Document Ver. 2.2 用途別監査レポート 内部不正対策 ワークスタイル改革 通信インシデント Copyright AMIYA Corporation All Rights Reserved. 1
内部不正対策 漏洩 / 消失の記録と抑止 退職予定者の監視 -- 内部からの情報漏洩の防止 USB デバイスを介した漏洩の防止 ワークスタイル改革 過重労働 不要な残業の防止 業務外行為の把握と改善 -- 超過労働の抑制 低生産性労働の排除 同上 マルウェア感染の防止 通信インシデント 不正サイトへのアクセス (C&C サーバなど ) の特定 --サイバー攻撃監視 ネットワーク障害監視 感染 PC 特定と被害範囲の特定 通信ボトルネック ( 障害 / 通信負荷 ) の特定 Copyright AMIYA Corporation All Rights Reserved. 2
内部不正対策 -- 内部からの情報漏洩の防止 監査手順出力 機密情報へのアクセス 事象 : 漏洩 / 消失の記録と抑止対象 : ファイルサーバログ行動 : ファイル名 ( 機密 / 個人情報 ) への R/W/R/D を取得 R/W/R/D=Read/Write/Rename/Delete 特定ワード日次レポート & アラート 自動通知可能 権限がない失敗アクセスも取得可能 要注意人物の監視 事象 : 退職予定者の監視対象 : ファイルサーバ / メールサーバログ行動 : ユーザー A のファイル利用 / メールの履歴を取得 ユーザー Aの全アクセス週次レポート ユーザー Aの全メール送受信月度レポート 不正の事前検知 事象 : 情報の他社流出 / 売買の防止対象 : WebProxy ログ行動 : 転職サイトの閲覧を記録 転職サイト閲覧数上位者ランキング表示 不正コピーの監視 事象 : USB デバイスを介した漏洩の防止対象 : クライアント PC ログ行動 : 外部デバイス (E/F drive) にコピーした履歴を取得 外部デバイスコピー月次レポート 技術開発部門の外部デバイスコピー日次レポート & アラート Copyright AMIYA Corporation All Rights Reserved. 3
内部不正対策 -- 出力サンプル 監査 監査対象 レポート 機密情報アクセスの把握ファイルサーバファイルパスに 個人情報 顧客 が含まれるファイルのREAD, WRITE, DELETE, RENAME 2017/4/2 23:58 AMIYA.CO.JP tanaka Win-FS01 D: 管理本部 西日本 機密 顧客リスト 名刺情報.xls READ ClientIP:172.20.1.201 Count:1 深夜に tanaka さんが 顧客情報フォルダの 名刺情報.xls にアクセスしている Copyright AMIYA Corporation All Rights Reserved. 4
働き方改革 -- 超過労働の抑制 低生産性労働の排除 監査手順出力 超過労働の抑制 事象 : 過重労働 不要な残業の防止対象 : AD サーバログ (Windows ログオン / ログオフ ) 行動 : 21 時以降の Logoff を取得 <Attend Manager( オプション )> 月度勤怠表の自動作成 上位 10 名の残業社員ランキング表示 社員別の月度勤怠表月度レポート 総勤務時間と総残業時間の Excel 出力も可能 時間外勤務の実態把握 事象 : 過重労働 サービス残業の防止対象 : ファイルサーバ行動 : 時間外 ( 土日深夜 ) のアクセスを取得 土日深夜ファイルアクセス月次レポート 低生産性労働の把握 -1 事象 : 業務外行為の把握対象 : WebProxy or PC ログ行動 : 各ソーシャルメディアのサイト閲覧を取得 上位 10 名の SNS 利用ヘビーユーザーランキング表示 低生産性労働の把握 -2 事象 : 業務外行為の把握とマルウェア感染防止対象 : WebProxy or PC ログ行動 : 暴力 / ポルノ / ギャンブル のサイト閲覧を取得 上位 10 名の有害サイト閲覧者ランキング表示 Copyright AMIYA Corporation All Rights Reserved. 5
ワークスタイル改革 -- 出力サンプル 監査 超過残業の抑制 監査対象 AD サーバ ( ログオン / ログオフ ) レポート 20 時以降の LOGOFF 残業チェック 水曜日 18 時以降の LOGOFF ノー残業チェック ay-nishiyama さんが 月間 20 回 20 時以降にログオフしている 総勤務時間と総残業時間の Excel 出力も可能 Copyright AMIYA Corporation All Rights Reserved. 6
通信インシデント -- サイバー攻撃監視 ネットワーク障害監視 監査手順出力 サイバー攻撃検知 ランサムウェア検知 事象 : 不正サイトへのアクセス (C&C サーバなど ) の特定対象 : WebProxy / FW / UTM サーバログ行動 : 登録済不正サイトへのアクセスを取得 事象 : ランサムウェア感染 PC 特定と被害範囲の特定対象 : ファイルサーバログ行動 : 大量のファイルリネーム履歴を取得 ( ランサムウェアはファイルを拡張子を変更 & 暗号化する傾向がある ) 不正通信アクセス日次レポート & アラート クラウド WebProxy サービス (V-Gateway など ) で不正サイトのマッチングが可能 大量 Rename 監視日次レポート & アラート ネットワーク通信障害 事象 : 通信ボトルネック ( 障害 / 通信負荷 ) の特定対象 : ネットワーク機器のログ行動 : Syslog から alert traffic over を取得 通信障害月度レポート ログ 0 件 (= 機器が動いていない ) 週次レポート 無線 LAN 通信障害 事象 : 無線 AP の障害原因の特定対象 : アクセスポイント機器のログ行動 : 接続過多 電波干渉による接続障害の検知 接続失敗履歴週次レポート クラウド無線 LAN サービス (Hypersonix など ) で通信不良 / 遅延の原因特定が可能 Copyright AMIYA Corporation All Rights Reserved. 7
通信インシデント -- 出力サンプル 監査 監査対象 レポート ランサムウェアの検知 ファイルサーバ 同一ユーザーによる 1 日 100 回以上の RENAME 操作 ( ランサムウェアはファイルを拡張子を変更 & 暗号化する傾向がある ) 同一時刻に同一ユーザーが ファイルの大量 RENAME を繰り返している 感染フォルダの被害範囲もすぐに特定でき バックアップリカバリの対象が分かりました ( お客様談 ) Copyright AMIYA Corporation All Rights Reserved. 8
お客様事例 大手金融機関様 15000 名規模 大手アミューズメントメーカー様 背景 DoS 攻撃対策として BlueCoat 製品 (Web プロキシ ) を設置 膨大な生ログ管理が 管理者の甚大な工数負荷になっていた 背景 ネットワーク障害時に原因究明できない ファイヤウォールのログが膨大で見きれない 効果 ALog EVAの導入により 該当するログを管理者へ自動通知する運用に 自動化により管理の工数を大幅に削減できた さらにSNS 利用や不適切なサイト閲覧など 禁止されたWeb 閲覧の実態も導入により明らかになった 効果 ALog EVA で NW 機器のエラーログ / トラフィックログを必要な情報だけ取得 ログの量を減らして可視化に成功した ルータやファイヤウォールなど機器の死活監視もできた 時刻サーバ対象操作詳細 2017/7/26 18:17:30 2017/7/26 18:17:32 10.255.254.253 Traffic Denied TCP_DENY 10.255.254.253 Close - TCP FIN HTTPS_PERMIT Count:5_DestinationIP:192.168.0.3_ DestinationPort:4884 Count:1_DestinationIP:162.125.80.3_ DestinationPort:443 Copyright AMIYA Corporation All Rights Reserved. 9
目的別適応表 監視対象監査目的 ALog ConVerter ALog ConVerter DB ALog EVA ファイルサーバ AD サーバ 機密情報へのアクセスの把握 要注意人物のファイルアクセス監視 時間外勤務実態の把握 ランサムウェアの検知 - * 管理者操作の正当証明 超過労働の抑制 ( ログオン / ログオフログ ) - * DB サーバ 管理者操作の正当証明 - * メールサーバ プロキシサーバ 要注意人物の監視 勤務中の不労把握 要注意人物の事前検知 不正ファイルアップロードの監視 低生産性労働の把握 (SNS 閲覧状況 / 有害サイト閲覧 ) C&C サーバへのアクセス - - - - ルータ / スイッチ 通信ボトルネックの特定 - - FW/UTM サイバー攻撃可能性の把握 - - PCログサーバ 不正コピー/ 保管履歴の監視 - - *ALog EVA でも対応可能ですが 専用の変換ロジックを搭載した ALog ConVerter であればより精緻に人の操作が分かるログを取得できます Copyright AMIYA Corporation All Rights Reserved. 10