株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

JSOC® マネージド・セキュリティ・サービス(MSS)

JSOC® マネージド・セキュリティ・サービス(MSS)

Monitoring & Operation

不正侵入検知とセキュリティ機器を24時間365日リアルタイムに監視、運用

JSOCのマネージド・セキュリティ・サービス(MSS)はお客様の不正侵入検知能力を大幅に向上させるセキュリティ監視・運用サービスです。巧妙なサイバー攻撃が増加するIT環境において、不正アクセス監視によるセキュリティ対策の水準を上げます。また、複雑なセキュリティ監視機器を運用し、不正アクセスを防ぎます。

サービスの強み

セキュリティ監視機器から出力されるログを、専門知識を持つアナリストが
24時間365日で収集、分析し、報告します

セキュリティ監視機器から出力されたログは、検知したログのタイプや、発信元IPアドレスなどの一定の規則性に基づいてデータの集約が行われます。JSOCでは、その一定の規則性に基づいたログの集合体をイベントと定義し、セキュリティアナリストが24時間365日リアルタイムで高い精度で分析を行い、セキュリティ上脅威となりうるイベントだけをセキュリティインシデントとして迅速かつ正確に報告します。

専門家の確かな技術がもたらすセキュリティ向上による大きな安心感

  1. ファイアウォール、IDS、IPSを
    安心して任せられる
    自社運用が難しいといわれるファイアウォール、IDS、IPSの運用を任せていただくことで、お客様はセキュリティアラートに煩わされず、よりビジネスに直結した業務を遂行できます。
  2. 原因究明と対策の実行を支援
    専門家がいつでも原因究明と対策の実行をサポートするため、予測できないインシデントの監視のために、担当者を設ける必要がありません。
  3. ビジネスへの大きな安心感が
    得られる
    新しい脅威や自社のセキュリティ対策のことを、いつでも質問できる専門家のサポートにより、大きな安心感が得られ、本来のビジネス課題にフォーカスできます。
  4. 自社のセキュリティ対処状況の「見える化」
    イベント件数の推移や最近発生したインシデント情報の提供により、不審な兆候の発見や、いま何が起こっているのかなどの状況が可視化されます。
  5. マルウェアの被害件数を低減する
    深刻なリスクに対して警報を鳴らすことによって、従業員へのセキュリティ対策への意識が向上し、結果的にマルウェア感染や不正アクセスなどインシデントそのものの発生が抑えられます。
  6. 「何も起きていない」ことを証明する
    証明することが困難な「何も起きていない」ことを、セキュリティのプロの目で確かめ、報告を受けることができます。これにより経営レベルでもセキュリティ対策へかけるコストの重要性が認識できます。

サービス内容

以下の7つのメニューをご用意しております。

Firewall監視
  • 緊急時の連絡と対策支援
  • アナリストによるアラート分析
  • 月次レポート
  • 専用Webポータルでの情報提供
  • 独自シグネチャによる運用
  • 24時間対応のお問い合わせ窓口
  • プロによる監視ポリシーの適切な運用
  • セキュリティ対策に関するアドバイス
IDS監視・運用
IPS監視・運用
マルウェア対策製品 監視・運用

WAF運用管理

「WAF運用管理サービス」の詳細は、こちらからご確認ください。

クラウドWAF監視・運用

「クラウドWAF監視・運用サービス」の詳細は、こちらからご確認ください。

Deep Security監視

「Deep Security監視サービス」の詳細は、こちらからご確認ください。

IDS/IPS機器をお貸出するサービスもご用意しております。お客様は新たな機器類の資産を所有することなく、「安心」かつ「安全」を手に入れることができます。詳しくは、お問い合わせください。

緊急、重要、警告、情報の4段階で危険度を表示し、対応方法を通知する

ログの収集からお客様へのご報告まで、MSS全体のフローは以下のとおりです。

MSS全体のサービスフロー

危険度のEmergencyとCriticalは攻撃が成功している、成功した可能性が高い、もしくは脆弱性があり危険な状態になっていると分析されたものであり、監視サービスとしては「重要なインシデント」と位置付けています。

また、WarningとInformationalは、それ自体は実害が無いと判断したものですが、攻撃が存在した事実やその他注意するべき事実を把握するための「インシデント」として位置付けています。その後の検知状況により、危険度が上昇する場合があります。

サービス対応製品

MSSでは、下記の主要なファイアウォール・IDS・IPS・マルウェア対策製品に対して監視サービスを提供しています。随時、最新の機器にも対応していきますが、下記に記載のない製品の監視をご要望の場合には、お問い合わせください。

ファイアウォール Cisco Systems Cisco ASA 5500-X
Cisco Systems Cisco ASA 5500-FTD-X
Cisco Systems Cisco Firepower Threat Defense (FTD)
Palo Alto Networks PA
Palo Alto Networks VM
IDS McAfee Network Security Platform
Cisco Systems Cisco ASA 5500-X (Cisco ASA with Firepower)
Cisco Systems Cisco ASA 5500-FTD-X
Cisco Systems Cisco Firepower Threat Defense (FTD)
Palo Alto Networks PA
Palo Alto Networks VM
Palo Alto Networks Prisma Access
IPS McAfee Network Security Platform
Cisco Systems Cisco ASA 5500-X (Cisco ASA with Firepower)
Cisco Systems Cisco ASA 5500-FTD-X
Cisco Systems Cisco Firepower Threat Defense (FTD)
Palo Alto Networks PA
Palo Alto Networks VM
Palo Alto Networks Prisma Access
マルウェア対策製品 FireEye NX
FireEye EX
FireEye CM

基本構成

MSSは、お客様側に設置されるサービス対象機器(ファイアウォール・IDS・IPS)やログサーバ、JSOC側のセキュリティ分析システム、セキュリティアナリストなど多くの機能やシステムによって構成されています。

基本構成

ファイアウォール / IDS / IPS / マルウェア対策製品

お客様側に設置され、不正な通信をブロックする防護壁の役割や、不審な通信に対してログを発生させる監視の「目」となるシステムです。既に導入済みの各製品をJSOCで監視することも可能です。製品を新たに導入する際には、その製品のサービス導入を支援します。

ログ収集サーバ(ログ転送プログラム)

主にファイアウォールから出力されるログを収集するためのサーバです。独自のログ転送プログラムを使って、収集したログをリアルタイムにJSOCへ転送します。お客様側でのログ保存サーバとしても利用できます。

インターネットVPN(Virtual Private Network)

JSOCへのログ転送の際、インターネットVPNを利用することで通信を暗号化し、盗聴のリスクを回避します。IDS/IPS監視の場合、暗号化機能を利用することで、VPN接続をせずに直接インターネット経由で安全な通信が可能です。

セキュリティ分析システム

収集した大量のログを効果的・効率的に分析するための巨大なシステムです。ファイアウォール・IDS・IPS・マルウェア対策製品から収集した情報はすべてこのシステムへ送り込まれ、さまざまな手法で分析されます。

管理マネージャ

IDS・IPSを管理するためのコンソールにより、JSOCのプロフェッショナルが24時間最適な運用を実施します。JSOCに設置されている管理マネージャを使って運用する場合と、お客様側に設置した管理マネージャを使って運用する場合の2通りから接続方式を選択できます。

セキュリティアナリスト

セキュリティ分析システムやその他さまざまな情報を駆使して、24時間365日サービス対象機器を監視するセキュリティのプロフェッショナルです。攻撃を検知した際は、内容を詳細に分析し、お客様に的確なアドバイスを提供します。お客様は24時間いつでもセキュリティアナリストにコンタクトできます。

専用Webポータル

お客様が直面しているセキュリティ上の脅威、受けている攻撃、その対策方法など、さまざまな情報が掲載されたお客様専用のWebポータルを提供します。情報はリアルタイムに更新されるため、アナリストからのアドバイスやJSOCとのやり取りの履歴を含め、MSSに関するあらゆる最新情報をいつでもご覧になれます。

典型的な監視パターン

MSSのコアとなる「セキュリティ監視センターJSOC」では、お客様の環境などに応じてさまざまな機器、構成を監視しています。例として典型的な3つの監視構成パターンを紹介します。実際にはお客様の環境や要件などによって、最適な機器や構成などを提案します。

基本構成1.IPSセキュリティ監視

  • IPSをインラインで設置し、1台で社内およびDMZの両方を監視
  • 内部で発生したワームなどについては、IPS機能で外への拡散をブロック
  • 外部からDMZへの攻撃は、IPS機能でブロックしつつ、セキュリティ監視で不審な通信も逃さず検知
IPSセキュリティ監視

基本構成2.本社:IPSセキュリティ監視 拠点:ファイアウォールセキュリティ監視

  • 本社にはIPSを設置して監視を行い、事業所その他の拠点はファイアウォールを使ってセキュリティ監視を実施
  • システム管理者を配置できない小規模拠点に対してファイアウォールセキュリティ監視を行うことで、セキュリティレベルを維持することが可能
  • IPSとファイアウォールの監視を組み合わせることで、コストを抑えて効果的なセキュリティ対策を実現
本社:IPSセキュリティ監視 拠点:ファイアウォールセキュリティ監視

基本構成3.マルウェア対策製品

  • Web/Email用のマルウェア対策製品を設置することで双方のマルウェア脅威を検知することが可能
  • メールに添付されたファイルをEmail用のマルウェア対策製品で検知、もし感染した場合は、Web用のマルウェア対策製品にて、C2サーバ(指令サーバ)へのコールバック通信を検知し、被害拡大を防止
マルウェア対策製品

MSSのより深い効果について

自社のセキュリティ対処状況の「見える化」

「不審者が家の周りをうろついている」「ドアをこじ開けられた」などの目に見える脅威や被害について、容易に気付くことができますが、サイバー攻撃は目に見えないため、マルウェアの侵入や不正アクセスなどに気づくことは困難です。サイバーセキュリティ脅威への対策は、まずは自社の置かれている状況をきちんと把握する、自社のセキュリティ対処状況の「見える化」が不可欠です。MSSは、この「見える化」を実現するサービスです。

以下は、JSOCによって可能となる「見える化」の具体例です。

1.イベント件数の推移(不振な兆候が見られないか)

イベント件数の推移

2.最近発生した監視情報(いま何が起こっているのか)

最近発生した監視情報

3.現在対応中のセキュリティインシデントおよびそのステータス(発生している脅威への対応状況)

発生している脅威への対応状況

4.監視対象デバイスのリソース(デバイスが正常に稼働しているか)

監視対象デバイスのリソース

これまで見えなかったお客様のセキュリティに関するさまざまな情報・状況を、いち早く分かりやすい形で見えるようにする。これがMSSを導入することによる大きな効果のひとつです。

ワームの被害件数が激減

MSSは、単に不正アクセスを見つけてお知らせする警報機の役割だけではありません。警報を鳴らすことによってお客様のセキュリティ対策への取り組み意識を向上し、それによって結果的に不正アクセスそのものの発生を抑えることができます。社内の体制がこれまで何かが発生してから動いていたリアクティブ(受け身)な対応から、何かが発生する前に対処するプロアクティブ(積極的)な対応へと変わっていくのも、MSSの効果です。

重要セキュリティインシデントの発生件数(1カ月あたり)

導入効果事例

この2つのグラフは、MSSを導入したお客様において、実際に発生したワーム、ウイルス等の重要なセキュリティインシデント件数の推移を表しています。いずれもサービス導入当初は、毎月かなりの件数の重要セキュリティインシデントが発生していますが、導入約2年目を境にして急激にインシデントの発生件数が減少しています。

MSS導入前および導入直後の、

  • 毎日のようにワームを示すアラートを大量に検知(お客様イントラネット内でワームが蔓延)
  • 「ネットワークが重くなる」など目に見える障害が発生しない限り、ワームの存在に気付かず、対応が後手にまわる

という状況に対して、JSOCによる以下のサービス提供を継続しました。

  • JSOCでいち早くワームを検知して連絡
  • ワーム発生の連絡および今後の根本的な対策としてJSOCから以下をアドバイス
    • ワームに感染しないためにはクライアントのパッチマネージメントが重要
    • ワームの感染を拡大させないために初動対応が重要
    • ワームに多数感染した場合にはネットワークごと隔離することが必要

地道な運営の結果、状況は大きく改善し、

  • ワーム感染に関する連絡がJSOCから頻繁に届くようになったためお客様担当者の意識が向上した
  • クライアントマシンへのパッチ適用期間が短縮された
  • ワーム発生時の初動対応スピードが向上した
  • 感染ホストの調査方法手順を確立して効率的に実施できるようになった

などの導入当初とは比較にならないほどの成果が見られ、セキュリティ対策への取り組みの変化と、ワーム、ウイルス等の感染発生件数の激減という具体的な効果に結び付いています。

このように、MSSは、単に監視してお知らせするサービスではなく、お客様のセキュリティ意識の向上につながり、安全が確保できる企業体質を実現する効果のあるサービスだと言えます。

「何も起きていない」ことを証明する意味

「うちのサイトはパッチもきちんと適用しているし、特に問題も発生してないからセキュリティ監視まではいらないよ」という意見には大きな誤解があります。「問題が発生していない」のは単に「問題が起きていることに気付いていない」という可能性があるからです。

不正アクセス手口の傾向は、目に見えないように、気付かれないように侵入して欲しい情報をこっそり奪っていくスタイルに変化しています。「本当に問題が発生していないのか?」を確かめることは困難です。

この「何も起きていない」ことを証明することもMSSを導入することによってお客様が得られる大きな効果です。何かが起きた場合は当然として、何も起きていないこともセキュリティのプロの目で確かめてお客様に報告する、それによってお客様は安心して業務を継続できます。効果が見えにくいセキュリティ対策への投資を、MSSは目に見える形でその有効性を証明します。

価格

個別にお見積もりいたします。お気軽にお問い合わせください。

「JSOC マネージド・セキュリティ・サービス」に関するお問い合わせ

JSOC マネージド・セキュリティ・サービスは、JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。

詳しくみる