インフォサイエンス株式会社 概要 設立 1995年10月 パッケージラインナップ 代表者 宮 紀雄 事業内容 プロダクト事業部 パッケージソフトウェア Logstorage シリーズの開発 SaaS事業 所在地 東京都港区芝浦2丁目4番1号 インフォサイエンスビル Logstorage : Clou

Transcription

1 Logstorage Logstorage-X 製品紹介と市場動向について インフォサイエンス株式会社 プロダクト事業部 コンサルティンググループ セールスチーム 小長谷 大祐 Infoscience Corporation Tel: Fax:

2 インフォサイエンス株式会社 概要 設立 1995年10月 パッケージラインナップ 代表者 宮 紀雄 事業内容 プロダクト事業部 パッケージソフトウェア Logstorage シリーズの開発 SaaS事業 所在地 東京都港区芝浦2丁目4番1号 インフォサイエンスビル Logstorage : Cloud Solutions Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 2

3 アジェンダ 1.なぜ ログ管理が必要か 2.ログ管理製品市場動向 3.SIM/SIEM 導入検討の実情 4.Logstorage X/SIEM製品紹介 5.導入事例 Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 3

4 なぜ ログ管理が必要か Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 4

5 なぜログを管理しなくてはならないのか ログ管理 の目的とは 脅威対策 脅威の検出 標的型攻撃 内部情報漏えい フォレンジック 攻撃を受けた際の証拠保全 コンプライアンス 各種法令 業界 団体ガイドラインへのログ管理要件への 充足 システム運用 システムの状態把握 障害時の調査 解析 Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 5

6 ログでないと検出できない脅威(1) 従来の対策は 入口 出口 でのポイントの対策 外部攻撃者 ファイルサーバ 社員 職員端末 デバイス制御で不 正な利用の制限 アンチウイルス で防御 プロキシ ファイアウォ ールで外部通信の制限 アクセス制御で 不正なアクセス の制限 C&Cサーバ 悪意のある 社員 職員 従来はネットワークの入口 出口での防御や制限が中心だった が Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 6

7 ログでないと検出できない脅威(2) 入口 出口 対策の限界 外部攻撃者 社員 職員端末 ファイルサーバ 設定漏れ ミスで不正 なデバイス利用 マルウェアの検 知が困難に マルウェアの巧妙化で外 部通信を抑止できず C&Cサーバ 悪意のある 社員 職員 設定漏れ ミスによ る重要ファイルへの アクセス アンチウイルスソフトのマルウェア検出手法の限界 アクセス制御の漏れ 設定ミスを防止しきれない 入口 出口での個別の対策は限界に達しつつある Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 7

8 ログでないと検出できない脅威(3) ログ管理 で侵入を前提とした対策へ 外部攻撃者 社員 職員端末 ファイルサーバ デバイス利用 ア クセスログ ログを横断的に 収集 分析して 侵入を検出 ファイルサーバ アクセスログ メール ウイル ス検知ログ プロキシ ファイ アウォールログ C&Cサーバ 悪意のある 社員 職員 システム内のログを横断的に収集 分析を行い いち早く侵入 を検出 侵入されていることを前提とした 対策へシフト Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 8

9 法令等に於けるログ管理要件 ログ管理に関する要件が明記されている法令 ガイドライン 発行者 タイトル 政府等 個人情報保護法 金融商品取引法 マイナンバー 番号法 政府機関等の情報セキュリティ対策 のための統一基準群 民間 ガ イドライ ン等 経済産業省 クラウドセキュリティガイドライン PCIDSS クレジットカード ISO27001/ISMS 組織における内部不正防止ガイドラ イン 経済産業省 クラウドサービス利用のための情報セ キュリティマネジメントガイドライン 監視 システムを監視することが望ましく また 情報セキュリティ事象を記録することが望ま しい 具体的な要件 監査ログ取得 実務管理者及び運用 担当者の作業ログ システム使用状況の 監視 障害のログ取得 ログ情報の保護 クロックの同期 クラウド環境を含め システムのログ管理を行うことは セキュリ ティを確保する上でもはや 前提条件 となっている Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 9

10 システム運用に於けるログ管理 システム運用に際してもログ管理は必須 ログを管理せず サーバに保存しておくと 障害発生 管理者はいちいち各サーバにログインしてログを確 認する必要がある ヒューマンコストの増大 サーバに障害が発生してしまうと 復旧するまでロ グを見ることすら出来なくなる ログ管理を行うことで ログ管理 システム ログ管理 システム ログ管理 システム 障害 ログ管理システムに集約することで 管理者の負担を 低減し 重要な作業にリソースを振り分けられる Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. ログ管理システムに集約しておくことでログ確認が 可能 早期の原因究明が可能となる 10

11 ログ管理 に必要な要件 ログ管理 に求められる機能 要件とは ログを集める ログを保存する 多様なファイル 転送方式で ログを集約する 大規模なシステムではログが大量 に出力され ストレージを圧迫 侵入者からログを守る 集約したログの安全な保管 Logstorageはオールインワンで ログ管理 に対応 ログを検知する システム側で能動的にイベン トを検出し 管理者にアクシ ョンを促す Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. ログを調査する 大容量のログから必要なログを 横断的に高速 ピンポイントで 検索 レポートで定期的にレビュー 11

12 ログ管理製品市場動向 Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 12

13 SIEM製品 統合ログ管理製品の違い SIEMと言えばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し 統合ログ管理ツールとは別ジャンルとされることが多い ログの蓄積と分析に重きを置く のが統合ログ管理ツール 現在は国産製品が中心に導入が進んでいる であり 標的型攻 撃など新しい脅威への対策に有効だが長期にわたる時間軸での分析には向かないのが 現 在海外製品を中心に注目されているSIEMツールと考えればよいだろう キーマンズネット 不正行為も一目瞭然 統合ログ管理ツール URL : ファイルサーバ Windows Agent Linux ルーター スイッチ Firewall ELC レシーバー Web GUI インデックス アラート API アラート メール コマンド実行 ログを集める点では機能は同じ Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 13

14 SIM/SIEM ツール市場規模 長期予測 単位 百万円 8,000 SIM SIEM 7,000 5,000 3,550 3,780 4,000 4,200 4,350 4,500 年平均SIEM案件数 10件 3,000 2,000 1,000 (CAGR) 4.4% 6,000 4,000 年平均成長率 2,400 2,550 2,700 2,800 2,850 2, 年 2017年 2018年 2019年 2020年 2021年 (実績) (見込) (予測) (予測) (予測) (予測) 0 出典 富士キメラ総研 2017ネットワークセキュリティビジネス調査総覧 Copyright(C) 2018 Infoscience Corporation. All Rights 年平均SIM案件数 340件 SIM導入費用7百万円 SIEM導入費用300百万円を平均額 と仮定した2016年度の大凡の案件数です 14

15 2016 年度 SIEM 製品市場シェア ( 金額 ) シェアの割合昨年と同じ 1 案件の規模 1~5 億円 顧客層超大手 出典 : 富士キメラ総研 2017 ネットワークセキュリティビジネス調査総覧 Copyright(C) 2018 Infoscience Corporation. All Rights 15

16 海外SIEMの動向 Qradar (日本IBM) Watson連携強化 ArcSight (Micro Focus) HPから事業継続 McAfee SIEM (マカフィー) 構築パートナー拡充 Splunk (Splunk) スキーマ不要 RSA SA (Dell) UBA パケット解析 Copyright(C) 2018 Infoscience Corporation. All Rights 16

17 2016年度 SIM製品市場シェア 金額 絶えず進化 その他 23 Logstorage 37% LogAuditor 19 LogRevi 21 11年連続 No.1 出典 富士キメラ総研 2017ネットワークセキュリティビジネス調査総覧 Copyright(C) 2018 Infoscience Corporation. All Rights 17

18 SIM/SIEM 導入検討の実情 Copyright(C) 2018 Infoscience Corporation. All Rights 18

19 SIEM導入検討の実態 何のためにSIEMを導入するのか トップダウンで検討が進められるSOC/CSIRT そのなかで中心の製品となる SIEM への定義も曖昧 SIEMを導入した後の運用イメージが確立しないまま ツール選定が先行しているケースも少なくない SOC / CSIRT の立ち上げ検討 SIEMの導入を検討 SIEM製品の市場調査 リモートSOC MSS 利用検討 センサーの一部監視のみ 自社組織に合わせたカスタマイズが難しい 自社運用 PSOC 検討 情報セキュリティの専門部隊が作れない SIEMそのものが難解かつ超高額 自社での導入の延期 見送り 自社で継続的に運用できるツールがない Copyright(C) 2018 Infoscience Corporation. All Rights 19

20 SIEM検討時の機能要件とかかるコスト 高 技 術 的 難 易 度 セ キ ュ リ テ ィ の 専 門 性 高 怪しい グレーなログを検出するには莫大なコストが必要とな る ゼロデイ 未知なる脅威を検知したい SIEM 深層学習 SIEM 機械学習 普段と違う行動を検知したい SIEM または統合ログ レピュテーション連携 か か る 費 用 明らかな不正 違反を検知したい 統合ログ マスタ連携 監査用レポートを出したい 低 有事の際にログ調査したい 要件 Copyright(C) 2018 Infoscience Corporation. All Rights 統合ログ 低 製品 20

21 海外SIEM製品の導入とその後 高額 高機能な海外のSIEM製品を導入して失敗する事例が多く その殆どが自社での運用を 断念している 莫大なコスト 労力を投じても 最終的には 属人的な運用 を脱却できず ログをとりあえず溜めているだけの超高級な箱と成り代わっている SIEM導入検討のプロセス 入口 出口に続いて 内部対策を検討する 数千 数億円規模で 海外SIEM製品を選定 SIEM 導入 脅威対策 検討 MSS支援で順調 教育で組織強化 新たな脅威への対処が出来ない ログが読めない ツールが難しい 英語サポートが厳しい EOSLが早い 自社 運用 自社運用 (MSS支援あり 運用断念 放置 セキュリティ会社とMSSを契約 MSS 設計運用支援 サービス提供元が使う SIEM製品を前提に支援 Copyright(C) 2018 Infoscience Corporation. All Rights MSS 契約解除 インシデントに対する 対応策を継続支援 MSSの費用対効果見直し 自社運用切り替え などでMSS契約終了 21

22 標的型攻撃 APTの対策で重要なログ管理 サイバーキルチェーンの各プロセスでマルウェアの活動を察知できるログが出力されている サイバーキルチェーン 事前調査 標的型 メール送付 C2サーバ 通信確立 内部 ハッキング AD 乗っ取り 目的データ 奪取成功 ログ 消去 改ざん 最長4年1ヶ月 出典 IPA 高度サイバー攻撃への対処におけるログの活用と分析方法 マルウェアの潜伏期間は最長4年1ヶ月 一度侵入に成功したマルウェアは その活動を検出されぬようログを消去 改ざんし 目的の データを捜索し続けます その時に重要となるのが 活動ログの 改ざん防止 長期保管 各ログの相関分析 にあります 標的型メール攻撃は必ず誰かが開く 標的型メール攻撃は従業員で 19 役員で 31 の人が開封すると言われ また 訓練 を重ねても開封率0 を達成することは不可能 という前提での対策が必要です 出典 役員の標的型メール開封率は従業員の1.5倍 NRIセキュアの攻撃シミュレーションで明らかに Copyright(C) 2018 Infoscience Corporation. All Rights 22

23 SIEM検討の前に 現状のログ管理を把握する ログ管理 のステップ SIEMを導入する前に 現在の ログ管理 のあり方を見直す必要がある ログの保管 とりあえず取っておく ログの調査 何かあったら検索する 統合ログ管理ツール 内部漏洩対策 外部脅威対策 ログの定期チェック 定期的にレポートする ログのリアルタイム監視 常時監視 Copyright(C) 2018 Infoscience Corporation. All Rights SIEMツール よりアクティブな 外部脅威対策 23

24 内部不正による漏えい人数の経年変化の割合 (引用) JNSA2016年 情報セキュリティインシデントに関する調査報告書 内部犯罪 内部不正行為 その他 2005年 10.2% 89.8% 2006年 18.0% 82% 2007年 28.3% 71.7% 2008年 4.4% 95.6% 2009年 21.9% 70.9% 2010年 8.4% 91.6% 2011年 7.1% 92.9% 2012年 1.2% 98.8% 2013年 0.004% % 2014年 97.3% 2.7% 2015年 3.7% 96.3% 2016年 0.6% 99.4% 漏えい人数 約1,500万人 想定損害賠償額 約3,000億円 Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 24

25 内部犯行に及ぶ過程を記録し犯罪を抑止する 普段問題がない社員であっても ふとした瞬間魔が差し 犯罪に手を染めるリスクが会社 組織には常に存在している 内部不正をさせない仕組み作りが最重要となる 人的セキュリティ対策 統合ログ管理 犯罪を難しくする やりにくくする 物理セキュリティ 入退室 複合機 対策 資産管理 特権ID管理などを 導入する事で犯罪行為が難しい環境を作る ログのモニタリング 捕まるリスクを高める やると見つかる 監視体制強化 アカウント管理 アクセスログ管理を導入し 犯行が 見つかる可能性が高い環境を作る 定期レポート LOG PDCA 犯行の誘導を減らす その気にさせない 職場環境改善に取り組み 上司 部下のコミュニケーション向上を図る 証跡管理 モニタリングが機能している事を定期的なレポートで周知させる SIEM LOG LOG 犯罪の弁明をさせない 言い訳させない 素行の悪い社員 悪意を持つ社員への定期的な教育の実施や罰則規定を強化 する アクセスの形跡 ログ から物的証拠を記録する LOG 犯罪の見返りを減らす 割に合わない 重要な情報資産に対する暗号化 USB等の外部媒体の使用禁止 アクセス権の管理 LOG 出典 IPA組織内部者の不正行為によるインシデント調査 Copyright(C) 2018 Infoscience Corporation. All Rights 25

26 X/SIEM 製品概要 Copyright(C) 2018 Infoscience Corporation. All Rights 26

27 使い続けられるSIEM製品 Logstorage-X/SIEM 国産製品 国内IT部門で継続運用が行えるSIEM ドキュメント ヘルプ GUI全て日本語 統合ログからSIEMまでCSIRTで運用可能 直感的GUI フローチャート形式のルール設計GUI 簡易フィルタ条件 メールアクション設定GUI コマンド不要の検索GUI 安心サポート 日本語によるメールサポート メールによる設定支援 テンプレート提供 お客様ご利用中バージョンの継続保守 Copyright(C) 2018 Infoscience Corporation. All Rights 27

28 LogstorageとX/SIEMの立ち位置 競合製品との差別化 従来の長期保管から高度なSOC運用まで幅広いニーズに対応する製品が求められる X/SIEMは 安価 で 簡単 を前提に様々なニーズに提案可能な製品を目指す (米国製 3大SIEM) 高い (分析エンジ ンとして台 頭[米国製]) A社 B社 C社 D社 既存SIEM Logstorage-X/SIEM 価格 Logstorage OSS インシデント管理システム チケット管理システム との連動 外部データとの突き合わせ 分析 解析 相関分析 ログの長期保管 運用の難易度 Copyright(C) 2018 Infoscience Corporation. All Rights 難しい 28

29 X/SIEM システム構成図 アラート機能 フローチャート編集機能 外部データ連係機能 相関ルール機能 傾向分析機能 検索機能 インデックス高速検索 コマンド レシーバ機能 分析に最も使われるコマンド 27種類 (パイプ)による多段検索 柔軟な突き合わせ機能 Syslog (udp/tcp) FILE REST API カテゴリ定義 検索 チケット管理システム連携 分析以外のコマンドは順次追加いたします Logstorage-X/SIEM 構成図 ファイア ウォール ルーター NW機器 リアルタイム バッチ ファイル サーバー ストレージ インデックス [保管] レシーバー [ログ受信] サーチ [ログの検索/加工] Web [GUI] WEBブラウザ [分析] 管理者 アラート Logstorage Agent SBT ELC のライセンス使用権はX/SIEM1.0に標準で含まれております Copyright(C) 2018 Infoscience Corporation. All Rights 29

30 Logstorage X/SIEM の構成 長期保管 監査のLogstorage リアルタイムアラート 相関分析のX/SIEM 組み合わせることにより さらに完璧な統合ログ管理環境を構築する ログソース リアルタイム分析のみ 長期保管不要 のログデータ 長期保管が必要な ログデータ 1/10 高圧縮 監査レポート リアルタイム転送 syslog 高圧縮 長期保管 Logstorageのレポート用データとして戻す Copyright(C) 2018 Infoscience Corporation. All Rights 相関分析 コマンド 脅威DB連携 リアルタイム アラート サマリーデータ 集計結果 統計 履歴等 突合結果データ 30

31 脅威データベース連携サービス サービス概要 提供元 実際に発見されたマルウェアから抽出された接続先( )をもとに脅威DB を定期更新( )します 脅威DBとログを突き合わせることで Black の アクセスをリアルタイムに把握することができます 対象 株式会社FFRI URL IPアドレス 株式会社カスペルスキー IPアドレス 本サービスは 新種のマルウェアは必ず侵入してしまうことを前提と して出口対策に役立ちます 脅威DBの内容 URL IPアドレス 更新間隔はサービスの提供元により異なります 出口対策 Logstorage-X/SIEM 脅威 レピュテーション データベース連携構成 悪性が高いサイト へのアクセスを発見 C2 ハッカー 管理者 URLを含むアクセスログ マルウェア 侵入成功 Proxy エンドポイント エンドポイント 資産管理Agent 資産管理Agent どれほど多層防衛をしても新種のマルウェアはすり抜けてしまう Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 突合 Internet 定期更新 FFRI脅威DB レピュテーションDB 31

32 X/SIEM 機能紹介 アラート フローチャート表示機能 上流から下流へログが流れるイメージでルールを 作れる為 直感的な操作が可能となります バンドル(纏める)設定 マッチしたパターンのログを一定期間保持する事 により 発生頻度 閾値 傾向から検知ルールを 設定できます マスタ連携 レピュテーションDB連携 届いたIPアドレス ドメインが悪意のあるサイト かを自動判別するレピュテーションDB連携や 社員マスタ等と突き合わせしながら正規アクセス か など問題行動の検知ルールを作れます メールアクション(FreeMarker機能) 通知時のメール作成では ログに含まれている文 字列を宛先や件名に挿入したり IF文など高度な 機能により本文自動生成が可能となります Copyright(C) 2018 Infoscience Corporation. All Rights 32

33 X/SIEM 機能紹介 ダッシュボード グラフ/表のウィジット機能 任意のグラフや表をウィジット単位で複数設定可能です ログの変化をリアルタイムに観察することで 問題とな るアクセスを早期に発見できます Copyright(C) 2018 Infoscience Corporation. All Rights 33

34 X/SIEM 機能紹介 送受信 転送 レシーバー機能 フォルダ監視によるファイルレシーバー機能 Syslog(udp/tcp)レシーバー機能 ログフォーマット自動解析機能 一般的なログフォーマットであれば自動的に解析し て受信します (csv / kv / syslog 等) 受信コマンド機能 ログ受信時に任意のコマンドを実行できます 外部 データ(マスタ等)との突き合わせ処理が可能です ログ転送機能 Logstorageへリアルタイム転送が行えます 通信プロトコルはLLTPとなり ログの欠損防止が 可能です 転送条件を設定することで 任意のログのみをフィ ルタして転送が行えます Copyright(C) 2018 Infoscience Corporation. All Rights 34

35 ログ収集ツール Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 35

36 Logstorage Agent Logstorage Agent 機能 テキストログ イベントログを監視し LogGateに送信するクライアントツールです <Logstorage Agentによるログ収集イメージ> ログをリアルタイムに送信可能 テキスト形式のログファイルやWindowsイベントログをリアル タイムにLogGateへ転送することができます 独自プロトコルによるログ落ち防止 ログ転送に最適化された独自転送プロトコルである LLTP を 利用することで ログ落ち ロスト を完全に防止することが できます シンプル機能 低負荷 出力されているログを転送する 機能に特化したシンプルなプ ログラムなので導入先のサーバのCPUやメモリリソースの消費 を最小限にしてログ転送を行います 機能 説明 ログの暗号化送信機能 暗号化してログを送信することができます ログ送信切り換え機能 送信先へ接続できない場合 接続先を切り換えて送信することができます システム高負荷時の動作抑制機能 ブロックログの送信機能 ローテートログの送信機能 送信ログのフィルタ機能 ログ ソース ログ収集対象 が高負荷となったとき メインのサービスの稼動に影響しないよう ログ送信を一時 抑制します 複数行で1つの意味を持つログを解析し 1行のログとして送信することができます ローテートされたログファイルを追跡し ログを送信することができます キーワードによるログのフィルタリングを行い 必要なログのみ送信することができます Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 36

37 Logstorage ELC / ログ収集機能 イベントログをエージェントレスで取得 エージェントレスでWindows / NetApp / EMCイベントログ VMwareイベントを収集するサーバツールです <Logstorage ELCによるログ収集イメージ> <NetApp / EMCストレージからのログ収集イメージ> 収集対象 対応バージョン OS / 製品 Windows NetAppストレージ EMCストレージ VMware 対応バージョン Windows Server 2008 R2, 2012, 2012 R2, Storage Server 2012, Windows 7, Windows 8.1, Windows 10 Data ONTAP , 8.0.1, 8.0.2, 8.1.0, , , , 9.0, 9.1 DART 6.0 / 7.1, VNX for File 7.0 / 7.1/8.1, VNXe OE 2.1 / 2.4, Unity 4.0.0/4.0.1 VMware vcenter Server Ver Update3, Ver.6.0 VMware ESX(ESXi installable, ESXi Emvedded, ESX) Ver Update3, Ver.6.0 Windowsについては基本的にファイル共有の仕組みを利用してログを収集しますが FTP / FTPSでのログ収集も可能です その場合 ELC に含まれるログ送信用のモジュール (SBT for WindowsEvent)をWindowsサーバ上に設置する必要があります Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 37

38 ログ収集実績 / 連携製品 日本国内で利用されているソフトウェア 機器を中心に250種以上のログ収集実績 OSシステム イベント Web/プロキシ ネットワーク機器 Windows Solaris AIX HP-UX Linux BSD Apache IIS BlueCoat i-filter squid WebSense WebSphere WebLogic Apache Tomcat Cosminexus Oracle SQLServer DB2 PostgreSQL MySQL Cisco PIX/ASA Cisco Catalyst NetScreen/SSG PaloAlto PA VPN-1 Firewall-1 Check Point IP SSL-VPN FortiGate NOKIA IP Alteon SonicWall FortiGate BIG-IP IronPort ServerIron Proventia データベース監査 メール MS Exchange sendmail Postfix qmail Exim クライアント操作 LanScope Cat InfoTrace CWAT MylogStar IVEX Logger 秘文 SeP QND/QOH Logstorage アライアンス製品 サーバアクセス データベース LanScope Cat SecureCube / AccessCheck ALogコンバータ VISUACT File Server Audit CA Access Control CWAT InfoTrace ICカード認証 MylogStar IVEX Logger シリーズ SmartOn ARCACLAVIS Revo PISO Chakra SecureSphere DMG/DSG SSDB監査 AUDIT MASTER IPLocks Guardium i-filter MaLion 運用監視 アンチウィルス VISUACT SSDB監査 PISO SKYSEA Client View Nagios JP1 Systemwalker OpenView Symantec AntiVirus TrendMicro InterScan McAfee VirusScan HDE Anti Vuris Palo Alto Networks NGFW Amazon Web Service (AWS) Lotus Domino 複合機 Microsoft Azure Copyright(C) 2018 Infoscience Corporation. All Rights Lotus Domino Notes AccessAnalyzer2 Auge AccessWatcher imagerunner Apeos SecurePrint! その他 VMware vcenter SAP R/3 (ERP) NetApp (NAS) ex-sg (入退室管理) MSIESER isecurity Desk Net s HP NonStop Server BOX Office 365 その他 38

39 Logstorage ELC / ログ解析機能 ファイルアクセスなど複雑なイベントログを分かり易い内容に変換 ELC for Windows 解析対象 ログ種別 内容 ローカルログオン ローカルからのログオン / ログオン失敗 リモートログオン リモートからのログオン / ログオン失敗 ファイルアクセス ファイルの読み込み / 書き込み / 削除 / 名前変更 / 印刷 プロセス起動 終了 管理者操作 Windowsファイアウォール システム設定変更 プロセスの起動 / 終了 管理者(Administrators)操作 ファイアウォールの有効 / 無効 ルール作成 / 変更 / 削除 ポート許可 / ブロック イベントログの削除 / 時刻変更 / タスクスケジュール登録 / サービス登録 ELC for NetApp / EMC 解析対象 ログ種別 ログオン ログオフ ファイルアクセス 管理者操作 内容 NetApp / EMCストレージへのログオン / ログオン失敗 / ログオフ NetApp / EMCストレージ上のファイルの読み込み / 書き込み / 削除 / 名前変更など NetApp / EMCストレージ上での管理者操作 Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 39

40 クラウド向けログ収集モジュール 各種クラウドサービス(SaaS)への取り組み Box社より提供されているセキュアなファイル共有クラウドサービス Box およびマイクロソフト社より提供されている Office 365 Exchange, SharePoint, Skype, Excel, Word 等 の監査ログの収集 可視化 分析が可能です <Boxログ収集イメージ> いつ 誰が 何を どのように操作したか 特定ユーザがある期間に行った操作は どの接続元(IPアドレス)から操作が行われたか クラウド向けログ収集モジュール を 活用してSaaSのログを可視化を実現!! 傾向分析 不正アクセス検出 利用状況把握 クラウド向けログ収集モジュールは BoxとOffice 365の各専用モジュールがあります Office 365で対応しているサービスは AzureActiveDirectory / Exchange / SharePointです Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 40

41 X/SIEM 導入事例 Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 41

42 突合コマンド オプション導入案件 Logstorageの構築から進み 突合要件のあるログソースのみを 突合コマンド オプションを経由して収集する 突合対象 ログソース 突合不要 ログソース 顧客DB不正アクセス 各種マスタ 許可時間外アクセス 突合コマンド オプション X/SIEM Logstorage 申請外の入室 突合レポート Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 42

43 X/SIEM 海外製品リプレイス案件 海外SIEMからX/SIEMへのリプレイス 2019年に完全移行を予定 ルール名 ブルートフォース攻撃対策 ドキュメント不正アクセス 詳細 同一アカウントによるログオン失敗が継続 していることを検知 ドキュメントに対する不正アクセスを検知 標的型攻撃対策 C2サーバへのアクセス プロキシを経由し ないインターネット通信を検知 共有ファイル大量削除 同一アカウントによるファイル大量削除を 検知 不正外部接続通信 外部接続に関するゼロデイ対策 長期未使用ID利用 長期間使われていないアカウントの再利用 を検知 クライアントPC不正使用 クライアントPCの所有者以外のログオンを 検知 海外の高機能 超高額なSIEMでも使われるルールは10個程度 X/SIEM1.1で十分実現可能なルールであり 複雑なものではない Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 43

44 SIEM製品としての評価速報 某セキュリティベンダ 2017/09実施 お客様環境内で限定したアラートの運用を行うことは可能と考える レポート機能 SIEM運用操作画面(GUI)など一部仕組み化が必要 比較項目 分類 X/SIEM 機能 X/SIEM のみ Logstorage X/SIEM 某海外 SIEM コメント セキュリティ監視 ログ収集 ログ正規化 ログ分析 ログ保管 ログ検索 検索条件等 アラート条件に大差なし 細かな検索条件が実装可能 Logstorage追加でログ保管可能 レポーティング ログ集計 集計方式 レポート生成等 集計機能はあるが レポート生成はできない Logstorage追加でログの集計レポート生成可能 脅威情報 レピュテーション情報 提供タイミング等 ユーザビリティ 非機能 マルチテナント ユー ザーインタフェース等 性能 可用性 拡張性 バックアップ/リスト ア システム監査 製 品 セキュリティ等 総評 オプションでFFRIの今日情報提供あり マルチテナント対応不可能 オペレータレベルで操作ができるGUIなし プログラミングスキルが必要 Logstorageはログ集計用GUIあり セキュリティ要件対応が弱い サーバOSやネットワークレベルで要対応 Logstorage追加しても大差なし 冒頭に記載 SOCのなかで使われるSIEMとしての機能はクリアしているが 情報システム部が運用するツールとしてのGUIは今後も継続的に改善が必要 Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 44

45 不正アクセス検出後の自動アクション マルウェア感染PCのアクセスを自動的に遮断する出口対策として使う コマンド 判定結果付与データ転送 判定 悪性サイト FFRI脅威DB レピュテーションDB 監査レポート プロキシ 不正アクセス元のIPアドレスをブロック ファイアウォール 感染端末 ① ② ③ ④ インターネットへ直接接続を試みる NG マシンのキャッシュ情報からプロキシ経由でアクセスを試みる NG ユーザID/パスワードを使って正規アクセスを試みる OK URLをレピュテーションDBと突き合わせ 悪性サイトと判定された場合は遮断の コマンドをファイアウォールへ送る マルウェアの行動パターンをルール化し 予兆のあるマシンの洗い出しが重要となる Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 45

46 パケットキャプチャからの分析 パケットキャプチャ型のサイバーセキュリティ対策ツール VISUACT-X と連携 し 繰り返される内部ハッキングを検出する 外部との通信ログを監視 C2サーバへのアクセス 大量アップロード 内部アクセスを監視 Logon Failureの大量発生 クライアント クライアントへのログオン試行 管理共有 c$ d$ アクセス 不審ファイル書き込み試行 ファイルサーバへの不明エラー 0x AD管理下でのローカルアドミンアクセス エンドポイントを監視 管理外端末からのアクセス有無 セキュリティパッチ更新状況 サーバからのLogon Failure IPS/IDS NGFW 内部ハッキングで記録されたログ は削除 または改ざんする 認証サーバ AD) ファイルサーバ VISUACT-X VISUACT-X パケットキャプチャで Windowsイベントログでは 取得できないログを取得する 端末 エンドポイント 資産管理Agent ログの統合監視 各ポイントで発生するインシデントを起点に 他の ログと相関分析 明らかな違反 不正を見つける VISUACT はアズビルセキュリティフライデーが開発する製品です Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 46

47 ブルートフォース アタックの検出 一定時間内に連続して届く文字列の検知 10分以内に発生するログイン失敗のログの中で 同一のアクセス元IPアドレスや 同一アカウントが連続10回以上発生 した場合に通知する ユーザIDを変更 admin yamada suzuki sato tanaka 攻撃対象のユーザ企業 使われるアカウント数を読めない 踏み台となるIPアドレス数は無数 (頻度指定のコマンド例) where _ts >= t now sec and login = failer stats count user by user rename count.user as cnt by.user as user where cnt >= 10 fields user cnt where 現在時刻から3,600秒以内 かつloginフィールドの値がfailerのログのみ抽出する stats ユーザ毎の件数を集計する rename 通知時に分かりやすいカラム名へ変更 count.user -> cnt, by.user -> user fields 通知時に表示するカラムを指定する Copyright(C) 2018 Infoscience Corporation. All Rights 47

48 長期に使われていないものを見つける 使われていなかったものが ある日突然 使われている このような普段と違うログをモニタリングすることで 不審行為の早期発見が可能となる 1月 月 3月 4月 5月 長期間 一度も出力されていなかったログを見つける ファイル 長期間 アクセスされることのなかったファイル へのアクセスは マルウェアの偵察活動や 離職 予定者のファイル持ち出し行為の恐れがある アカウント 未使用アカウント 非管理アカウントからのアク セスの可能性が高く ADへのログオンアタックや 内部犯行の予兆のリスクが高い Copyright(C) 2018 Infoscience Corporation. All Rights 6月 LOG PC 非管理PCの接続 持ち込みPCやモバイルからの 接続の可能性がある 管理台帳と組み合わせて管 理外PC接続アラートのルールにより早期発見が可 能 IPアドレス URL マルウェアによる自動生成のURLや 許可外のIP アドレスの可能性がある レピュテーションDB連 携機能により 悪性の高いサイトへのアクセスを 検出する 48

49 ライセンス体系 他 Copyright(C) 2018 Infoscience Corporation. All Rights 49

50 X/SIEM ライセンス体系 Copyright(C) 2018 Infoscience Corporation. All Rights 50

51 X/SIEM 受信設定テンプレート 日本国内のセキュリティ事情に即したテンプレートを順次拡大 テンプレートは無償で提供 第一弾 PaloAlto FortiGate VISUACT-X VISUACT-3 Windows イベントログ Linux Syslog Squid 第二弾 BIND BIG-IP CISCO Proventia SKYSEA LanScope Cat i-filter ご希望のテンプレートがございましたらご要望に応じて個別に作成させていただきます Copyright(C) 2018 Infoscience Corporation. All Rights 51

52 突合コマンド オプション機能 Logstorage に X/SIEM の一部機能を使うことで突き合わせ処理の自動化を実現 人事マスタ ファイルアクセスログ Logstorage-X/SIEM1.0 構成図 社員名簿とファイルアクセス時に出力されるログ を突き合わせることで 関係が無い部署社員から の不要なアクセスを発見できるようになります 機器管理台帳 デバイスIPアドレス 機器管理台帳 デバイスマスタ に含まれてい ないIPアドレスから出力されたログに対してフ ラグを付与することで 管理外のPCやNW機器 を見分けることが可能になります 残業 休出申請 入退出ログ 深夜時間の退室ログや休日の入室ログが事前申請 のある入退室かを申請台帳と突き合わせることで 申請外の出入りを発見できます ファイア ウォール 突合処理 ルーター NW機器 コマンド リアルタイム ログ マスター データ リアルタイム バッチ ファイル サーバー レシーバー [ログ受信] ストレージ インデックス [保管] 突合コマンド オプション 脅威情報DB src / dest ip(url) レピュテーションDB 脅威情報 とアクセス先/ 元のIPアドレスを突き合わせることで 危険度の 情報をログ中に付与することができます Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 突合処理 マスターデータ:csv 生ログ アカウント 名 リソース名 アクション アカウント 名 社員ID 部署名 氏名 yamada fileserver 人事総務 社員名簿.xlsx 読み取り yamada 人事総務部 山田 太郎 Suzuki fileserver 開発設計 基本設計書.doc 読み取り Suzuki 企画部 鈴木 一郎 Tanaka fileserver 開発設計 基本設計書.doc 書き込み Tanaka 開発部 田中 次郞 52

53 END Logstorage Logstorage-X 製品紹介と市場動向について インフォサイエンス株式会社プロダクト事業部セールスチームマネージャー小長谷大祐 Copyright(C) 2018 Infoscience Corporation. All Rights