JSOC® マネージド・セキュリティ・サービス(MSS)
JSOC ® マネージド・セキュリティ・サービス(MSS)
不正侵入検知とセキュリティ監視機器の運用を24時間365日リアルタイムで
JSOCが提供するマネージド・セキュリティ・サービス(MSS)は、お客様のシステム環境における不正侵入検知能力を劇的に向上させるセキュリティ監視・運用サービスです。巧妙で複雑な攻撃手法が増加傾向にある現在のIT環境において、不正アクセス監視は最も容易にセキュリティ対策レベルを向上させる手段の一つです。扱い切れないセキュリティ監視機器の運用や「不正アクセスを防ぐという確証」をお求めであれば、是非JSOCへご相談ください。
JSOC マネージド・セキュリティ・サービスの主なサービス内容
- お客様環境に導入されているセキュリティ監視機器の管理・運用代行
- セキュリティ監視機器の不正侵入検知能力をハイパフォーマンス化
- 不正アクセス監視ログの全てを24時間365日リアルタイム分析
- 重要度の高い不正アクセス検知時の防御行動実施と15分以内のセキュリティインシデント対応支援(SLAで保証)
マネージド・セキュリティ・サービスの概要
マネージド・セキュリティ・サービスは、お客様ネットワーク内のセキュリティ監視機器から出力されるログを、専門の知識を持ったセキュリティアナリストが24時間365日リアルタイムで分析を行い、精度の高いセキュリティインシデント情報をお客様にご報告するサービスです。
お客様のセキュリティ監視機器から出力されたログは、検知したログのタイプや、発信元IPアドレスなどの、一定の規則性に基づいてデータの集約が行われます。JSOCでは、その一定の規則性に基づいたログの集合体をイベントと定義しております。すべてのイベントは、セキュリティアナリストが24時間365日リアルタイムで高い精度で分析を行い、セキュリティ上脅威となりうるイベントのみをセキュリティインシデントとして迅速かつ正確にお客様にご連絡します。
マネージド・セキュリティ・サービスの特長
国内最高レベルのアナリストによるログ分析 | 24時間365日、リアルタイムでファイアウォール・IDS・IPS・マルウェア対策製品のログを分析します。重要度を判定し、お知らせする必要のある攻撃だけを選別してご連絡します。お客様は大量の難解なログの分析や誤報に悩まされる心配はありません。 |
---|---|
緊急時の連絡と対策支援 | 攻撃を発見した場合には、セキュリティアナリストから早急にご連絡いたします。単なる攻撃情報だけではなく、攻撃による影響範囲や必要な対応策など、具体的な内容までをお伝えいたします。緊急時には電話を通じて、お客様と一緒に全力で対策にあたります。 |
プロによる監視ポリシーの適切な運用を実現 | 監視ポリシーの運用には高度な知識とノウハウが必要とされます。この監視ポリシーの運用をプロのセキュリティエンジニアが実施することにより、常に最新の脅威に対応し、かつお客様にあった最適なポリシーで運用を行います。 |
JSOCの独自シグネチャ(JSIG®)による検知率向上 | 通常、IDS/IPSはメーカー標準のシグネチャで運用します。しかし、それだけでは検知できない攻撃が多く存在しています。JSOCでは、独自にシグネチャ(JSIG®)を作成することで、SQLインジェクションやボットなど最近の脅威に対しても、いち早く対応しています。 |
24時間の問い合わせ対応 | お客様からのお問い合わせに対して、24時間365日いつでもプロのセキュリティアナリストが対応いたします。単なるオペレータではなく、セキュリティアナリストが対応することで、話が通じないといったこともなく、いつでも迅速な対応をお約束します。 |
お客様専用Webポータルの提供 | お客様が直面しているセキュリティ上の脅威、受けている攻撃、その対策方法など、さまざまな情報が掲載されたお客様専用のWebポータルをご提供します。情報はリアルタイムに更新され、お客様はいつでもマネージド・セキュリティ・サービスに関するあらゆる情報をWebブラウザからご覧になれます。 |
稼働監視、月次レポート | 24時間365日、ファイアウォール・IDS・IPS・マルウェア対策製品などの対象機器の稼働も監視します。機器に障害が発生した場合、すぐにご連絡して復旧までをサポートします。また、発生したセキュリティインシデント情報を月次でまとめた統計レポートもご提供します。1ヶ月の全体的な情報を把握することができ、社内での報告などにも活用いただけます。 |
サービス内容
マネージド・セキュリティ・サービスとして、以下の6つのメニューをご用意しております。
Firewall監視サービス |
|
---|---|
IDS監視・運用サービス | |
IPS監視・運用サービス | |
「WAF運用管理サービス」の詳細は、こちらからご確認ください。 | |
「クラウドWAF監視・運用サービス」の詳細は、こちらからご確認ください。 |
IDS/IPS機器をお貸出するサービスもご用意しております。お客様は新たな機器類の資産を所有することもなく、「安心」かつ「安全」を手に入れられます。詳しくは、こちらからお問い合わせください。
サービスフロー
ログの収集からお客様へのご報告まで、マネージド・セキュリティ・サービス全体のフローは以下のとおりです。
EmergencyとCriticalは、攻撃が成功している、成功した可能性が高い、もしくは脆弱性があり危険な状態になっていると分析されたものであり、監視サービスとしては「重要なインシデント」と位置付けています。また、WarningとInformationalは、それ自体は実害が無いと判断したものですが、攻撃が存在した事実やその他注意するべき事実を把握するための「インシデント」として位置付けています。その後の検知状況により、昇格する場合があります。
サービス対応製品
マネージド・セキュリティ・サービスでは、下記の主要なファイアウォール・IDS・IPS・マルウェア対策製品に対して監視サービスを提供しています。随時、最新の機器にも対応していきますが、下記にない製品の監視をご要望の場合には、こちらからお問い合わせください。
ファイアウォール | Cisco Systems Cisco ASA 5500-X |
---|---|
Cisco Systems Cisco ASA 5500-FTD-X | |
Cisco Systems Cisco Firepower Threat Defense (FTD) | |
Palo Alto Networks PA | |
IDS | McAfee Network Security Platform |
Cisco Systems Cisco ASA 5500-X (Cisco ASA with Firepower) | |
Cisco Systems Cisco Firepower | |
Cisco Systems Cisco ASA 5500-FTD-X | |
Cisco Systems Cisco Firepower Threat Defense (FTD) | |
Palo Alto Networks PA | |
IPS | McAfee Network Security Platform |
Cisco Systems Cisco ASA 5500-X (Cisco ASA with Firepower) | |
Cisco Systems Cisco Firepower | |
Cisco Systems Cisco ASA 5500-FTD-X | |
Cisco Systems Cisco Firepower Threat Defense (FTD) | |
Palo Alto Networks PA | |
マルウェア対策製品 | FireEye NX |
FireEye EX | |
FireEye CM |
基本構成
マネージド・セキュリティ・サービスは、お客様側に設置されるサービス対象機器(ファイアウォール・IDS・IPS)やログサーバ、JSOC側のセキュリティ分析システム、セキュリティアナリストなど、多くの機能・システムによって構成されています。
ファイアウォール / IDS / IPS / マルウェア対策製品
お客様側に設置され、不正な通信をブロックする壁の役割や、不審な通信に対してログを発生させる監視の「目」となるシステムです。お客様が既に導入済みの各製品をJSOCで監視することも可能です。
新たに導入する際には、その導入のご支援も行います。
ログ収集サーバ(ログ転送プログラム)
主にファイアウォールから出力されるログを収集するためのサーバです。独自のログ転送プログラムを使って、収集したログをリアルタイムにJSOCへ転送します。お客様側でのログ保存サーバとしてもご利用いただけます。
インターネットVPN(Virtual Private Network)
SOCへのログ転送の際、インターネットVPNを利用することで通信を暗号化し、盗聴の危険性を回避します。
IDS/IPS監視の場合、暗号化機能を利用することで、VPN接続をせずに直接インターネット経由で安全な通信が可能です。
セキュリティ分析システム
収集した大量のログを効果的・効率的に分析するための巨大なシステムです。ファイアウォール・IDS・IPS・マルウェア対策製品から収集した情報はすべてこのシステムへ送り込まれ、さまざまな手法で分析されます。
管理マネージャ
IDS・IPSを管理するためのコンソールです。JSOCのプロフェッショナルが24時間オペレーションを行い、最適な運用を行います。JSOCに設置されている管理サーバを使って運用する場合と、お客様側に設置した管理サーバを使って運用する場合の2通りがあります。
セキュリティアナリスト
セキュリティ分析システムやその他さまざまな情報を駆使して、24時間365日間、休むことなくサービス対象機器を監視するセキュリティのプロフェッショナルです。攻撃の際は、攻撃内容を詳細に分析し、お客様に的確なアドバイスを行います。お客様は24時間いつでもセキュリティアナリストにコンタクトするこ とができます。
専用Webポータル
お客様が直面しているセキュリティ上の脅威、受けている攻撃、その対策方法など、さまざまな情報が掲載されたお客様専用のWebポータルをご提供します。情報はリアルタイムに更新されますので、アナリストからのアドバイスやJSOCとのやり取りの履歴を含め、マネージド・セキュリティ・サービスに関するあらゆる最新情報をいつでもご覧になれます。
典型的な監視パターン
ラックのマネージド・セキュリティ・サービスのコアとなる「セキュリティ監視センターJSOC」では、お客様の環境 などに応じてさまざまな機器、構成を監視しています。例として典型的な2つの監視構成パターンをご紹介します。実際には、お客様の環境や要件などによって 最適な機器や構成などをご提案させていただきます。
基本構成1.IPSセキュリティ監視
- IPSをインラインで設置し、1台で社内およびDMZの両方を監視
- 内部で発生したワームなどについては、IPS機能で外への拡散をブロック
- 外部からDMZへの攻撃は、IPS機能でブロックしつつ、セキュリティ監視で不審な通信も逃さず検知
基本構成2.本社:IPSセキュリティ監視 拠点:ファイアウォールセキュリティ監視
- 本社にはIPSを設置して監視を行い、事業所その他の拠点はファイアウォールを使ってセキュリティ監視を実施
- システム管理者を配置できない小規模拠点に対してファイアウォールセキュリティ監視を行うことで、セキュリティレベルを維持することが可能
- IPSとファイアウォールの監視を組み合わせることで、コストを抑えて効果的なセキュリティ対策を実現
基本構成3.マルウェア対策製品
- Web/Email用のマルウェア対策製品を設置することで双方のマルウェア脅威を検知することが可能
- メールに添付されたファイルをEmail用のマルウェア対策製品で検知、もし感染した場合は、Web用のマルウェア対策製品にて、C2サーバ(指令サーバ)へのコールバック通信を検知し、被害拡大を防止します。
サービス導入効果
マネージド・セキュリティ・サービスを導入したお客様からは、
「自社運用が難しいファイアウォール・IDS・IPSを安心して任せられる」
「何かあればいち早く教えてくれるし、対策までしっかりサポートしてくれる」
「よく分からないセキュリティのことを、いつでも聞ける相手がいることで安心できる」
といった声が寄せられています。
しかし、マネージド・セキュリティ・サービスを導入する効果はこれだけではありません。以下の3つの観点から、自社に目に見える効果以上に大きなセキュリティ向上と安心をもたらすことが可能になります。
自社の「見える化」
現実の世界では、「不審者が家の周りをうろついている」「ドアをこじ開けようとした形跡がある」「金庫の中のお金が盗まれている」など、実際に直面する脅威や被害について、比較的容易に気付くことができます。
ところが、インターネットの世界ではこれが大きく異なります。現実の世界での「目」や「耳」などの感覚器官にあたる機能を持たないと「怪しい人に狙われている(調査活動を行われている)」、「窓が割られて不法侵入され、お金を盗まれている(不正アクセスの被害が発生している)」といった事象に気付くことができません。
こういった脅威への対策は、まずは自社の置かれている状況をきちんと把握すること、つまり自社の「見える化」が必要なのです。JSOCのマネージド・セキュリティ・サービスは、この「見える化」を実現するサービスなのです。
例えば、JSOCによって「見える」ようになることの一部を紹介します。
1.イベント件数の推移(不振な兆候が見られないか)
2.最近発生した監視情報(いま何が起こっているのか)
3.現在対応中のセキュリティインシデントおよびそのステータス(発生している脅威への対応状況)
4.監視対象デバイスのリソース(デバイスが正常に稼働しているか)
これまで見えなかったお客様のセキュリティに関するさまざまな情報・状況を、いち早く分かりやすい形で見えるようにする、これがマネージド・セキュリティ・サービスを導入することによる1つめの大きな効果です。
ワームの被害件数が激減
マネージド・セキュリティ・サービスは、単に不正アクセスを見つけてお知らせする警報機の役割だけではありません。警報を鳴らすことによってお客様のセキュリティ対策への取り組み意識を改革し、それによって結果的に不正アクセスそのものの発生を抑える。お客様自身が、これまでのリアクティブな対応(何かが発生してから対策を行う受け身な対応)からプロアクティブな対応(何かが発生する前に、発生そのものを抑える)へと変わっていく、これがマネージド・セキュリティ・サービスの2つめの効果です。
重要セキュリティインシデントの発生件数(1ヶ月あたり)
この2つのグラフは、マネージド・セキュリティ・サービスを導入したお客様において、実際に発生したワーム、ウイルス等の重要なセキュリティインシデントの件数の推移を表しています。いずれもサービス導入当初は、毎月かなりの件数の重要セキュリティインシデントが発生しています。しかし導入約2年目を境にして急激にインシデントの発生件数が減少しています。
マネージド・セキュリティ・サービス導入当初のお客様の状況はというと、
- 毎日のようにワームを示すアラートを大量に検知(お客様イントラネット内でワームが蔓延)
- 「ネットワークが重くなる」など目に見える障害が発生しない限り、ワームの存在に気付かず、対応が後手にまわる
といった状況でした。
マネージド・セキュリティ・サービス導入後の状況は
- JSOCでいち早くワームを検知して連絡
- ワーム発生の連絡および今後の根本的な対策としてJSOCから以下をアドバイス
- ワームに感染しないためにはクライアントのパッチマネージメントが重要
- ワームは感染を拡大させないために初動対応が重要
- ワームが大感染した場合にはネットワークごと隔離することが必要
といったことを地道に繰り返しました。
その結果、現在の状況としては
- ワーム感染に関する連絡がJSOCから頻繁に届くようになったためお客様担当者の意識が変わった
- クライアントマシンへのパッチ適用期間が短縮された
- ワーム発生時の初動対応スピードが向上した
- 感染ホストの調査方法手順を確立して効率的に実施できるようになった
といったように、導入当初とは比較にならないほどセキュリティ対策への取り組みが変わり、結果としてワーム、ウイルス等の発生件数が激減しています。
このように、マネージド・セキュリティ・サービスは、単に監視してお知典型的な監視パターンらせするサービスではなく、お客様の意識までも改革し、セキュリティインシデントの発生そのものを抑えてしまうプロアクティブな対応ができることも大きな導入効果の1つです。
「何も起きていない」ことを証明する意味
「うちのサイトはパッチもきちんと適用しているし、特に問題も発生してないからセキュリティ監視まではいらないよ」という声をよく聞きます。きちんとセキュリティ対策を実施していれば監視は本当に不要なのでしょうか?
ここには大きな誤解があります。「問題が発生していない」と思っていたのが、実は単に「問題が起きていることに気付いていない」という可能性があるということを忘れがちです。
「何も起きていない」ことを証明する意味
最近の不正アクセスの傾向として、以前のように派手にWebのトップページを書き換えて自己アピールするといったケースはほとんどなくなってきており、逆に気付かれないように侵入して欲しい情報だけをこっそり奪っていく、そんなケースが非常に増えてきています。そんな状況の中で、はたして自社に「本当に問題が発生していないのか?」ということをどのようにして確かめることができるでしょうか?
この「何も起きていない」ことを証明することもマネージド・セキュリティ・サービスを導入することによってお客様が得られる大きな効果なのです。何かが起きていることを見つけることは当然ですが、何も起きていないこともセキュリティのプロの目で確かめてお客様へご報告する、それによってお客様は安心して業務を継続することができるのです。
効果が見えにくいセキュリティ対策への投資を、マネージド・セキュリティ・サービスは目に見える形で「何も起きていない」ことを証明し、その投資対効果を形にしていきます。