JSOCマネージド・セキュリティ・サービス（MSS）インシデントご報告・セキュリティ動向

XXXX JSOC (Japan Security Operation Center) 2

JSOC Japan Security Operation Center 24 時間 365 日のリアルタイムセキュリティ監視 1 2 年以上のセキュリティ監視サービスの継続実績契約顧客は約 600 社以上 ( センサー数 1 2 00 台以上 ) セキュリティ監視機器にマルチ対応事件事故を救急対応した結果のフィードバックイードアワードで監視運用部門で第一位監視サービスメニュー J S O C マネージドセキュリティサービス ( M S S ) J S O C 24+ ( FW I P S UTM W A F N G F W ) 3

JSOC マネージドセキュリティサービス (MSS) ファイアウォール監視サービス Firewall のアクセスログをリアルタイムに分析しネットワークの境界でワームボットなどの脅威を見つける 24 時間 365 日リアルタイムセキュリティ監視サービス ASA5500-X シリーズ SSG シリーズ SRX シリーズ VPN-1/Firewall-1 UTM-1 シリーズ PA シリーズ IDS 監視運用サービス IDS の不正アクセス検知機能を利用しネットワーク内部で発生するあらゆる脅威を見つけ出す 24 時間 365 日リアルタイムのセキュリティ監視サービス IPS 監視運用サービス IPS の不正アクセス検知機能と通信遮断機能を利用してネットワーク内部で発生するあらゆる脅威を見つけ危険性が高い通信を遮断する 24 時間 365 日リアルタイムのセキュリティ監視サービス Security Network IPS GX シリーズ Network Security Platform Virtual Network Security Platform ASA5500-X シリーズ IPS 4200/4300/4500 シリーズ ASA with Fire POWER SniperIPS 4

特長 1 大量のログ対応の負荷を軽減ログの分析結果から高度な分析スキルを備えたセキュリティアナリストがリアルタイムに攻撃の影響度を 4 段階に判定し本当に問題があるイベントのみをお客様へ 15 分以内でご連絡しますこれにより誤検知を含む大量のログからお客様自身が分析判定する必要はありません JSOC セキュリティアナリスト 2011 年ラック調べ 5

Severity ログ収集からお客様へ通知まで FW Emergency Critical Warning Informational IDS/IPS 監視機器からのログ収集相関分析システムによる解析セキュリティアナリストによるイベント解析お客様へ電話メールによる通知 High Emergency Critical 攻撃が成功したと判断された場合攻撃の失敗を確認できない場合または成功している可能性が高いと判断された場合即時連絡 15 分以内電話メール Warning Informational 実害を狙った攻撃だが失敗を確認している場合偵察活動のような実害のない攻撃活動を検出した場合安全宣言専用 WEB ポータル Low 誤検知通常通信もしくは誤検知と判断された場合殆どが該当 6

特長 2 メーカ標準シグネチャを JSIG で補完メーカ標準のシグネチャでは検知できない新たな脅威には JSOC が独自に開発した JSOC オリジナルシグネチャ (JSIG) で対応し従来見えなかったインシデントを早期発見早期対応することを可能にしますメーカシグネチャメーカシグネチャ JSOC オリジナル + シグネチャ (JSIG) 7

JSIG の有効性多数の情報セキュリティ事件事故に対応するサイバー救急センターマルウェアやサイバー戦に熟知したサイバーセキュリティ研究所圧倒的な実績を誇る脆弱性診断チームと JSOC は連携して日本固有の環境や新たな脅威が発生した際にも迅速かつ確実に JSIG を開発しセキュリティ機器に反映することで広範囲な検知を可能とします 2011 年ラック調べ 8

特長 3 他サービスと連携を行い安心安全をご提供 Critical 以上のインシデントの対応事例セキュリティ監視サービス 1 お客様電話連絡危険度レベル IP アドレス分析結果対応策参考情報など 2 管理者様社内対応チーム攻撃者からの通信を遮断応急対応サービスリモート対応することで 2 次被害を最小限に抑えます救急対応サービス救急対応サービス 03-6757-0119 3 現地対応初期対応事後対策などあらゆる面でお客様をサポートします 9

JSOC 侵入傾向分析レポート下記のグラフは JSOC が監視しているファイアウォール IDS/IPS 1100 台の分析結果高危険度 (Critical/Emergency) と判断した脅威がどこから発生したかの割合です以下の様に外部ネットワーク ( 外内通信 ) と比べ内部ネットワーク ( 内外通信 ) で発生する脅威が占める割合が非常に多い結果となっています脅威発生元外部ネットワーク ( インターネット ) 内部ネットワーク ( お客様ネットワーク ) 10 2011 年 JSOC 侵入傾向分析レポート http://www.lac.co.jp/security/column/jsoc/

JSOC 侵入傾向分析レポート下記のグラフは内部外部ネットワークで発生する脅威の内訳です内部ネットワークで発生する脅威はウイルス感染が大半です内部ネットワーク ( お客様ネットワーク ) 外部ネットワーク ( インターネット ) ウイルス感染による通信アプリケーションの改修で対処できる攻撃 11 2011 年 JSOC 侵入傾向分析レポート http://www.lac.co.jp/security/column/jsoc/

サービス構成イメージお客様サイト監視対象監視対象暗号により監視データを安全に転送社内 IDS/IPS FW Internet FW 公開サーバリアルタイムセキュリティ監視適切な機器の運用管理サポート情報照会管理者様セキュリティ上脅威となりうるイベントのみを迅速かつ正確にお客様に電話メール Web ポータルでご連絡し対策へのアドバイスを行ないます専用 Web ポータルサイト 12

JSOC 監視サービス概要 1 24 時間 365 日リアルタイムセキュリティ監視 2 適切な機器の運用管理 3 サポート情報の照会オプション ( 応急対応サービス ) ファイアウォール監視サービス IDS 監視運用サービス IPS 監視運用サービスセキュリティインシデント監視ログのセキュリティ分析リアルタイム対策とアドバイスシステムの稼働監視障害対応 1 次切り分け *1 *1 ポリシー変更シグネチャ更新独自開発シグネチャ適用 (JSIG) *2 *2 機器のバージョンアップ *3 *3 緊急時の連絡と対策支援問い合わせ対応 Webポータルサイト月次レポートセキュリティ情報の提供応急対応 (ACL 変更など ) *1 ラックから IDS/IPS をご購入いただいた場合障害調査から復旧までをお客様に代わって JSOC が対応します *2 製品の仕様上の制限により独自開発シグネチャー JSIG が搭載できない機器があります *3 バージョンアップは原則として JSOC からリモートで作業できる場合に実施します 13

1 24 時間 365 日リアルタイムセキュリティ監視 FW IDS/IPS 24 時間 365 日ファイアウォール IDS/IPS のログをセキュリティアナリストによるリアルタイムの監視分析を行いお客様にとって問題があるイベントのみをお客様へご連絡しますファイウォール監視 IDS/IPS 監視 Outbound 通信 Internet Outbound 通信 Internet Inbound 通信アクセス制御によるドロップログから不正プログラム感染後の外部接続などを検知 < メーカシグネチャ > OS ミドルウェアの脆弱性をついた攻撃を検知 / 防御 <JSOC オリジナルシグネチャ > 不正プログラム感染後の外部接続 SQL インジェクション攻撃の Web アプリケーションレイヤの攻撃など 14

1 リアルタイム対策とアドバイス FW IDS/IPS 危険度の高いイベント (Critical,Emergency) はセキュリティアナリストから指定されたお客様へ電話にて速やかにご連絡いたします単なる攻撃情報だけではなく攻撃による影響範囲や必要な対応策など具体的な内容などをお伝えいたします緊急時には電話を通じてお客様と一緒に全力で対策にあたりますまたご不明な点等に対するお問い合わせ対応も 24 時間 365 日でおこないます通知連絡 (24 時間 365 日 ) 危険度レベル IP アドレス分析結果推奨する対処方法今後の対策参考情報 (URL など ) お客様問い合わせ (24 時間 365 日 ) 対処方法について確認方法についてなど JSOC セキュリティアナリスト 15

2 機器の稼働監視と障害対応 FW IDS/IPS 定期的に稼働監視を行っており万が一障害が検出された場合は速やかにご連絡と早期復旧に向けご支援いたします 1 監視対象機器に対し約 3 分おきに ping 送信およびサービスポートへのアクセスによる稼動監視 2 応答がない場合約 1 分間隔で 2 回リトライ確認 3 2 回目のリトライ失敗後エンジニアによる手動での確認およびログの到達状況の確認 4 監視対象機器までの経路上のネットワーク機器に対してアクセス確認 5 15 分間継続的に監視対象機器からの応答がない場合障害と判断してお客様へ障害通知を実施 6 障害対応開始 16

2 シグネチャ更新とポリシーチューニング実施 IDS/IPS 日々発見される最新の攻撃手法に対するシグネチャの更新や監視対象ネットワークの状態を考慮したポリシーチューニングにより IDS/IPS のセキュリティ機能を最大限に引き出しますシグネチャの更新ポリシーチューニング JSIG の開発 1 メーカーが新規シグネチャをリリース 2 JSOC の検証環境にて新規シグネチャに対する安全性信頼性について検証 3 安全性信頼性の確認後サービス対象機器に適用 4 常に最新のシグネチャを適用することによって新しい攻撃に対する防御力が向上 1 お客様サイトの環境によって大量のアラート発生を検知 2 セキュリティアナリストがアラートの内容を調査して誤検知であるかを確認 3 ポリシーチューニングを実施して誤検知を排除 4 適切な監視ポリシーで運用 1 メーカーシグネチャでは対応できない未知の攻撃を JSOC で検知 2 その攻撃に対する JSIG を緊急開発 3 有効性安全性の確認後サービス対象機器に適用 4 メーカーが対応するまで JSIG で継続監視を実施 17

2 IDS/IPS のバージョンアップの実施 IDS/IPS IDS/IPS メーカから新たにリリースされたファームウェアを JSOC にて事前検証を行い問題がないことを確認したうえでリモートによるバージョンアップの作業を実施をおこない最適な状態にします IDS/IPS メーカ IDS/IPS メーカ IDS/IPS メーカ IDS/IPS JSOC セキュリティエンジニアお客様ネットワークバージョンアップは原則として JSOC からリモートで作業できる場合に実施いたします 18

3 Web ポータル ( 分析情報照会 ) の提供 FW IDS/IPS セキュリティ監視に関する情報はお客様専用の Web ポータルでリアルタイムに確認できますセキュリティ監視を通してお客様のネットワーク環境がどのような脅威にさらされ影響を受けたかなどが分かりやすくまとめられています 19

3 月次レポートの提供 FW IDS/IPS 1 ヶ月間のセキュリティ監視の結果は分かりやすくまとめた月次レポートをご提供しますお客様専用の Web ポータルからダウンロードすることが可能です 20

3 セキュリティ情報提供 FW IDS/IPS 情報セキュリティに関してのさまざまな情報をセキュリティレポートやサービスを利用するお客様向けのメルマガなどを通してご提供しますセキュリティ関連情報の提供セキュリティ情報のメールマガジン ( 定期 : 隔週 ) JSOC 緊急注意喚起情報 ( 不定期 ) JSOC 監視ユーザのセキュリティインシデントのランキング世間のセキュリティ的話題などを取り上げたコラムなどを発信するメールマガジンをご提供いたします JSOC 独自の収集情報を中心にセキュリティ上緊急対策が必要と判断したものについて JSOCセキュリティアラート注意喚起情報としていち早く配信いたしますご参考ラックのセキュリティ事業のベースとなる情報源は数多くございますが特長的なのはサイバーセキュリティ研究所です幅広く情報を収集し分析を行っていますその成果として脆弱性の発見報告やハニーポットに関するレポートなどがありさらに講演やセミナーという形でお客様やパートナー様に還元することに主眼を置いています 21

オプション : 緊急対応サービス IDS/IPS IDS/IPS のセキュリティ監視により危険な通信を検知した場合 JSOC のセキュリティアナリストがお客様の Firewall に緊急で ACL を追加して危険な通信を遮断被害の拡大を防止するサービスです攻撃者によりお客様ネットワークへの侵入が成功したまたはその可能性が著しく高い事象を検知した場合ワームなどのウイルス感染が確認された場合にサービスを発動します攻撃者の侵入を検知 Emergency 発生を確認顧客に緊急連絡応急対応を開始 Firewall の ACL を変更し被害の拡大を防止お客様側応急対応で防いでいる間に被害サーバの対処を実施セキュリティイベントの危険度が高い時に発動危険度 Emergency Critical セキュリティイベントお客様のシステムに対する攻撃が成功していることが確認できる場合 Web サイトが改ざんされている JSOC のセキュリティアナリストによる監視対象機器のログ分析により不正にデータが取得されていることが判明した場合不正侵入が成功した場合あるいは不正侵入の成功の可能性が著しく高い場合お客様のシステムに対する攻撃の成否は確認できないが攻撃された可能性が高いと JSOC のセキュリティアナリストが判断した場合お客様のネットワークがワームやボットに感染した場合マルチベンダーの Firewall 機器に対応 Firewall 機器については対応機種に制限はございませんどの Firewall 機器をご利用でも対応できます McAfee 社 Network Security Platform を用いて IPS 監視サービスを実施している場合機器の通信監理機能を用いて本サービスの提供が可能ですその他 22

サービス提供方式 1. センター方式 (JSOC 側の管理サーバを利用 ) お客様サイトログ監視対象機器 Internet( 1) 管理サーバ JSOC 分析システム 2. エージェント方式 ( お客様サイトに管理サーバ兼ログ収集サーバを設置 ) お客様サイトログ転送プログラムログ Internet( 1) 監視対象機器管理サーバ兼ログ収集サーバ ( 2) JSOC 分析システム ( 1) サービス提供に必要な回線帯域は 1.5Mbps 以上を推奨しますサービス提供にあたっての通信要件は別途ご提示いたします ( 2) 推奨スペックは別途ご提示いたします 23

JSOC との接続形態 1. Internet VPN 接続 (IPSec VPN による暗号化通信 ) お客様サイト監視対象センサーログ VPN 機器 ( ) による暗号化通信 Internet 管理サーバ JSOC 分析システム ( )VPN 機器は Juniper SSG5 を推奨します 2. Internet 接続 ( 管理サーバセンサーによる暗号化通信 ) お客様サイト監視対象センサーログ管理サーバセンサーによる暗号化通信 Internet 管理サーバ JSOC 分析システム本接続イメージはセンター方式ですエージェント方式でも同様の接続形態で JSOC と接続が可能です 24

株式会社ラック E-mail : sales@lac.co.jp FAX : 03-6757-0193 102-0093 東京都千代田区平河町 2-16-1 平河町森タワー 25

JSOCマネージド・セキュリティ・サービス（MSS） インシデントご報告・セキュリティ動向

JSOCマネージド・セキュリティ・サービス（MSS）インシデントご報告・セキュリティ動向