標的型攻撃、ゼロデイ攻撃対策

JSOCの「マルウェア対策製品監視・運用サービス」

標的型攻撃は、企業内部の重要情報を盗む目的で、セキュリティ対策ソフトで検知できないように作られたマルウェアによる感染活動を行います。また、主に特定企業が閲覧するWebサイトに罠を仕掛ける「水飲み場型攻撃」では、Webブラウザの脆弱性を悪用した攻撃が行われており、弊社の調査においては更新プログラムが提供されていない脆弱性をついたゼロデイ攻撃も確認されました。更に、これらの標的型攻撃やAPT攻撃はますます巧妙化し、攻撃を完全に防御することが難しいケースもあります。攻撃を受けることを前提とし、例えばマルウェアに感染した場合に、「攻撃を早期に発見できるか?」、「感染対象を特定できるか?」といった対策が重要となってきているのです。

「マルウェア対策製品監視・運用サービス」は、未知のマルウェアや不正通信の検知に効果を発揮する「FireEye」製品を用いて、24時間体制での"未知の脅威"への対応を実現いたします。通信の宛先を確認する「ファイアウォール」や、通信の中身を確認して攻撃に対応する「侵入検知/防止システム(IDS/IPS)」を用いた監視・運用サービスと相互補完することで、より強固なセキュリティ対策を実現することが可能となります。

標的型攻撃について詳しくはこちら

http://www.lac.co.jp/anti-apt/

「マルウェア対策製品監視・運用サービス」の概要

巧妙で悪質な未知のマルウェアを検知する「FireEye」製品の運用と活用には、高度な製品知識とセキュリティ対策の知見が必要となります。本サービスでは「FireEye」製品が発するアラートの内容を把握・分析し、お客様に必要な対応を導きます。更に、製品の稼働を監視し、機器障害発生時は復旧完了までサポートします。

「マルウェア対策製品監視・運用サービス」の位置づけ

「マルウェア対策製品監視・運用サービス」の位置づけ

「FireEye」製品各シリーズ毎の役割とJSOCの提供サービス

対応項目NXEXHXJSOCのサービス
マルウェア配布サイトへアクセスしているか? ネットワーク上でのアラート分析を実施。高度なパケット分析技術によって、ネットワーク内のマルウェアの脅威を可視化。
マルウェアをダウンロードしたか?
C2サーバへのコールバック通信があるか?
標的型メールを受けているか?
マルウェアの実行ファイルは? 端末内のマルウェア感染活動に精通、かつ高度な端末ログの分析技術を駆使し、ネットワークログだけでは判断できないマルウェア感染を可視化。
マルウェアの実行後の端末の動作は?
感染端末の隔離 被害を封じ込み、拡大を阻止。
証跡保全の実施(マルウェア実行ファイルなど) JSOCとお客様インシデントレスポンスチームとの個別運用によって、より迅速かつ効率的な対応が可能。
感染端末から他システムへの感染活動を確認

「マルウェア対策製品監視・運用サービス」の特長

1. 「JSOC」独自の分析システムによる高度な相関分析

「FireEye NXシリーズ / EXシリーズ / HXシリーズ」のネットワークログとシステムログの分析はもちろん、同一環境に導入された「侵入検知/防止システム(IDS/IPS)」など、他のセキュリティ監視製品との相関分析を実施します。これにより、より精度の高いセキュリティ分析が可能となり、マルウェアの感染プロセスに従った、脅威や影響度の判断・特定を行います。

2. 複雑で高度な専門情報を分別、必要な情報を分かりやすく解説

ログ分析と防衛の専門家であるセキュリティアナリストが高度な情報分析を行います。攻撃を発見した場合には単なる攻撃情報だけではなく、事象の意味と具体的な対応策をお伝えすることでお客様の対応を支援。危険度を判定し、対応が必要となる脅威だけを選別してお知らせするため、お客様は重要度の高いアラート内容の分析や誤報に悩まされる心配はありません。

セキュリティ監視センター
「JSOC」(Japan Security Operation Center)

ラックは、2000年にセキュリティ監視サービスを開始、2002年にJapan Security Operation Center「JSOC」を開設しました。「JSOC」ではファイアウォール、IDS、IPSなどのセキュリティ監視センサーを運用することはもちろん、不正アクセス通信の分析や侵入検知後の対応までを、24時間365日リアルタイムで実施するセキュリティ監視・運用サービスを提供いたします。現在では、大手企業、官公庁を中心に多くの社会的な責任を強く持たれている企業・団体から評価をいただいており、800を超える団体・組織に採用をいただいております。

3. 豊富な対応実績と蓄積された知見

年間200件以上の情報漏洩事件に対して緊急対応を行っている「サイバー救急センター」と、先端的脅威を研究し続けている「サイバー・グリッド研究所」から、実践で使用される攻撃情報のフィードバックを受けることで、「JSOC」では標的型攻撃をはじめとする日々進化する高度な手法に対応しています。

4. 監視の専門家だからこそ実現可能な適切な製品の運用管理

セキュリティ監視のために必要となる「FireEye」製品ですが、その運用管理には専門的な知識が必要とされます。高度な知識とノウハウが必要とされる運用管理を実施してきた「JSOC」のプロのセキュリティエンジニアが常に適切な状態に製品を維持します。

「マルウェア対策製品監視・運用サービス」の内容

「マルウェア対策製品監視・運用サービス」は、「FireEye NXシリーズ / EXシリーズ / HXシリーズ」のアラートを24時間365日分析し、マルウェアの感染を監視します。ゲートウェイにおける不正な外部通信やWebアクセス、電子メールなどの監視とあわせて、組織内のPCやサーバなどのエンドポイントを対象に、マルウェアの実行ファイルの特定や、隔離による緊急措置などの対応を行います。
ネットワークの出入り口とエンドポイントの両面で対策を講じることにより、標的型攻撃やAPT攻撃発生時の早期の原因特定と復旧を強力に支援します。

サービス項目対応内容
1. リアルタイムセキュリティ監視 お客様の環境に設置されている「FireEye」製品のログをセキュリティアナリストが24時間365日体制でリアルタイムに分析します。検知されたアラートは誤検知の可否を確認した上で「JSOC」独自の定義に従った5段階の重要度に判別して通知します。分析の結果、緊急性が高いと認められた場合、15分以内に指定された連絡先へ通知します。
2. お客様専用のポータルサイト 「セキュリティインシデント情報」および「JSOCセキュリティ監視サービス報告書」を参照できる専用ポータルサイトを提供します。「JSOC」からの一方的な連絡通知だけではなく、お客様自身にてセキュリティ状況をご確認いただくことが可能です。
3. JSOCセキュリティ監視サービス報告書 月末締め翌月第5営業日までに月次レポートを提供します。
4. 「FireEye」製品の運用管理 監視対象となる「FireEye」製品の動作を24時間継続的に監視します。障害発生時は一次切り分けを実施し、機器故障の場合は保守ベンダと連携して完全復旧まで対応します。(※「FireEye」製品をラックより購入いただいた場合)また、コンフィグバックアップ、各種バージョンアップの適用などを行い、製品を適切な状態に保持します。
5. 情報照会サービス 「JSOC」で検知したセキュリティインシデントの分析結果、および脅威情報との関連性を分析してまとめた侵入傾向分析レポート「JSOC Insight」を発行します。また、「JSOC」独自の収集情報を中心に、セキュリティ上緊急対策が必要と判断したものについて、「JSOC」セキュリティアラート「注意喚起」情報として配信します。

サービスフロー

「マルウェア対策製品監視・運用サービス」提供イメージ図

「JSOC」のセキュリティ監視・運用サービスの詳細はこちらから

「JSOC」の詳細はこちらから

「マルウェア解析」コースなど、セキュリティ教育メニューはこちらから

マルウェア対策製品監視・運用サービスに関するお問い合わせ

お電話でのお問い合わせ

03-6757-0113

受付時間9:00~17:30

戻る

 

LACメールマガジンのイメージ写真

ラックメールマガジン

情報セキュリティに関する情報をE-Mailにて、タイムリーに月2~3回の頻度でお届けします。

セキュリティ情報のイメージ写真

セキュリティ情報

ラックの中の人がセキュリティにまつわるさまざまな情報をつぶやきます。

緊急対応窓口:サイバー救急センター(R) 0120-362-119

サービスに関するお問い合わせ
受付時間:9:00~17:30

03-6757-0113

ラックホーム

ページトップへ