EVA監査レポート - PDF Free Download

内部不正対策漏洩 / 消失の記録と抑止退職予定者の監視 -- 内部からの情報漏洩の防止 USB デバイスを介した漏洩の防止ワークスタイル改革過重労働不要な残業の防止業務外行為の把握と改善 -- 超過労働の抑制低生産性労働の排除同上マルウェア感染の防止通信インシデント不正サイトへのアクセス (C&C サーバなど ) の特定 --サイバー攻撃監視ネットワーク障害監視感染 PC 特定と被害範囲の特定通信ボトルネック ( 障害 / 通信負荷 ) の特定 Copyright AMIYA Corporation All Rights Reserved. 2

内部不正対策 -- 内部からの情報漏洩の防止監査手順出力機密情報へのアクセス事象 : 漏洩 / 消失の記録と抑止対象 : ファイルサーバログ行動 : ファイル名 ( 機密 / 個人情報 ) への R/W/R/D を取得 R/W/R/D=Read/Write/Rename/Delete 特定ワード日次レポート & アラート自動通知可能権限がない失敗アクセスも取得可能要注意人物の監視事象 : 退職予定者の監視対象 : ファイルサーバ / メールサーバログ行動 : ユーザー A のファイル利用 / メールの履歴を取得ユーザー Aの全アクセス週次レポートユーザー Aの全メール送受信月度レポート不正の事前検知事象 : 情報の他社流出 / 売買の防止対象 : WebProxy ログ行動 : 転職サイトの閲覧を記録転職サイト閲覧数上位者ランキング表示不正コピーの監視事象 : USB デバイスを介した漏洩の防止対象 : クライアント PC ログ行動 : 外部デバイス (E/F drive) にコピーした履歴を取得外部デバイスコピー月次レポート技術開発部門の外部デバイスコピー日次レポート & アラート Copyright AMIYA Corporation All Rights Reserved. 3

内部不正対策 -- 出力サンプル監査監査対象レポート機密情報アクセスの把握ファイルサーバファイルパスに個人情報顧客が含まれるファイルのREAD, WRITE, DELETE, RENAME 2017/4/2 23:58 AMIYA.CO.JP tanaka Win-FS01 D: 管理本部西日本機密顧客リスト名刺情報.xls READ ClientIP:172.20.1.201 Count:1 深夜に tanaka さんが顧客情報フォルダの名刺情報.xls にアクセスしている Copyright AMIYA Corporation All Rights Reserved. 4

働き方改革 -- 超過労働の抑制低生産性労働の排除監査手順出力超過労働の抑制事象 : 過重労働不要な残業の防止対象 : AD サーバログ (Windows ログオン / ログオフ ) 行動 : 21 時以降の Logoff を取得 <Attend Manager( オプション )> 月度勤怠表の自動作成上位 10 名の残業社員ランキング表示社員別の月度勤怠表月度レポート総勤務時間と総残業時間の Excel 出力も可能時間外勤務の実態把握事象 : 過重労働サービス残業の防止対象 : ファイルサーバ行動 : 時間外 ( 土日深夜 ) のアクセスを取得土日深夜ファイルアクセス月次レポート低生産性労働の把握 -1 事象 : 業務外行為の把握対象 : WebProxy or PC ログ行動 : 各ソーシャルメディアのサイト閲覧を取得上位 10 名の SNS 利用ヘビーユーザーランキング表示低生産性労働の把握 -2 事象 : 業務外行為の把握とマルウェア感染防止対象 : WebProxy or PC ログ行動 : 暴力 / ポルノ / ギャンブルのサイト閲覧を取得上位 10 名の有害サイト閲覧者ランキング表示 Copyright AMIYA Corporation All Rights Reserved. 5

ワークスタイル改革 -- 出力サンプル監査超過残業の抑制監査対象 AD サーバ ( ログオン / ログオフ ) レポート 20 時以降の LOGOFF 残業チェック水曜日 18 時以降の LOGOFF ノー残業チェック ay-nishiyama さんが月間 20 回 20 時以降にログオフしている総勤務時間と総残業時間の Excel 出力も可能 Copyright AMIYA Corporation All Rights Reserved. 6

通信インシデント -- サイバー攻撃監視ネットワーク障害監視監査手順出力サイバー攻撃検知ランサムウェア検知事象 : 不正サイトへのアクセス (C&C サーバなど ) の特定対象 : WebProxy / FW / UTM サーバログ行動 : 登録済不正サイトへのアクセスを取得事象 : ランサムウェア感染 PC 特定と被害範囲の特定対象 : ファイルサーバログ行動 : 大量のファイルリネーム履歴を取得 ( ランサムウェアはファイルを拡張子を変更 & 暗号化する傾向がある ) 不正通信アクセス日次レポート & アラートクラウド WebProxy サービス (V-Gateway など ) で不正サイトのマッチングが可能大量 Rename 監視日次レポート & アラートネットワーク通信障害事象 : 通信ボトルネック ( 障害 / 通信負荷 ) の特定対象 : ネットワーク機器のログ行動 : Syslog から alert traffic over を取得通信障害月度レポートログ 0 件 (= 機器が動いていない ) 週次レポート無線 LAN 通信障害事象 : 無線 AP の障害原因の特定対象 : アクセスポイント機器のログ行動 : 接続過多電波干渉による接続障害の検知接続失敗履歴週次レポートクラウド無線 LAN サービス (Hypersonix など ) で通信不良 / 遅延の原因特定が可能 Copyright AMIYA Corporation All Rights Reserved. 7

通信インシデント -- 出力サンプル監査監査対象レポートランサムウェアの検知ファイルサーバ同一ユーザーによる 1 日 100 回以上の RENAME 操作 ( ランサムウェアはファイルを拡張子を変更 & 暗号化する傾向がある ) 同一時刻に同一ユーザーがファイルの大量 RENAME を繰り返している感染フォルダの被害範囲もすぐに特定できバックアップリカバリの対象が分かりました ( お客様談 ) Copyright AMIYA Corporation All Rights Reserved. 8

お客様事例大手金融機関様 15000 名規模大手アミューズメントメーカー様背景 DoS 攻撃対策として BlueCoat 製品 (Web プロキシ ) を設置膨大な生ログ管理が管理者の甚大な工数負荷になっていた背景ネットワーク障害時に原因究明できないファイヤウォールのログが膨大で見きれない効果 ALog EVAの導入により該当するログを管理者へ自動通知する運用に自動化により管理の工数を大幅に削減できたさらにSNS 利用や不適切なサイト閲覧など禁止されたWeb 閲覧の実態も導入により明らかになった効果 ALog EVA で NW 機器のエラーログ / トラフィックログを必要な情報だけ取得ログの量を減らして可視化に成功したルータやファイヤウォールなど機器の死活監視もできた時刻サーバ対象操作詳細 2017/7/26 18:17:30 2017/7/26 18:17:32 10.255.254.253 Traffic Denied TCP_DENY 10.255.254.253 Close - TCP FIN HTTPS_PERMIT Count:5_DestinationIP:192.168.0.3_ DestinationPort:4884 Count:1_DestinationIP:162.125.80.3_ DestinationPort:443 Copyright AMIYA Corporation All Rights Reserved. 9

目的別適応表監視対象監査目的 ALog ConVerter ALog ConVerter DB ALog EVA ファイルサーバ AD サーバ機密情報へのアクセスの把握要注意人物のファイルアクセス監視時間外勤務実態の把握ランサムウェアの検知 - * 管理者操作の正当証明超過労働の抑制 ( ログオン / ログオフログ ) - * DB サーバ管理者操作の正当証明 - * メールサーバプロキシサーバ要注意人物の監視勤務中の不労把握要注意人物の事前検知不正ファイルアップロードの監視低生産性労働の把握 (SNS 閲覧状況 / 有害サイト閲覧 ) C&C サーバへのアクセス - - - - ルータ / スイッチ通信ボトルネックの特定 - - FW/UTM サイバー攻撃可能性の把握 - - PCログサーバ不正コピー/ 保管履歴の監視 - - *ALog EVA でも対応可能ですが専用の変換ロジックを搭載した ALog ConVerter であればより精緻に人の操作が分かるログを取得できます Copyright AMIYA Corporation All Rights Reserved. 10