既存ネットワークセキュリテイ製品のログ解析はもう不要!? ~AI による自動化 監視不要の新ネットワークセキュリティ Seceon!~ 2017 年 11 月 1 日ルートリフ株式会社テクノロジーサービス本部ネットワークエンジニア東海林昂宏
Introduce our company
RootRiff の紹介 会社概要 会社名 : ルートリフ株式会社設立 :2015 年 2 月事業内容 :IT インフラに関わるコンサルティング 設計 構築 トレーニング及び海外事業代表者 : 岡山義周 (Yoshinori Okayama) RootRiff の強み 代表は世界初の CCIE8 冠 +CCDE ホルダー 多種多様な現場力 + インストラクター経験 対応可能技術の幅が広い 英語での案件 顧客対応が可能 3
Network Security
国内ネットワーク脅威対策製品の割合 その他 7.7% WAF 14.7% ファイアウォール 35% VPN 19.5% IDS/IPS 23.1% 出典 :2016 年情報セキュリティ市場調査報告書 (JNSA) 5
現在の一般的なセキュリティ対策構成 ファイアウォール IPS/IDS スイッチ スイッチ ルータ エンドポイント Windows Server DNS プロキシ 6
現在の一般的なセキュリティ対策構成 FW ポートスキャン アクセス制御 スイッチ IPS/IDS 既知のマルウェア 脆弱性を悪用した攻撃 スイッチ 未知の脅威 内部不正 ルータ エンドポイント Windows Server DNS プロキシ 7
未知の脅威 未知の脅威を検知できない 基本的には定義されたシグネチャとのパターンマッチングによって 既知の脅威を防御しているので, 未知の脅威を防ぐことはできない 未知の脅威 既知の脅威 IPS/IDS 8
内部不正 検知できる範囲に限りがある 1.SSL 通信上の攻撃を検知できない 2. 内部通信上の攻撃を検知できない SSL 通信 通常通信 IPS/IDS スイッチ 内部通信 9
IPS/IDS 次世代 FW のみの運用における問題点 未知の脅威検知 内部不正 ログ解析が必要となる 企業が抱える問題 ログ解析を出来るセキュリティエンジニアが少ない 10
IPS/IDS 次世代 FW のみの運用における問題点 未知の脅威 セキュリティ担当者不在の場合 内部不正 SOC の外部委託 構成情報 セキュリティ担当者兼任の場合 一次対応 Seceon OTM の利用 11
Seceon OTM によるログ解析の提案 対応するセキュリティ機能 + セキュリティ担当者 ( 兼任 ) +Seceon OTM 未知の脅威への対応 見逃す可能性あり 担当者がログを解析することで対応可能 AI のため対応力が高い 内部不正 内部不正は検知できない 各種機器のログを相関分析し内部不正を検知 各種機器のログを相関分析し内部不正を検知 構成情報の必要性 構成情報要構成情報要構成情報要らず 1 次対応までの時間脅威の把握 対応に時間がかかる 脅威の把握 対応に時間がかかる AI がリアルタイムで脅威の把握を行う 他ネットワーク機器への依存性 依存性なし 依存性なし Syslog または NetFlow に対応する NW 機器要 12
Seceon OTM 導入後の NW DNS FW Syslog/NetFlow IPS/IDS Syslog/NetFlow DNS スイッチ DNS ルータ DNS スイッチ Syslog/NetFlow エンドポイント Windows Server DNS プロキシ Eventlog Syslog Accesslog 13
Seceon OTM によるログ解析の提案 対応するセキュリティ機能 + セキュリティ担当者 ( 兼任 ) +Seceon OTM 未知の脅威への対応 見逃す可能性あり 担当者がログを解析することで対応可能 AI のため対応力が高い 内部不正 内部不正は検知できない 各種機器のログを相関分析し内部不正を検知 各種機器のログを相関分析し内部不正を検知 構成情報の必要性 構成情報要構成情報要構成情報要らず 1 次対応までの時間脅威の把握 対応に時間がかかる 脅威の把握 対応に時間がかかる AI がリアルタイムで脅威の把握を行う 他ネットワーク機器への依存性 依存性なし 依存性なし Syslog または NetFlow に対応する NW 機器要 14
未知の脅威 AI により既知 未知の脅威にかかわらず検知可能 IPS/IDS のようにシグネチャで検知するのではなく AI が相関分析を行い検知する DDoS Ransom ware Botnet Insider Threat Trojan Horse Potential Data Raid IPS/IDS シグネチャベースの検知の場合未知の脅威への対応が遅れる Seceon 独自の脅威モデルを使用し AI が相関分析するため未知の脅威に対応可能 15
Seceon OTM によるログ解析の提案 対応するセキュリティ機能 + セキュリティ担当者 ( 兼任 ) +Seceon OTM 未知の脅威への対応 見逃す可能性あり 担当者がログを解析することで対応可能 AI のため対応力が高い 内部不正 内部不正は検知できない 各種機器のログを相関分析し内部不正を検知 各種機器のログを相関分析し内部不正を検知 構成情報の必要性 構成情報要構成情報要構成情報要らず 1 次対応までの時間脅威の把握 対応に時間がかかる 脅威の把握 対応に時間がかかる AI がリアルタイムで脅威の把握を行う 他ネットワーク機器への依存性 依存性なし 依存性なし Syslog または NetFlow に対応する NW 機器要 16
内部不正 内部 NW 通信の振る舞いを見るため ルータやスイッチ等 NW 機器のログから内部通信の振る舞いを分析するこ とで内部不正を検知する IPS や FW 単体から内部不正を検知することは難しい FW IPS/IDS ルータ 内部不正 各種 NW 機器のログを関連付けて AI が解析するため内部の不正な振る舞いを検知可能 FW IPS/IDS ルータ 内部不正 スイッチ スイッチ 17
Seceon OTM によるログ解析の提案 対応するセキュリティ機能 + セキュリティ担当者 ( 兼任 ) +Seceon OTM 未知の脅威への対応 見逃す可能性あり 担当者がログを解析することで対応可能 AI のため対応力が高い 内部不正 内部不正は検知できない 各種機器のログを相関分析し内部不正を検知 各種機器のログを相関分析し内部不正を検知 構成情報の必要性 構成情報要構成情報要構成情報要らず 1 次対応までの時間脅威の把握 対応に時間がかかる 脅威の把握 対応に時間がかかる AI がリアルタイムで脅威の把握を行う 他ネットワーク機器への依存性 依存性なし 依存性なし Syslog または NetFlow に対応する NW 機器要 18
構成情報の必要性 構成情報を管理する必要がない NW の変更等があった場合 Seceon OTM は機械学習により通信状態を学習す るため 構成情報を管理する必要がない NW 構成情報に変更がある度に担当者が 管理 更新する必要があるので負担がかかる NW 構成情報に変更がある場合 機械学習により 変更後の NW の通信状態を学習し更新する 19
Seceon OTM によるログ解析の提案 対応するセキュリティ機能 + セキュリティ担当者 ( 兼任 ) +Seceon OTM 未知の脅威への対応 見逃す可能性あり 担当者がログを解析することで対応可能 AI のため対応力が高い 内部不正 内部不正は検知できない 各種機器のログを相関分析し内部不正を検知 各種機器のログを相関分析し内部不正を検知 構成情報の必要性 構成情報要構成情報要構成情報要らず 1 次対応までの時間脅威の把握 対応に時間がかかる 脅威の把握 対応に時間がかかる AI がリアルタイムで脅威の把握を行う 他ネットワーク機器への依存性 依存性なし 依存性なし Syslog または NetFlow に対応する NW 機器要 20
1 次対応までの時間 Seceon のリアルタイム分析 収集エンジンがログの特徴の抽出 ダウンサンプリングを行うため 高速分析が可能 膨大な量のログ 大量の通信を調査するため, ネットワークの状況によっては検知アラートが大量に発生し, 管理者が確認しきれなくなることがある 膨大な量のログ 収集エンジンがログを収集する際にダウンサンプリングを実施 解析に必要なデータのみを取得するため高速分析が可能となりアラート検知までの時間を短縮 21
Seceon OTM によるログ解析の提案 対応するセキュリティ機能 + セキュリティ担当者 ( 兼任 ) +Seceon OTM 未知の脅威への対応 見逃す可能性あり 担当者がログを解析することで対応可能 AI のため対応力が高い 内部不正 内部不正は検知できない 各種機器のログを相関分析し内部不正を検知 各種機器のログを相関分析し内部不正を検知 構成情報の必要性 構成情報要構成情報要構成情報要らず 1 次対応までの時間脅威の把握 対応に時間がかかる 脅威の把握 対応に時間がかかる AI がリアルタイムで脅威の把握を行う 他ネットワーク機器への依存性 依存性なし 依存性なし Syslog または NetFlow に対応する NW 機器要 22
Seceon 導入までのロードマップ ヒアリング インプリメンテーション 機械学習 アラート検出 ヒアリング 1. 監視対象デバイスの決定 (Firewall,IPS/IDS, ネットワーク機器, サーバ,PC 等 ) ルータ - IPS/IDS Proxy DNS スイッチ Firewall AD その他 Syslog/NetFlow 2.Seceon OTM 配備位置の決定 IP の疎通性がある場所であれば配備可能 23
Seceon 導入までのロードマップ ヒアリング インプリメンテーション 機械学習 アラート検出 インプリメンテーション 1.Seceon OTM を配備 2. 監視対象となるデバイスから Netflow,Syslog 等を収集エージェントレスのためエンドポイント側での作業不要 例.Cisco ルータでの NetFlow 収集設定 以下のコマンドでパケットを収集する対象を定義します Router(config)# interface <interface> Router(config-if)# ip flow { egress ingress } NetFlow の version, 宛先 IP アドレス, 送信元 interface を指定します Router(config)# ip flow-export version { 5 9 } Router(config)# ip flow-export destination address port Router(config)# ip flow-export source loopback 0 24
Seceon 導入までのロードマップ ヒアリング インプリメンテーション 機械学習 アラート検出 機械学習 アラート検出 1. ユーザ環境情報を自動学習 (8 日間 ) Host User Network Application 特徴の抽出 ベースライン ( 定常状態 ) の作成 2. 自動学習後 アラートを検出 25
監視フロー Seceon OTM 導入前 イベント収集 イベント分析 警報 事故対応 復旧 監視対象となる機器からログ収集 収集したログを相関分析する 重大なアラートがないか解析 アラート発報 一時的対応 攻撃遮断 攻撃対象調査 事故範囲確定 レポート作成 復旧及び補完 Seceon OTM 導入後 監視 検知を Seceon OTM が自動化 Seceon OTM の導入 事故対応 復旧 26
Option
RootRiff が提供する SaaS 型 Seceon サービスの紹介 お客様ネットワーク ルータ - スイッチ IPS/IDS Firewall プロキシ AD NetFlow,Syslog, イベントログ等を送信 VPN I N T E R N E T ログ収集 機械学習 脅威検出 HTTPS Seceon のユーザポータルにアクセスすることでレポートの確認可能 結果レポート アラート検出 相関分析 28
RootRiff が提供する SaaS 型 Seceon サービスの紹介 Seceon SaaS サービスのメリット SaaSサービスのため短期間 安価なコストで利用可能 お客様側での作業はVPN 設定及び対象機器のログ宛先を変更するだけクライアント側でのエージェントインストール不要 Seceon SaaS サービスの導入に最適なお客様 IPS/IDSを導入したいがコスト 運用が障害となっているお客様 セキュリティ脅威の 見える化 を実施したいお客様 内部不正対策を検討しているお客様 29
SaaS 型 Seceon サービス導入コスト 企業規模費用 ( 税別 ) 0-100 Employee 100,000 円 / 月額 101-500 Employee 150,000 円 / 月額 501-1000 Employee 別途ご相談 1001 over Employee 未提供 ( オンプレを推奨 ) VPN 毎の料金となります サポートは別途ご相談となります ( インシデント対応など ) 30
お問合せ ご質問 ご相談等ございましたら お気軽にお問合せ下さい seceon@rootriff.com 03-5244 - 5300 Youtube に操作デモ動画掲載中! https://www.youtube.com/watch?v=luaig07mh3y 31