明らかに

November 13, 2024
API の悪用は驚くべき勢いで増加しています。この記事を読み、API を保護しようとしている組織にとっての 4 つの重点分野についてご確認ください。
by Rupesh Chokshi
続きを読む