セキュリティ製品
NetAgent PacketBlackHole
「PacketBlackHole」は、ネットワークの監視カメラとして企業や組織のネットワークを流れる通信を記録するアプライアンス製品です。また、記録された通信に対して検索と再現を行うことで、万が一、ネットワークセキュリティ上のインシデントが発生した場合、発生原因の調査や漏えい情報の特定が可能になります。
標的型攻撃について詳しくはこちら
「PacketBlackHole」の概要
「PacketBlackHole」は通信を取得し、その内容を人間が目で見てわかる形に解析します。例えば、ある社員が送受信したメールの本文や添付ファイル、Webアクセスにより閲覧したサイト情報、投稿した内容、アップロード/ダウンロードしたファイルの内容など、ネットワーク通信の具体的な内容を可視化することができます。そして、インシデント発生時には、クリック操作のみで、発信元の個人を特定し、詳細内容まで調査することができます。「PacketBlackHole」は企業を取り巻くインシデントのリスクマネジメントやコンプライアンスという両方の観点で企業を支援するシステムです。
■ネットワークセキュリティ上のインシデントが発生する要因
| 項目 | 内容 |
|---|---|
| (1) ネットワーク内部の脅威 | 転職時における技術情報や顧客情報の持ち出し、情報搾取を目的として入社する産業スパイ、転売を目的とした顧客情報の取得など、情報が商品となる昨今では内部犯行による情報漏えいへの対策が必須です。ポリシーでルールが定められていても、悪意のある従業員はルールを破り情報を持ち出しています。個人のリテラシーに頼る運用が、内部不正の引き金となっています。 |
| (2) ネットワーク内部の過失 | メールの誤送信によるメールアドレスの流出、サーバの誤設定や不具合が原因による情報の流出など、過失が原因によるインシデントへの対策が必要です。 |
| (3) ネットワーク外部の脅威 | Webサイトへの不正アクセスや標的型攻撃など、高度な技術とソーシャル・エンジニアリングを駆使することで、多くの企業や組織がサイバー攻撃を受け、サービスの停止や情報流出の事件が起きています。技術的な対策や社員への教育などで脅威のリスクを軽減することはできますが、事件の数が対策の難しさを示しています。 |
■「PacketBlackHole」がもたらす効果
| 項目 | 内容 |
|---|---|
| (1) インシデント発生時における調査や対応フローの策定 | 通信の記録を行うことで、インシデントの発生時にはお客様自身で漏えいファイルの検索や内容の確認を行えます。早期にインシデント内容を把握し、対策を講じることは被害の拡大を防ぎ、企業ダメージの軽減にもつながります。また、予め調査方法を定めておくことでインシデント発生時の対応フローを策定することも可能です。 |
| (2) リスクの高い通信の抽出と可視化 | Web通信を利用したファイルのアップロードやダウンロードでは、意図的にサービスを利用して送信したファイルはもちろん、意図せず送受信されていたファイルについても、大量のデータの中から素早く抽出し、内容の確認を行うことが可能です。また、Webメールやファイルストレージサービス、掲示板書き込みなど、リスクのあるサービスやアプリケーションの利用を抽出し利用内容を確認することも可能です。 |
| (3) 社内リテラシーの向上 | レポート機能や検知画面を活用し、社内へモニタリング内容を公開することで、社員のコンプライアンスに対する意識高め、私的利用や不正利用の抑止につながります。 |
Counter SSL Proxy(オプション)
暗号化されたHTTPS通信の復号を行うためのオプションとして「Counter SSL Proxy」をご用意しております。暗号化されたWebメールやファイルストレージサービスなどのWeb通信の内容を再現します。
「PacketBlackHole」の特長
1.強力な再現機能。「元の通信」をそのまま再現!
「PacketBlackHole」は、ネットワークを流れる通信をすべて取得し、その通信内容を再現します。元の形そのままに再現することで、ログだけでは見つけにくい個人の行動・事実関係を具体的に提示します。
2.インシデントやその予兆を素早く察知できる!
「PacketBlackHole」は、通信の危険性を判断し、危険性の高い通信や予兆を発見すると、即座に管理者へと通知するため、セキュリティ脅威への迅速な対応が可能となります。
3.誰でも、簡単に、調査ができる!
「PacketBlackHole」は、取得・解析したデータを時系列に、個人と紐づけて体系的に管理するため、誰でも管理画面上から簡単に、最小限の工数で必要な事実確認を行うことができます。
「PacketBlackHole」の内容
■「PacketBlackHole」の設置レイアウト
- ミラーポートやTAPを利用してパケットをコピーします。
- 「PacketBlackHole」の取得ポートにはIPアドレスは不要です。
- クライアント端末へのエージェントのインストールやネットワーク設定の変更などは不要です。
■オプション「Counter SSL Proxy」の設置レイアウト
- クライアント端末にはProxyサーバの設定が必要です。
- お客様環境に既にProxyサーバが設置されている場合、多段構成での設置も可能です。
- クライアント端末には「Counter SSL Proxy」のルート証明書をインストールする必要があります。
■画面サンプル
①メール検索
メール検索画面では、メールアドレスや件名などの検索条件を利用し検索対象のメールを抽出できます。また、メール通信の本文や添付ファイルを再現しますので、メールアーカイブとしても利用することが可能です。メールデータは、eml形式やmbox形式でダウンロードすることも可能なので、クライアントメールソフトから消えてしまったメールの復旧も可能です。
②Webファイルアップロード
多くのWebメールサービスや、アップロード掲示板、ブログ、SNSでの写真のアップロード機能などは「PacketBlackHole」のファイルアップロード機能で一覧を確認することが可能です。
③Webダウンロード
インターネット上からダウンロードしたファイルを一覧表示し、検索を行うことができます。ダウンロード元の国情報を表示することができますので、例えば攻撃発信元として有名な国から実行形式のファイルがダウンロードされてないかなどを調べることができます。
④レポート
解析結果から各種レポートを作成し、CSV形式で出力することができます。また、任意の期間のレポートを指定したタイミングで生成する「レポート自動作成機能」により、手間をかけずにレポート作成が行えます。
「PacketBlackHole」の機能一覧
■管理機能例
| 機能 | 内容 |
|---|---|
| (1) ユーザ権限設定 | 管理者ごとに異なる閲覧権限や操作権限を与えることで、適切に「PacketBlackHole」を運用することが可能です。また、管理画面へアクセス可能な端末をIPアドレス、MACアドレスで指定することで、保存された情報を安全に管理することが可能です。 |
| (2) 取得設定 | 「PacketBlackHole」で取得するパケットをIPアドレス、ネットワークアドレス、ポートで指定し、パケット保存領域を有効に活用することが可能です。 |
| (3) 解析設定 | 「PacketBlackHole」で取得したパケットに対して解析処理を行うプロトコルを指定し、解析リソースを有効に活用することが可能です。 |
■各種アラート・検知機能
| 機能 | ルール例 | 利用効果 |
|---|---|---|
| (1) インテリジェント解析データマイニング |
情報漏えいの可能性
| インシデントの可能性を早期に発見 |
| (2) インテリジェント解析ビルトインポリシー |
| リスクのある通信を早期に発見 |
| (3) アラートカテゴリ | メールアドレスやテキスト、URLを登録 | お客様の環境に応じたファイルの持ち出しや不正利用を早期に発見 |
| (4) OPW |
| リスクのあるサービスやアプリケーションの利用の内容を確認 |
- ※利用する機能に応じて「PacketBlackHole」の設置場所や設定等が異なります。
■解析対応プロトコル
| Web | HTTP/1.1、HTTP/1.0、HTTP PROXY HTTPS(※1) |
|---|---|
| メール | POP3、SMTP、IMAP4、添付ファイル |
| データベース系 | Microsoft SQL Server、Oracle(※2) |
| IP電話 | SIP RTP(音声) |
| メッセンジャー | MSNメッセンジャー、Yahoo!メッセンジャー、MSN Liveメッセンジャー |
| 動画 | Webアクセスされた FLV、H264 |
| Webメール | Gmail(※1)、Yahoo Mail、Hotmail |
| 掲示板書込 | Twitter、Facebook 、mixi、他SNS、ブログ系サイト、掲示板系サイト |
| ファイルアップロード | HTTPでアップロードされたデータ |
| FTP | FTP、FTPデータ(PASVを含む) |
| Windowsファイル共有 | SMB1.0、SMB2.0、SMB2.1、CIFS |
- (※1)オプション「Counter SSL Proxy」との連携が必要です。
- (※2)再現できるクエリ、レスポンスに制限があることがあります。
製品ラインナップ
■PacketBlackHole
| 小規模向けエントリーモデル |
|
|---|---|
| 中規模向けスタンダードモデル |
|
| 大規模向けエンタープライズモデル |
|
| 解析用vPacketBlackHoleソフトウェア |
|
| 取得専用PacketBlackHole 中規模向け |
|
| 取得専用 PacketBlackHole大規模向け |
|
| PacketBlackHole Probe (取得専用PacketBlackHole小規模向け) |
|
■Counter SSL Proxy
| ソフトウェア(ネイティブインストール) |
|
|---|---|
| ソフトウェア(Red Hat) |
|
| PBH-QPC |
|
Counter SSL Proxy用ハードウェア参考スペック(1000台規模)
| |
