Logstorage Cloud Solutions ご紹介 · 標的型攻撃はオンプレミス・パブリッククラウドを問わず、どの環境からも侵入され、相互に侵害 が発生する可能性があります。
製品紹介と市場動向について - LogstorageInfoscience Corporation [email protected] Tel:...
Transcript of 製品紹介と市場動向について - LogstorageInfoscience Corporation [email protected] Tel:...
Infoscience [email protected]
Tel: 03-5427-3503 Fax: 03-5427-3889
Logstorage、Logstorage-X
製品紹介と市場動向について
インフォサイエンス株式会社
プロダクト事業部 コンサルティンググループ
セールスチーム
小長谷 大祐
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
インフォサイエンス株式会社 概要
2
設立
1995年10月
代表者宮 紀雄
事業内容
•プロダクト事業部パッケージソフトウェア「Logstorage」シリーズの開発
•SaaS事業
所在地
東京都港区芝浦2丁目4番1号 インフォサイエンスビル
パッケージラインナップ
Logstorage : Cloud Solutions
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
アジェンダ
1.なぜ、ログ管理が必要か
2.ログ管理製品市場動向
3.SIM/SIEM 導入検討の実情
4.Logstorage、X/SIEM製品紹介
5.導入事例
3
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 4
なぜ、ログ管理が必要か
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
なぜログを管理しなくてはならないのか?
5
「ログ管理」の目的とは?
脅威対策
• 脅威の検出(標的型攻撃/内部情報漏えい)
• フォレンジック(攻撃を受けた際の証拠保全)
コンプライアンス
• 各種法令、業界/団体ガイドラインへのログ管理要件への充足
システム運用
• システムの状態把握
• 障害時の調査、解析
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
ログでないと検出できない脅威(1)
6
従来の対策は「入口・出口」でのポイントの対策
外部攻撃者
C&Cサーバ
ファイルサーバ社員・職員端末
悪意のある社員・職員
アンチウイルスで防御
プロキシ・ファイアウォールで外部通信の制限
従来はネットワークの入口・出口での防御や制限が中心だったが・・・
アクセス制御で不正なアクセス
の制限
デバイス制御で不正な利用の制限
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
ログでないと検出できない脅威(2)
7
「入口・出口」対策の限界
外部攻撃者
C&Cサーバ
ファイルサーバ社員・職員端末
悪意のある社員・職員
マルウェアの検知が困難に
マルウェアの巧妙化で外部通信を抑止できず
入口・出口での個別の対策は限界に達しつつある
設定漏れ、ミスによる重要ファイルへの
アクセス
設定漏れ、ミスで不正なデバイス利用
・アンチウイルスソフトのマルウェア検出手法の限界・アクセス制御の漏れ、設定ミスを防止しきれない
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
ログでないと検出できない脅威(3)
8
「ログ管理」で侵入を前提とした対策へ
外部攻撃者
C&Cサーバ
ファイルサーバ社員・職員端末
悪意のある社員・職員
メール・ウイルス検知ログ
プロキシ・ファイアウォールログ
• システム内のログを横断的に収集・分析を行い、いち早く侵入を検出
• 「侵入されていることを前提とした」対策へシフト
ファイルサーバアクセスログ
デバイス利用・アクセスログ
ログを横断的に収集、分析して
侵入を検出
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
法令等に於けるログ管理要件
9
ログ管理に関する要件が明記されている法令・ガイドライン
発行者 タイトル
政府等 個人情報保護法
金融商品取引法
マイナンバー/番号法
政府機関等の情報セキュリティ対策のための統一基準群
民間/ガイドライン等
経済産業省クラウドセキュリティガイドライン
PCIDSS(クレジットカード)
ISO27001/ISMS
組織における内部不正防止ガイドライン
経済産業省クラウドサービス利用のための情報セキュリティマネジメントガイドライン
10.10 監視システムを監視することが望ましく,また,情報セキュリティ事象を記録することが望ましい。
具体的な要件
10.10.1 監査ログ取得 10.10.4 実務管理者及び運用担当者の作業ログ
10.10.2 システム使用状況の監視
10.10.5 障害のログ取得
10.10.3 ログ情報の保護 10.10.6 クロックの同期
クラウド環境を含め、システムのログ管理を行うことは、セキュリティを確保する上でもはや「前提条件」となっている
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
システム運用に於けるログ管理
10
システム運用に際してもログ管理は必須
ログを管理せず、サーバに保存しておくと・・・
管理者はいちいち各サーバにログインしてログを確認する必要がある → ヒューマンコストの増大
サーバに障害が発生してしまうと、復旧するまでログを見ることすら出来なくなる
障害発生
ログ管理を行うことで・・・
ログ管理システムに集約することで、管理者の負担を低減し、重要な作業にリソースを振り分けられる
ログ管理システムに集約しておくことでログ確認が可能、早期の原因究明が可能となる
ログ管理システム
ログ管理システム
ログ管理システム
障害
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
「ログ管理」に必要な要件
11
「ログ管理」に求められる機能・要件とは?
ログを集める• 多様なファイル、転送方式で
ログを集約する
• 侵入者からログを守る
ログを保存する• 大規模なシステムではログが大量
に出力され、ストレージを圧迫
• 集約したログの安全な保管
ログを検知する• システム側で能動的にイベン
トを検出し、管理者にアクションを促す
ログを調査する• 大容量のログから必要なログを
横断的に高速・ピンポイントで検索
• レポートで定期的にレビュー
Logstorageはオールインワンで「ログ管理」に対応!
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 12
ログ管理製品市場動向
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
SIEM製品・統合ログ管理製品の違い
13
… SIEMと言えばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し、統合ログ管理ツールとは別ジャンルとされることが多い。ログの蓄積と分析に重きを置くのが統合ログ管理ツール(現在は国産製品が中心に導入が進んでいる)であり、標的型攻撃など新しい脅威への対策に有効だが長期にわたる時間軸での分析には向かないのが、現在海外製品を中心に注目されているSIEMツールと考えればよいだろう。
キーマンズネット「不正行為も一目瞭然!統合ログ管理ツール」 URL : http://www.keyman.or.jp/at/30006863/
レシーバー
Firewallルータースイッチ
Windows
ELCAgent
ファイルサーバ Linux
アラート
APIGUI
Web
アラート(メール、コマンド実行)
インデックス
ログを集める点では機能は同じ
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
SIM/SIEM ツール市場規模 長期予測
14
単位:百万円
2,400 2,550 2,700 2,800 2,850 2,900
3,550 3,780
4,000 4,200 4,350 4,500
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
2016年
(実績)
2017年
(見込)
2018年
(予測)
2019年
(予測)
2020年
(予測)
2021年
(予測)
SIM SIEM年平均成長率
(CAGR)
4.4%
年平均SIM案件数
340件
年平均SIEM案件数
10件
※SIM導入費用7百万円、SIEM導入費用300百万円を平均額と仮定した2016年度の大凡の案件数です。出典:富士キメラ総研「2017ネットワークセキュリティビジネス調査総覧」
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
2016年度 SIEM製品市場シェア(金額)
15
出典:富士キメラ総研「2017ネットワークセキュリティビジネス調査総覧」
シェアの割合
昨年と同じ
1案件の規模
1~5億円
顧客層
超大手
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
海外SIEMの動向
16
McAfee SIEM (マカフィー)
ArcSight (Micro Focus)
Splunk (Splunk)
RSA SA (Dell)
構築パートナー拡充!
HPから事業継続
スキーマ不要!
UBA、パケット解析
Qradar (日本IBM) Watson連携強化!
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
2016年度 SIM製品市場シェア(金額)
17
LogRevi21%
LogAuditor19%
その他23% Logstorage
37%
出典:富士キメラ総研「2017ネットワークセキュリティビジネス調査総覧」
11年連続
No.1
絶えず進化
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.18
SIM/SIEM 導入検討の実情
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
SIEM導入検討の実態
19
SOC / CSIRT の立ち上げ検討
SIEMの導入を検討
SIEM製品の市場調査
リモートSOC(MSS)利用検討 自社運用(PSOC)検討
自社での導入の延期、見送り
何のためにSIEMを導入するのか
トップダウンで検討が進められるSOC/CSIRT、そのなかで中心の製品となる「SIEM」への定義も曖昧。SIEMを導入した後の運用イメージが確立しないまま、ツール選定が先行しているケースも少なくない。
・ センサーの一部監視のみ・自社組織に合わせたカスタマイズが難しい
・ 情報セキュリティの専門部隊が作れない・SIEMそのものが難解かつ超高額
自社で継続的に運用できるツールがない
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
SIEM+深層学習
SIEM+機械学習
SIEM、または統合ログ+レピュテーション連携
統合ログ+マスタ連携
統合ログ
20
ゼロデイ・未知なる脅威を検知したい
普段と違う行動を検知したい
明らかな不正・違反を検知したい
監査用レポートを出したい
有事の際にログ調査したい
技術的難易度・セキュリティの専門性
高
低
[要件] [製品]
かかる費用
高
低
SIEM検討時の機能要件とかかるコスト
怪しい、グレーなログを検出するには莫大なコストが必要となる。
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
海外SIEM製品の導入とその後
21
高額・高機能な海外のSIEM製品を導入して失敗する事例が多く、その殆どが自社での運用を断念している。莫大なコスト・労力を投じても、最終的には「属人的な運用」を脱却できず、ログをとりあえず溜めているだけの超高級な箱と成り代わっている。
脅威対策検討
SIEM導入
MSS設計運用支援
MSS契約解除
自社運用(MSS支援あり)
自社運用
運用断念
(放置)
入口・出口に続いて内部対策を検討する
数千~数億円規模で海外SIEM製品を選定
セキュリティ会社とMSSを契約
サービス提供元が使うSIEM製品を前提に支援
インシデントに対する対応策を継続支援
✓ MSSの費用対効果見直し✓ 自社運用切り替え
などでMSS契約終了
✓ 新たな脅威への対処が出来ない✓ ログが読めない、ツールが難しい✓ 英語サポートが厳しい✓ EOSLが早い
SIEM導入検討のプロセス
MSS支援で順調教育で組織強化
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
標的型攻撃・APTの対策で重要なログ管理
22
サイバーキルチェーンの各プロセスでマルウェアの活動を察知できるログが出力されている
「出典: IPA 高度サイバー攻撃への対処におけるログの活用と分析方法」
事前調査標的型
メール送付C2サーバ通信確立
内部ハッキング
AD乗っ取り
目的データ奪取成功
ログ消去・改ざん
<サイバーキルチェーン>
「出典:役員の標的型メール開封率は従業員の1.5倍―NRIセキュアの攻撃シミュレーションで明らかに」
最長4年1ヶ月
マルウェアの潜伏期間は最長4年1ヶ月
標的型メール攻撃は必ず誰かが開く
一度侵入に成功したマルウェアは、その活動を検出されぬようログを消去・改ざんし、目的のデータを捜索し続けます。その時に重要となるのが、活動ログの「改ざん防止」「長期保管」「各ログの相関分析」にあります。
標的型メール攻撃は従業員で「19%」、役員で「31%」の人が開封すると言われ、また、訓練を重ねても開封率0%を達成することは不可能、という前提での対策が必要です。
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
SIEM検討の前に、現状のログ管理を把握する
23
ログの保管(とりあえず取っておく)
ログの調査(何かあったら検索する)
ログの定期チェック(定期的にレポートする)
ログのリアルタイム監視(常時監視)
統合ログ管理ツール
(内部漏洩対策・外部脅威対策)
SIEMツール
(よりアクティブな外部脅威対策)
「ログ管理」のステップ
SIEMを導入する前に、現在の「ログ管理」のあり方を見直す必要がある。
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
内部不正による漏えい人数の経年変化の割合
24
内部犯罪・内部不正行為 その他
2005年 10.2% 89.8%
2006年 18.0% 82%
2007年 28.3% 71.7%
2008年 4.4% 95.6%
2009年 21.9% 70.9%
2010年 8.4% 91.6%
2011年 7.1% 92.9%
2012年 1.2% 98.8%
2013年 0.004% 99.996%
2014年 97.3% 2.7%
2015年 3.7% 96.3%
2016年 0.6% 99.4%
漏えい人数
想定損害賠償額
約1,500万人
約3,000億円
※「(引用) JNSA2016年 情報セキュリティインシデントに関する調査報告書」
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
内部犯行に及ぶ過程を記録し犯罪を抑止する
25
人的セキュリティ対策
普段問題がない社員であっても、ふとした瞬間魔が差し、犯罪に手を染めるリスクが会社組織には常に存在している。内部不正をさせない仕組み作りが最重要となる。
✓ 犯罪を難しくする(やりにくくする)
✓ 捕まるリスクを高める(やると見つかる)
✓ 犯行の誘導を減らす(その気にさせない)
✓ 犯罪の弁明をさせない(言い訳させない)
✓ 犯罪の見返りを減らす(割に合わない)
「出典: IPA組織内部者の不正行為によるインシデント調査」
物理セキュリティ(入退室・複合機)対策、資産管理、特権ID管理などを導入する事で犯罪行為が難しい環境を作る。
監視体制強化、アカウント管理、アクセスログ管理を導入し、犯行が見つかる可能性が高い環境を作る。
素行の悪い社員、悪意を持つ社員への定期的な教育の実施や罰則規定を強化する。アクセスの形跡(ログ)から物的証拠を記録する。
職場環境改善に取り組み、上司・部下のコミュニケーション向上を図る。証跡管理・モニタリングが機能している事を定期的なレポートで周知させる。
重要な情報資産に対する暗号化、USB等の外部媒体の使用禁止。アクセス権の管理。
LOG
LOG
LOG
LOG
LOG
統合ログ管理
SIEM
✓ログのモニタリング
✓定期レポート
✓PDCA
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.26
X/SIEM 製品概要
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
使い続けられるSIEM製品「Logstorage-X/SIEM」
27
国産製品
直感的GUI
安心サポート
国内IT部門で継続運用が行えるSIEM
ドキュメント、ヘルプ、GUI全て日本語
統合ログからSIEMまでCSIRTで運用可能
フローチャート形式のルール設計GUI
簡易フィルタ条件、メールアクション設定GUI
コマンド不要の検索GUI
日本語によるメールサポート
メールによる設定支援、テンプレート提供
お客様ご利用中バージョンの継続保守
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
(米国製3大SIEM)
LogstorageとX/SIEMの立ち位置
28
外部データとの突き合わせ
ログの長期保管
インシデント管理システム(チケット管理システム)との連動
分析・解析(相関分析)
運用の難易度
価格
既存SIEM
Logstorage-X/SIEM
高い
難しい
OSS
競合製品との差別化
従来の長期保管から高度なSOC運用まで幅広いニーズに対応する製品が求められる。X/SIEMは「安価」で「簡単」を前提に様々なニーズに提案可能な製品を目指す。
Logstorage
A社B社C社
(分析エンジンとして台頭[米国製])
D社
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
X/SIEM システム構成図
29
ファイアウォール
ファイルサーバー
ルーターNW機器
ストレージ
リアルタイムバッチ
レシーバー[ログ受信]
インデックス[保管]
アラート
サーチ[ログの検索/加工]
Web[GUI]
管理者
WEBブラウザ[分析]
Logstorage-X/SIEM 構成図
※Logstorage Agent、SBT、ELC のライセンス使用権はX/SIEM1.0に標準で含まれております。
レシーバ機能アラート機能
REST API
コマンド
検索機能
• フローチャート編集機能• 外部データ連係機能• 相関ルール機能• 傾向分析機能
• インデックス高速検索
分析に最も使われるコマンド
27種類• |(パイプ)による多段検索• 柔軟な突き合わせ機能
• Syslog (udp/tcp)
• FILE
• カテゴリ定義• 検索• チケット管理システム連携
※分析以外のコマンドは順次追加いたします。
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
Logstorage + X/SIEM の構成
30
監査レポート
1/10高圧縮
高圧縮・長期保管
ログソース
相関分析(コマンド)
脅威DB連携 リアルタイムアラート
リアルタイム転送(syslog)
✓ サマリーデータ(集計結果・統計・履歴等)✓ 突合結果データ
Logstorageのレポート用データとして戻す
長期保管が必要なログデータ
リアルタイム分析のみ(長期保管不要)のログデータ
長期保管・監査のLogstorage、リアルタイムアラート・相関分析のX/SIEM
組み合わせることにより、さらに完璧な統合ログ管理環境を構築する
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorage-X/SIEM +脅威(レピュテーション)データベース連携構成
脅威データベース連携サービス
31
マルウェア侵入成功
C2
Proxy
エンドポイント
資産管理Agent
エンドポイント
資産管理Agent
URLを含むアクセスログ
FFRI脅威DB
(レピュテーションDB)
ハッカー管理者
突合
悪性が高いサイトへのアクセスを発見
どれほど多層防衛をしても新種のマルウェアはすり抜けてしまう
実際に発見されたマルウェアから抽出された接続先(※)をもとに脅威DB
を定期更新(※)します。脅威DBとログを突き合わせることで「Black」のアクセスをリアルタイムに把握することができます。
本サービスは、新種のマルウェアは必ず侵入してしまうことを前提として出口対策に役立ちます。
Internet(定期更新)
出口対策
※脅威DBの内容(URL、IPアドレス)、更新間隔はサービスの提供元により異なります。
サービス概要 提供元 対象
株式会社FFRI URL、IPアドレス
株式会社カスペルスキー IPアドレス
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
X/SIEM 機能紹介(アラート)
32
○ フローチャート表示機能
• 上流から下流へログが流れるイメージでルールを作れる為、直感的な操作が可能となります
○ バンドル(纏める)設定
• マッチしたパターンのログを一定期間保持する事により、発生頻度、閾値、傾向から検知ルールを設定できます。
○ マスタ連携・レピュテーションDB連携
• 届いたIPアドレス、ドメインが悪意のあるサイトかを自動判別するレピュテーションDB連携や、社員マスタ等と突き合わせしながら正規アクセスか、など問題行動の検知ルールを作れます。
○ メールアクション(FreeMarker機能)
• 通知時のメール作成では、ログに含まれている文字列を宛先や件名に挿入したり、IF文など高度な機能により本文自動生成が可能となります。
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
X/SIEM 機能紹介(ダッシュボード)
33
○ グラフ/表のウィジット機能
• 任意のグラフや表をウィジット単位で複数設定可能です。ログの変化をリアルタイムに観察することで、問題となるアクセスを早期に発見できます。
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
X/SIEM 機能紹介(送受信・転送)
34
○ レシーバー機能
• フォルダ監視によるファイルレシーバー機能• Syslog(udp/tcp)レシーバー機能
○ ログ転送機能
• Logstorageへリアルタイム転送が行えます。• 通信プロトコルはLLTPとなり、ログの欠損防止が
可能です。• 転送条件を設定することで、任意のログのみをフィ
ルタして転送が行えます。
○ ログフォーマット自動解析機能
• 一般的なログフォーマットであれば自動的に解析して受信します。(csv / kv / syslog 等)
○ 受信コマンド機能
• ログ受信時に任意のコマンドを実行できます。外部データ(マスタ等)との突き合わせ処理が可能です。
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 35
ログ収集ツール
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorage Agent
36
機能 説明
ログの暗号化送信機能 暗号化してログを送信することができます。
ログ送信切り換え機能 送信先へ接続できない場合、接続先を切り換えて送信することができます。
システム高負荷時の動作抑制機能 ログ・ソース(ログ収集対象)が高負荷となったとき、メインのサービスの稼動に影響しないよう、ログ送信を一時抑制します。
ブロックログの送信機能 複数行で1つの意味を持つログを解析し、1行のログとして送信することができます。
ローテートログの送信機能 ローテートされたログファイルを追跡し、ログを送信することができます。
送信ログのフィルタ機能 キーワードによるログのフィルタリングを行い、必要なログのみ送信することができます。
Logstorage Agent 機能
テキスト形式のログファイルやWindowsイベントログをリアルタイムにLogGateへ転送することができます。
ログをリアルタイムに送信可能
ログ転送に最適化された独自転送プロトコルである「LLTP」を利用することで、ログ落ち(ロスト)を完全に防止することができます。
独自プロトコルによるログ落ち防止
出力されているログを転送する、機能に特化したシンプルなプログラムなので導入先のサーバのCPUやメモリリソースの消費を最小限にしてログ転送を行います。
シンプル機能・低負荷
<Logstorage Agentによるログ収集イメージ>
テキストログ、イベントログを監視し、LogGateに送信するクライアントツールです。
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorage ELC / ログ収集機能
37
OS / 製品 対応バージョン
Windows Windows Server 2008 R2, 2012, 2012 R2, Storage Server 2012, Windows 7, Windows 8.1, Windows 10
NetAppストレージ Data ONTAP 7.2.5~7.3.7, 8.0.1, 8.0.2, 8.1.0, 8.1.2~8.1.4, 8.2~8.2.3, 8.3~8.3.2, 9.0, 9.1
EMCストレージ DART 6.0 / 7.1, VNX for File 7.0 / 7.1/8.1, VNXe OE 2.1 / 2.4, Unity 4.0.0/4.0.1
VMware VMware vCenter Server Ver.5.0~5.5 Update3, Ver.6.0
VMware ESX(ESXi installable, ESXi Emvedded, ESX) Ver.5.0~5.5 Update3, Ver.6.0
【収集対象 対応バージョン】
イベントログをエージェントレスで取得
<Logstorage ELCによるログ収集イメージ> <NetApp / EMCストレージからのログ収集イメージ>
エージェントレスでWindows / NetApp / EMCイベントログ、VMwareイベントを収集するサーバツールです。
※Windowsについては基本的にファイル共有の仕組みを利用してログを収集しますが、FTP / FTPSでのログ収集も可能です。その場合、ELC に含まれるログ送信用のモジュール(SBT for WindowsEvent)をWindowsサーバ上に設置する必要があります。
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
ログ収集実績 / 連携製品
38
[OSシステム・イベント]・Windows
・Solaris
・AIX
・HP-UX
・Linux
・BSD
[Web/プロキシ]・Apache
・IIS
・BlueCoat
・i-FILTER
・squid
・WebSense
・WebSphere
・WebLogic
・Apache Tomcat
・Cosminexus
[ネットワーク機器]・Cisco PIX/ASA
・Cisco Catalyst
・NetScreen/SSG
・PaloAlto PA
・VPN-1
・Firewall-1
・Check Point IP
・SSL-VPN
・FortiGate
・NOKIA IP
・Alteon
・SonicWall
・FortiGate
・BIG-IP
・IronPort
・ServerIron
・Proventia
[クライアント操作]・LanScope Cat
・InfoTrace
・CWAT
・MylogStar
・IVEX Logger
・秘文・SeP
・QND/QOH
[データベース]・Oracle
・SQLServer
・DB2
・PostgreSQL
・MySQL[サーバアクセス]・ALogコンバータ・VISUACT
・File Server Audit
・CA Access Control
[データベース監査]・PISO
・Chakra
・SecureSphere DMG/DSG
・SSDB監査・AUDIT MASTER
・IPLocks
・Guardium
[メール]・MS Exchange
・sendmail
・Postfix
・qmail
・Exim[ICカード認証]・SmartOn
・ARCACLAVIS Revo [その他]・VMware vCenter
・SAP R/3 (ERP)
・NetApp (NAS)
・ex-SG (入退室管理)
・MSIESER
・iSecurity
・Desk Net’s
・HP NonStop Server
・BOX
・Office 365
…その他
[運用監視]・Nagios
・JP1
・Systemwalker
・OpenView
[アンチウィルス]・Symantec AntiVirus
・TrendMicro InterScan
・McAfee VirusScan
・HDE Anti Vuris
[Lotus Domino]・Lotus Domino
・Notes AccessAnalyzer2
・Auge AccessWatcher
[複合機]・imageRunner
・Apeos
・SecurePrint!
日本国内で利用されているソフトウェア・機器を中心に250種以上のログ収集実績
【Logstorage アライアンス製品】
LanScope Cat SecureCube / AccessCheck
CWAT InfoTrace
MylogStar IVEX Logger シリーズ
i-FILTER MaLion
VISUACT SSDB監査
PISO SKYSEA Client View
Palo Alto Networks NGFW Amazon Web Service (AWS)
Microsoft Azure
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorage ELC / ログ解析機能
39
ファイルアクセスなど複雑なイベントログを分かり易い内容に変換
ログ種別 内容
ローカルログオン ローカルからのログオン / ログオン失敗
リモートログオン リモートからのログオン / ログオン失敗
ファイルアクセス ファイルの読み込み / 書き込み / 削除 / 名前変更 / 印刷
プロセス起動・終了 プロセスの起動 / 終了
管理者操作 管理者(Administrators)操作
Windowsファイアウォール ファイアウォールの有効 / 無効、ルール作成 / 変更 / 削除、ポート許可 / ブロック
システム設定変更 イベントログの削除 / 時刻変更 / タスクスケジュール登録 / サービス登録
【ELC for Windows 解析対象】
ログ種別 内容
ログオン・ログオフ NetApp / EMCストレージへのログオン / ログオン失敗 / ログオフ
ファイルアクセス NetApp / EMCストレージ上のファイルの読み込み / 書き込み / 削除 / 名前変更など
管理者操作 NetApp / EMCストレージ上での管理者操作
【ELC for NetApp / EMC 解析対象】
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
クラウド向けログ収集モジュール
40
各種クラウドサービス(SaaS)への取り組み
Box社より提供されているセキュアなファイル共有クラウドサービス「Box」、およびマイクロソフト社より提供されている「Office 365」(Exchange, SharePoint, Skype, Excel, Word…等)の監査ログの収集・可視化・分析が可能です。
<Boxログ収集イメージ>
※クラウド向けログ収集モジュールは、BoxとOffice 365の各専用モジュールがあります。Office 365で対応しているサービスは、AzureActiveDirectory / Exchange / SharePointです。
・いつ、誰が、何を、どのように操作したか?
・特定ユーザがある期間に行った操作は?
・どの接続元(IPアドレス)から操作が行われたか?
「クラウド向けログ収集モジュール(※)」を活用してSaaSのログを可視化を実現!!
✓ 傾向分析✓ 不正アクセス検出✓ 利用状況把握
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 41
X/SIEM 導入事例
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
突合コマンド・オプション導入案件
42
Logstorageの構築から進み、突合要件のあるログソースのみを突合コマンド・オプションを経由して収集する
各種マスタ
突合対象ログソース
突合不要ログソース
突合レポート
✓ 顧客DB不正アクセス
✓ 許可時間外アクセス
✓ 申請外の入室突合コマンド・オプション
(X/SIEM)
Logstorage
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
X/SIEM 海外製品リプレイス案件
43
海外SIEMからX/SIEMへのリプレイス2019年に完全移行を予定
ルール名 詳細
ブルートフォース攻撃対策 同一アカウントによるログオン失敗が継続していることを検知
ドキュメント不正アクセスドキュメントに対する不正アクセスを検知
標的型攻撃対策C2サーバへのアクセス、プロキシを経由しないインターネット通信を検知
共有ファイル大量削除同一アカウントによるファイル大量削除を検知
不正外部接続通信外部接続に関するゼロデイ対策
長期未使用ID利用長期間使われていないアカウントの再利用を検知
クライアントPC不正使用クライアントPCの所有者以外のログオンを検知
海外の高機能・超高額なSIEMでも使われるルールは10個程度X/SIEM1.1で十分実現可能なルールであり、複雑なものではない
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
SIEM製品としての評価速報(某セキュリティベンダ-:2017/09実施)
44
比較項目 X/SIEM某海外
SIEMコメント
分類 機能X/SIEMのみ
Logstorage+X/SIEM
セキュリティ監視ログ収集、ログ正規化、ログ分析、ログ保管、ログ検索、検索条件等
68 89 96• アラート条件に大差なし• 細かな検索条件が実装可能• Logstorage追加でログ保管可能
レポーティングログ集計、集計方式、レポート生成等 46 79 94
• 集計機能はあるが、レポート生成はできない• Logstorage追加でログの集計レポート生成可能
脅威情報レピュテーション情報、提供タイミング等 100 100 100
• オプションでFFRIの今日情報提供あり
ユーザビリティ
マルチテナント、ユーザーインタフェース等
50 56 100
• マルチテナント対応不可能• オペレータレベルで操作ができるGUIなし※プログラミングスキルが必要
• Logstorageはログ集計用GUIあり
非機能
性能、可用性、拡張性、バックアップ/リストア、システム監査、製品、セキュリティ等
81 83 96
• セキュリティ要件対応が弱い※サーバOSやネットワークレベルで要対応
• Logstorage追加しても大差なし
総評 69 81 97 ※冒頭に記載
お客様環境内で限定したアラートの運用を行うことは可能と考える。レポート機能、SIEM運用操作画面(GUI)など一部仕組み化が必要。
SOCのなかで使われるSIEMとしての機能はクリアしているが、情報システム部が運用するツールとしてのGUIは今後も継続的に改善が必要!
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
不正アクセス検出後の自動アクション
45
判定:悪性サイト
コマンド
不正アクセス元のIPアドレスをブロック
マルウェア感染PCのアクセスを自動的に遮断する出口対策として使う。
① インターネットへ直接接続を試みる→NG
② マシンのキャッシュ情報からプロキシ経由でアクセスを試みる→NG
③ ユーザID/パスワードを使って正規アクセスを試みる→OK
④ URLをレピュテーションDBと突き合わせ、悪性サイトと判定された場合は遮断のコマンドをファイアウォールへ送る
マルウェアの行動パターンをルール化し、予兆のあるマシンの洗い出しが重要となる
FFRI脅威DB
(レピュテーションDB)監査レポート
判定結果付与データ転送
http://www.aaaaaaa.com.adaf/user=asadfdsa
プロキシ ファイアウォール
感染端末
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
パケットキャプチャからの分析
46
パケットキャプチャ型のサイバーセキュリティ対策ツール「VISUACT-X」と連携し、繰り返される内部ハッキングを検出する。
ファイルサーバ 認証サーバ(AD)
VISUACT-X VISUACT-X
エンドポイント
資産管理Agent
端末
IPS/IDS
NGFW外部との通信ログを監視:• C2サーバへのアクセス• 大量アップロード
内部アクセスを監視:• Logon Failureの大量発生• クライアント→クライアントへのログオン試行• 管理共有(¥c$ ¥d$)アクセス• 不審ファイル書き込み試行• ファイルサーバへの不明エラー(0x0000073)• AD管理下でのローカルアドミンアクセス
エンドポイントを監視:• 管理外端末からのアクセス有無• セキュリティパッチ更新状況• サーバからのLogon Failure
ログの統合監視:• 各ポイントで発生するインシデントを起点に、他の
ログと相関分析、明らかな違反・不正を見つける
パケットキャプチャでWindowsイベントログでは
取得できないログを取得する。
内部ハッキングで記録されたログは削除、または改ざんする
※「VISUACT」はアズビルセキュリティフライデーが開発する製品です。
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
ブルートフォース・アタックの検出
47
• 10分以内に発生するログイン失敗のログの中で、同一のアクセス元IPアドレスや、同一アカウントが連続10回以上発生した場合に通知する。
一定時間内に連続して届く文字列の検知
ユーザIDを変更admin
yamadasuzukisato
tanaka:
where _ts >= t“now - 3600 sec” and login = “failer” | stats –count user by user | rename count.user as cnt by.user as user | where cnt >= 10 | fields user cnt
210.190.0.1
210.190.0.2
210.190.0.3
✓ 使われるアカウント数を読めない✓ 踏み台となるIPアドレス数は無数
攻撃対象のユーザ企業
(頻度指定のコマンド例)
where ≫現在時刻から3,600秒以内、かつloginフィールドの値がfailerのログのみ抽出する。
stats ≫ユーザ毎の件数を集計する。
rename ≫通知時に分かりやすいカラム名へ変更。(count.user -> cnt , by.user -> user)
fields ≫通知時に表示するカラムを指定する。
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
ファイル
長期に使われていないものを見つける
48
1月1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
2月1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
3月1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
4月1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
5月1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
6月1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
長期間、一度も出力されていなかったログを見つける
長期間、アクセスされることのなかったファイルへのアクセスは、マルウェアの偵察活動や、離職予定者のファイル持ち出し行為の恐れがある。
アカウント
未使用アカウント、非管理アカウントからのアクセスの可能性が高く、ADへのログオンアタックや内部犯行の予兆のリスクが高い。
PC
非管理PCの接続、持ち込みPCやモバイルからの接続の可能性がある。管理台帳と組み合わせて管理外PC接続アラートのルールにより早期発見が可能。
IPアドレス・URL
マルウェアによる自動生成のURLや、許可外のIP
アドレスの可能性がある。レピュテーションDB連携機能により、悪性の高いサイトへのアクセスを検出する。
使われていなかったものが、ある日突然、使われている。このような普段と違うログをモニタリングすることで、不審行為の早期発見が可能となる。
LOG
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.49
ライセンス体系、他
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
X/SIEM ライセンス体系
50
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
第一弾
X/SIEM 受信設定テンプレート
51
日本国内のセキュリティ事情に即したテンプレートを順次拡大テンプレートは無償で提供!
1. PaloAlto
2. FortiGate
3. VISUACT-X
4. VISUACT-35. Windows イベントログ
6. Linux Syslog
7. Squid
第二弾
1. BIND
2. BIG-IP
3. CISCO
4. Proventia
5. SKYSEA
6. LanScope Cat
7. i-FILTER
※ご希望のテンプレートがございましたらご要望に応じて個別に作成させていただきます。
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
突合コマンド・オプション機能
52
ファイアウォール
ファイルサーバー
ルーターNW機器
ストレージ
リアルタイムバッチ
レシーバー[ログ受信]
インデックス[保管]
Logstorage-X/SIEM1.0 構成図
コマンド
マスターデータ
リアルタイムログ
突合処理
突合コマンド・オプション
アカウント名
リソース名 アクション
yamada ¥¥fileserver¥人事総務¥社員名簿.xlsx 読み取り
Suzuki ¥¥fileserver¥開発設計¥基本設計書.doc 読み取り
Tanaka ¥¥fileserver¥開発設計¥基本設計書.doc 書き込み
アカウント名
社員ID 部署名 氏名
yamada 1000001 人事総務部 山田 太郎
Suzuki 2002301 企画部 鈴木 一郎
Tanaka 1123111 開発部 田中 次郞
(マスターデータ:csv)(生ログ)突合処理
人事マスタ × ファイルアクセスログ
社員名簿とファイルアクセス時に出力されるログを突き合わせることで、関係が無い部署社員からの不要なアクセスを発見できるようになります。
機器管理台帳 × デバイスIPアドレス
機器管理台帳(デバイスマスタ)に含まれていないIPアドレスから出力されたログに対してフラグを付与することで、管理外のPCやNW機器を見分けることが可能になります。
残業・休出申請 × 入退出ログ
深夜時間の退室ログや休日の入室ログが事前申請のある入退室かを申請台帳と突き合わせることで申請外の出入りを発見できます。
脅威情報DB × src / dest ip(URL)
レピュテーションDB(脅威情報)とアクセス先/
元のIPアドレスを突き合わせることで、危険度の情報をログ中に付与することができます。
Logstorage に X/SIEM の一部機能を使うことで突き合わせ処理の自動化を実現!
Copyright(C) 2018 Infoscience Corporation. All Rights
Reserved.
ENDLogstorage、Logstorage-X 製品紹介と市場動向について
インフォサイエンス株式会社 プロダクト事業部
セールスチーム
マネージャー 小長谷 大祐