内容 企業における課題と情報リスク管理の提案統合ログ管理 RSA envision 概要 RSA envision による効果的なセキュリティ インシデント管理セキュリティ インシデントに対するRSA envision 活用例 RSA envision とRSA DLPの連携によるさらに効果的なセキ

Transcription

1 効果的なセキュリティ インシデント管理を実現する手段としての統合ログ管理 RSA セキュリティ株式会社 2010 年 9 月 16 日

2 内容 企業における課題と情報リスク管理の提案統合ログ管理 RSA envision 概要 RSA envision による効果的なセキュリティ インシデント管理セキュリティ インシデントに対するRSA envision 活用例 RSA envision とRSA DLPの連携によるさらに効果的なセキュリティ インシデント管理まとめ 2

3 企業における課題と情報リスク管理の提案 3

4 従来の 情報セキュリティ に対する考え方と企業における課題 情報セキュリティ確保により利便性が損なわれビジネス推進を阻害? ビジネス運営上の課題 法律 規制へのコンプライアンス 重要情報の保護 顧客の保護 ブランド保護 ビジネス推進の要素 顧客サービス技術革新生産性グローバル化 環境の変化 1. 保護すべき重要情報が増大 2. 重要情報を利用する人間が従業員に限定されず 分散 拡大 3. 重要情報を扱うITインフラが変化 拡大 仮想化 モバイル クラウドコンピューティング 4. 順守すべき法律 規制の増加 IT 担当部門の 20% の時間を消費 5. 脅威が変化 進化し 増大 4

5 課題 : ビジネスリスクを引き起こす脅威が変化 進化し 増大 従業員 ( リモート ) パートナー 顧客 身元不明のユーザーへの IP 情報提供 アクセス経路 IP 情報の搾取 VPN 暗号鍵搾取 アクセス経路アプリ DBのハッキング アクセスポイント 詐欺 アクセス経路 アクセスポイント クレデンシャルの盗用 Endpoint Network Apps/DB FS/CMS Storage エンドポイント契約社員での情報損失 電子メールや Webメールでの情報漏洩 特権ユーザー 特権ユーザー 特権ユーザー不適切な 特権ユーザーテープの 侵害 アクセス 紛失や盗難 従業員 USBや印刷に ( 内勤 ) よる情報漏洩 不正アクセス エンタープライズデータベースアプリケーション ( 本稼働 ) 意図しない情報配信 ファイルサーバー 認証済みのユーザーによる誤使用 バックアップテープ 廃棄ディスクからの読み取り ビジネス分析 レプリカ SharePoint eroom 等 ディスクアレイ バックアップディスク 5

6 Information Risk Management( 情報リスク管理 ) 企業の最重要資産である情報を保護し 支障のない活用を可能にする戦略 保護すべき情報を中心に考える ビジネス上の重要度の視点から情報を考え その情報がどのような脅威にさらされるのかを明らかにする ビジネス リスクの高いものに優先的に対処 リスク 大きなビジネス インパクトを与えるような脅威へのセキュリティ対策を優先的に実施し リスクを低減する 一回限りではなく 共通で適用可能にする Endpoint Network Apps/DB FS/CMS Storage 実施するセキュリティ対策は 様々なコンプライアンスや企業ポリシーにとって共通のベストプラクティスとなるように適用 実践する 6 情報リスク管理の実践により 効果的なセキュリティ投資を可能にし 情報を積極活用したビジネス目標達成に貢献

7 情報リスク管理のフレームワーク : プロセス ポリシー セキュリティ ポリシーの定義 IT インフラ上にある重要情報の全ての所在を明らかにし ビジネス リスクの大小に応じて分類 リスクの大きい情報をどのように保護するかポリシーを決定し 定義 データ自体 データを利用する人 データが流通する IT インフラ 検出 ( 発見 ) と監視 保護対象となる情報を検出し 監視 コントロールの執行 定義されたポリシーを執行するために コントロールのためのフレームワークを確立し 適切なコントロールを実施データのコントロールアクセスのコントロール 監視 監査とレポート コントロールの実施が適切に機能し ポリシーが順守されていることを記録し 監査 7

8 情報リスク管理を支援する RSA セキュリティのソリューション群 エンドポイント ネットワーク アプリケーション / データベース セキュリティ ポリシーの定義 ファイルサーバー / コンテンツ管理システム CSO アドバイザリー : セキュリティ戦略からポリシー策定 ストレージ 検出 ( 発見 ) と監視セキュリティコンサルティング : リスクアセスメント 情報クラシフィケーション等 データ損失防止 : Data Loss Prevention Suite 検出 (Discover) モジュール コントロールの執行 セキュリティ アーキテクチャとデザイン構築 : プランニングから実装まで ポリシー データ コントロールの執行データ損失防止 : Data Loss Prevention Suite 執行 (Enforce) モジュール 暗号鍵管理 : RSA Key Manager アプリ暗号化 : RSA BSAFE アクセス コントロールの執行認証 :RSA SecurID, RSA Adaptive Authentication, RSA Digital Certificate Solutions アクセス管理 : RSA Access Manager, RSA Federated Identity Manager フィッシング対策 : RSA FraudAction RSA プロフェッショナルサービス 8 監視 監査とレポート セキュリティ オペレーション : プランニング 監視 インシデント対応 定期レポーティング セキュリティ情報とイベント管理 : RSA envision

9 統合ログ管理 RSA envision 概要 9

10 統合ログ管理アプライアンス : RSA envision 3 つの視点で セキュリティ情報およびイベントを管理 コンプライアンスへの容易な対応 報告 監査 セキュリティオペレーションの強化 フォレンジック アラート / 相関分析 IT とネットワークのオペレーション最適化 ネットワークベースライン 可視化 ログ管理専用設計のデータベース (IPDB) RSA envision ログ管理プラットフォーム セキュリティ機器 ネットワーク機器 アプリケーション / データベース サーバー ストレージ 10

11 RSA envision の特長とお客様メリット 特長 アプライアンス独自データベース豊富なテンプレート豊富な導入実績 お客様メリット ハード+ソフト一体型による導入のし易さ短期間でのシステム構築 基本的にエージェントが不要運用管理工数の軽減生ログを高圧縮で保存 管理しHDDを効率利用 ( 最大 94%) 高パフォーマンスな処理でログの取りこぼしを防止ログデータを秘匿性の高い状態で保存 管理 1,400 種類以上のレポートテンプレートを同梱 120 種類以上の相関分析ルールを同梱 導入後即使えるワールドワイドで2,200 社以上の導入実績 ( 国内 200 社以上 ) Gartner Magic Quadrantでは7 年連続 Leaders のポジション 2009 年度出荷金額 No.1: ミック経済研究所 情報セキュリティ市場の現状と将来展望 拡張性 富士キメラ総研 2010ネットワークセキュリティビジネス調査総覧 エントリーモデル (ES-560) からのスモールスタートが可能アップグレードライセンスで拡張が可能 ( 筐体の変更なし )

12 統合ログ管理集中的なログの収集 保存 管理 分析および活用 活用 Windows Windows サーバー Windows サーバーサーバー ファイアファイアウォールウォールファイアウォール ログの収集 アラートイベント ログの分析 アラート 侵入検知システム侵入検知システム侵入防止システム侵入検知システム侵入防止システム侵入防止システム 未サポートデバイス 並行処理 ログの保存 管理 スクリプト実行 ダッシュボード表示 データベースデータベースデータベース レポート ( オンデマンド ) メタデータ SAN/NAS SAN/NAS ストレージ SAN/NAS ストレージストレージ レポート ( スケジュール ) 12

13 RSA envision による効果的なセキュリティ インシデント管理 13

14 セキュリティ脅威に対する包括的な対策 情報セキュリティ対策 論理的セキュリティ人的セキュリティ物理的セキュリティ 抑止 防止 検出 回復 脆弱性を持つシステムや箇所への事前対応 すべての行動の監視 記録のしくみづくり 異常や不正等の早期発見とリアルタイムの通報 問題の原因究明と修正処理や修正計画策定 予防 セキュリティ事故発生 事故を前提とした対応 14 内閣官房情報セキュリティセンターによる情報セキュリティ政策会議の 第 2 次情報セキュリティ基本計画 では 事故前提社会 への対応力強化を強調

15 セキュリティ インシデントにおける予防と事後対応例 予防 ( 抑止 防止 ) 資産管理システム 脆弱性評価システムや脆弱性データベース等により 脆弱性を持ったクリティカルなシステムを洗い出し 最新のセキュリティ パッチを適用 ID 管理 認証強化とアクセス管理を包括的に行うことにより 情報利用者の特定と情報へのアクセスをコントロール 統合ログ管理システム等を利用し 情報利用に関するすべてのアクティビティを包括的に記録し 改ざんされないよう保管 検出 複数システムのログの横断的な監視や監視対象リストの活用により 異常な状態をリアルタイムに検出し 適切な担当部門へ通報 回復 参照可能なログなどから問題分析や原因究明を実行 分析結果により 事後対応を決定 実行 ( セキュリティ対策の修正を含む ) インシデントレスポンス ツールなどにより 対応状況を常時把握 15

16 統合ログ管理ツールにより解決される課題 セキュリティ担当部門が IT 環境を可視化できていない すべてのイベント ソースへアクセスするスムーズなログ収集 大量の生ログやイベントの処理が困難 完全な情報ライフサイクル管理プロセス IT セキュリティ担当者が手作業でログの収集と検索を行っている リアルタイムでのセキュリティ状態の把握が難しい ビジネス価値の向上に利用できる IT リソースの増大リスクに基づいたリアルタイムのイベント優先順位付け 調査にコストと時間がかかる 修復とリカバリに要するコストの低減 16

17 セキュリティ インシデント管理のベスト プラクティス リアルタイムのインシデント検出 発生している多数のイベントから 本当に重大なインシデントをリアルタイムに洗い出し 対応することを可能にするような情報を提供 エンドツーエンドのインシデント ハンドリング インシデント ハンドリングのプロセスをクローズド ループで実現 セキュリティ オペレーションの可視化 クリティカルな脅威や脆弱性情報の把握 セキュリティ オペレーションやその管理の有効性の評価を容易に理解 17

18 リアルタイムのインシデント検出 6 つのカテゴリの情報洪水の中から重要インシデントを特定 6 つの異なる種類の情報ソースを突き合わせ 情報洪水の中から重要インシデントを発見 200 種類以上のログデータ 相関ルール フィルタ 監視リスト イベント ソースナレッジベース IT 資産管理システムからの情報 インシデント検出 最新の脆弱性情報 脆弱性評価システムによる情報 数十億ものイベント数千ものセキュリティ関連イベント相関分析インシデント!!! 優先度の高いイベントを抽出 18

19 リアルタイムのインシデント検出 : 例 検出すべき情報例通常と異なるユーザーの行動リスクが高い脆弱性と脅威ネットワーク上の異常なアクティビティ 内容 度重なるログオン失敗や許可されていないシステムへのアクセスなど 通常とは異なる認証やアクセスコントロール クリティカルな IT 資産における高リスクな脆弱性や脆弱性を持つ IT 資産への攻撃 ネットワークの通常動作からの逸脱や ポリシーに反するネットワーク上のアクティビティ IDS RSA の専門知識 攻撃を受けたことを検知 脆弱性 アセットスキャナ RSA envision アラート 分析担当 攻撃 脆弱であることを把握 コンフィギュレーション管理データベース クリティカルで脆弱性のあるサーバーが攻撃を受けたことを認識 19 攻撃者 重要情報を持つ資産であることを認識

20 エンドツーエンドのインシデント ハンドリングインシデントのオープンからクローズまでワークフローを一元管理 RSA envision ログ管理データベース 作業中のキュー 自動的にアサイン プライオリティ付け 自動的にインシデントのエスカレーション ( システム障害など ) 再アサイン グループからオーナーシップを移管 3 rd パーティ製インシデント ワークフロー管理ソフトウェアへ エスカレート 記録の生成 説明追加 説明追加 ; ログ追加 ; クローズ 通知 自動的なタスクのクローズ サードパーティ製インシデント ワークフロー管理ソフトウェア例 : BMC Remedy, HP Service Manager 等 インシデント管理機能で 対応状況をオープンからクローズまで管理 さらに IT オペレーションとの自動連携により 包括的なインシデント管理を実現 20

21 セキュリティ オペレーションの可視化クリティカルな状況のリアルタイムの把握 最も脆弱な IT IT 資産のリスト ( ビジネス上の重要度別 ) 最も脆弱な IT IT 資産のリスト ( 重大度別 ) 脆弱性スキャンを最近実施していない IT IT 資産 21 脆弱性 (( 重大度別 )

22 セキュリティ オペレーションの可視化セキュリティ オペレーションの有効性評価 オープンタスク状況 (( オーナー別 ) オープンタスク状況 (( 優先度別 ) インシデント レート 最近更新されたタスク 22

23 セキュリティ インシデントに対する RSA envision 活用例 コンプライアンス違反に対して 不正アクセスに対して 23

24 コンプライアンス違反に対する活用例特権ユーザーの行動を監視し アクティビティ レポートを自動生成 例 : 特権ユーザーの行動監視し 不正を早期発見 特定ファイルへアクセスしたユーザーの履歴 特権ユーザーによる複数システムにまたがったアクティビティ履歴 特権ユーザーがアクセスしたファイルの履歴 24

25 コンプライアンス違反に対する活用例相関ルール活用で意図的なログ改変による不正の発見 下記のログ収集対象のどれかでログの改ざんや停止 システムシャットダウンが実施された場合 アラートを発生 Windows サーバー Cisco IDS, ルーター スイッチ コンテンツエンジン Juniper ルーター ファイヤウォール VPN Unix (Solaris, AIX) 25 ログ収集対象毎の個別調整の手間を省略 すぐに監視を開始可能

26 不正アクセスに対する活用例 事件例概要 : 退職した元管理者が同僚の ID とパスワードを使って不正アクセスを試み個人情報を持ち出そうとした 元従業員は 管理者権限を持つ元同僚の bell の ID とパスワードを知っていた 退職後に 個人情報が保持されているメールサーバーが搭載されている Windows サーバーにアクセスし情報の搾取を画策 管理者のみ認められていたリモートアクセスで接続し VPN 機器はデフォルトのパスワードが使用されていたため企業ネットワークにアクセス成功 Windows サーバーについてはパスワードが変更されていて 在籍当時のものとは異なったため容易にアクセスできず失敗 対応例 : 26 特定のサーバーに対して リモートからの異常な回数の認証失敗を相関ルールにより発見 影響を受けたサーバーをダッシュボードからドリルダウンで特定し そのログを調査し 原因を究明

27 特定システムに対してリモート接続からの異常な回数の認証失敗が起きていないか? 異常が起きた場合 ダッシュボード上に即時に反映されるよう設定 不正の前兆として特定サーバー上で異常な回数の認証失敗を確認 27

28 異常検出後 アラートの詳細を調査 ダッシュボードにログオンし 発生アラートの対象システムを特定 28

29 異常検出後 アラートの詳細を調査さらにドリルダウンを続け アラートの詳細を確認し 原因を特定 相関ルールに合致したアラートの説明 1VPNサーバ接続成功ログ (connected) 取得時に ログオンユーザ名をキャッシュ 2 一定時間内 ( 例 :10 分 ) に1でキャッシュされたユーザ名を保持 3ファイルサーバへのログオン失敗 (Logon Failure) かつ1でキャッシュしたユーザ名と同一の場合はアラートを発出 29

30 RSA envision と RSA DLP の連携によるさらに効果的なセキュリティ インシデント管理 30

31 RSA envision と RSA DLP の連携 Context-Aware に Content-Aware の要素を強化 企業 IT インフラ 重要 機密情報 IT 環境下のログサーバー データベース IPS/IDS ファイアウォール アプリ IT 資産の脆弱性情報 IT インフラ構成情報 保管されている情報 共有中の情報 利用中の情報 DLP Datacenter DLP Network DLP Endpoint 31 情報の内容を基にしたインシデントのタイムリーな検出と対応を可能に

32 セキュリティ インシデントによる影響度の分類 DLP がネットワーク上への情報の流失を検知 マルウェア感染拡大について調査 DLP Network アンチウイルスソフトがマルウェアを発見 RSA envision DLP により 結果として機密情報の紛失を把握 32

33 まとめ 情報の爆発的な増大 利用者の拡大 インフラの変化 脅威の変化 増大 法律 規制の増加など様々な課題に対応するには 従来型のセキュリティ対策ではなく 情報リスク管理によるシステムとしてのアプローチが有効 様々なセキュリティ脅威へは予防的統制も重要だが 発見的統制による事後対応力の強化がビジネス リスクの軽減に効果を発揮 統合ログ管理プラットフォームである RSA envision の活用により 効果的なセキュリティ インシデント管理を実現 33

34 34