はじめに
ニューノーマルとゼロトラスト
境界防御
クラウド
VPN
UTM
proxy
企業
テレワーク
ログ管理・監査ソリューションマップ(CTCSP取扱製品)
業務・DBサーバ・AD・ファイルサーバ管理・監査 クライアント(利用者)管理 スマートデバイス 特権ID(管理者) 統合ログ管理 FW・プロキシ NW・サーバ監視 NWフロー解析クラウドを含めた、社内システムの
ログを統合的に管理したい
サーバのログ管理からスタートし、
統合ログへ拡張したい
ネットワークを可視化し、未知の
脅威への対策をしたい
クラウドログ管理インフォサイエンス Logstorage ご紹介
Logstorage ご紹介
あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理システムです。内部統制、情報漏
えい対策、サイバー攻撃対策、システム運用監視、業務効率改善など、多様な目的に対応できる、統合ログ分野でのデフ
ァクトスタンダード製品です。
Logstorageは13年連続市場シェアNo.1
導入実績 累計 3,800社!
「Logstorage」とは
Logstora
A製品
その他
B製品
C製品
44.7%
出典:ミック経済研究所「【ガバナンス&監査編 2019年版】サイバーセキュリティソリューション 市場の現状と展望(統合ログツール管理市場)」 ※富士キメラ総研「2019 ネットワークセキュリティビジネス調査総覧(統合ログ管理ツール(SIM))」 においてもシェアNo.1を獲得Logstorage ラインナップ
日本国内のセキュリティ運用にフィットしたSIEM製品
AWSを始めとして、Microsoft Azure等の様々な
パブリッククラウドのログ管理ツール
統合ログ管理製品の決定版
Windows、ファイルサーバログに特化したオールイン
ワンパッケージ
Logstorage ログ収集実績 / 連携製品
[OSシステム・イベント] ・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD [Web/プロキシ] ・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus・Trend Micro Cloud App Security ・InterScan Web Security as a Service ・Zscaler [ネットワーク機器] ・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・BIG-IP ・IronPort ・ServerIron ・Proventia ・CACHATTO [クライアント操作] ・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・DEFESA Logger ・秘文 ・SeP ・QND/QOH ・Malion ・SKYSEA Client View
[データベース] ・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL [メール] ・MS Exchange ・sendmail ・Postfix ・qmail ・Exim ・GUARDIANWALL [サーバアクセス] ・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control ・SecureCube / AccessCheck [データベース監査] ・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium [その他] ・VMware vCenter ・Vmware ESXi ・SAP R/3 (ERP) ・NetApp (NAS) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server ・System Answer ・AWS ・Microsoft Azure ・BOX ・Office 365 ・G Suite …その他 [運用監視] ・Nagios ・JP1 ・Systemwalker ・OpenView
・WebSAM [アンチウィルス]・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris ・ESET ・ウイルスバスター [Lotus Domino] ・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher [複合機] ・imageRunner ・Apeos ・SecurePrint! [ICカード認証] ・SmartOn ・ARCACLAVIS Revo
日本国内で利用されているソフトウェア・機器を中心に
400種以上
のログ収集実績
【Logstorage アライアンス製品】LanScope Cat SecureCube / AccessCheck CWAT InfoTrace
MylogStar DEFESA Logger シリーズ i-FILTER MaLion
VISUACT SSDB監査
PISO SKYSEA Client View Palo Alto Networks NGFW Amazon Web Service (AWS) Microsoft Azure 秘文
Office 365 Box G Suite
機能・システム構成
ログ収集機能
[受信機能] ・Syslog / FTP(S) / 共有フォルダ / SNMP [ログ送信・取得機能] ・Agent ・EventLogCollector ・SecureBatchTransferログ保管機能
ログ検知機能
検索・集計・レポート機能
・ポリシーに合致したログのアラート ・ポリシーはストーリー的に定義可能 (シナリオ検知) ・ログの圧縮保存/高速検索 ・ログの高速検索用インデックス作成 ・ログの改ざんチェック機能 ・ログに対する意味(タグ)付け ・ログの暗号化保存 ・保存期間を経過したログを自動アーカイブ ・ログの検索/集計/レポート生成 ・インデックスを用いた高速検索 ・検索結果に対する、クリック操作による絞込み ・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML) <Logstorage システム構成>クラウドサービスのログ収集
クラウドサービスのログを効率的に収集・分析
検索・集計・レポート条件テンプレートが用意されているので、ログ分析が容易に可能。
ログの長期保管、圧縮保管、暗号化、改ざん検出機能にも対応。
AWS 対応パック Azure 連携パック Office365 連携パック Box 連携パック 製品 対応サービスAWS AWS CloudTrail, AWS Config, Amazon CloudWatch Logs, Amazon CloudWatch Metrics, AWS Billing, Amazon S3, Amazon ELB, Amazon RDS
Azure Azure Activity Log, Azure Virtual Machine, Azure Storage, Azure Network Security Group, Azure Active Directory Office 365 AzureActiveDirectory, SharePoint(OneDrive含む), Teams, Exchange, MessageTrace/MessageTraceDetail
G Suite 管理コンソール, ログイン, SAML, OAuth トークン, ユーザーアカウント, グループ, ドライブ, デバイス Box Enterprise Events
G Suite 連携パック
クラウドログの収集・管理を効率的に実施
クラウドログ収集はログの形式や取得方式がバラバラ・・・
運用担当者
オンプレミス
Agentによる収集 box用APIの実行 AWS CloudTrail用 APIの実行 S3バケットに配置された アクセスログの収集オンプレミス
各環境からのログ収集、フォーマット整形、分
析はLogstorageが実施
運用担当者はLogstorageで横断
的にログやイベントの確認が可能
網屋 ALogシリーズ ご紹介
サーバアクセスをOSレイヤから取得 複数サーバから統合的にログ管理を実現 サーバアクセスログ データベースアプリレイヤから取得 分散するDBログを一元的に保管 データベースサーバログ ALogの守備範囲を全方位に広げる 統合ログ製品 統合ログ エンタープライズ型 専用サーバ不要&簡単インストール スタンドアロン型サーバアクセスロ グ サーバアクセスログ スタンドアロン型 フォルダのアクセス権情報や 不要ファイルの洗い出しなど マルチなサーバマネジメントツール サーバマネジメント
網屋:ALogシリーズ
製造業
1200
以上 サーバアクセスログ監査 パッケージ出荷金額シェ ア ALog製品の業種別シェア (2018年度) ミック経済研究所「ガバナンス&監査編 2019年版 サイバーセキュリ ティソリューション 市場の現状と将来展望」 2019年6月 発刊 出典:サーバログ
監査市場で
トップシェア
4500
以上の 契約実績 情報・通信業1000
以上 金融・保険業1000
以上 以上500
サービス業 建設・不動産業280
以上280
以上 公共系法人導入実績
実際の操作に
複雑な生ログを、見やすく整理して 『いつ誰がどのファイルに何をしたか?』 のアクセス履歴に変換します。 生ログを解析して3
つの特徴
小さく保管
変換処理によって極小化された アクセスログをさらに圧縮保管。 長期間のログ保管を実現可能に。 自動的に検索・分析
Webブラウザを使った直感的な検索 情シス部門だけでなく誰でもカンタン に操作が可能です。 直感的にALog ConVerterの特長
複雑なログデータをわかりやすく視覚化
膨大なデータアクセスの記録を複雑なシステムデータから抽出し
「記録」を取れば有事の追跡が行えるだけでなく、証拠の保全にも自動的に対応します。
作成途中の文書ファイルがいつの間にか無くなった。
誰かが顧客データや従業員データを抜き出した形跡がある。
時刻 ユーザー サーバ 対象 操作
2019/4/18 15:04 Amiya.co.jp¥kawasaki Fs-vol1 D:¥技術部¥開発3課¥プロジェクト工程表.xls READ 2019/4/18 15:05 Amiya.co.jp¥ikeda Fs-vol1 D:¥機密¥研究開発報告書.docx DELETE
時刻 ユーザー サーバ 対象 操作
2019/3/06 18:21 amiya.co.jp¥kawasaki Fs-vol1 D:¥DATA¥顧客情報¥取引先重量顧客リスト.xls WRITE 2019/3/11 10:03 amiya.co.jp¥tanaka Fs-vol1 D:¥機密¥顧客管理.xlsx READ
で個人情報の閲覧履歴を特定 でファイル削除者を特定
対象サーバ別 処理の流れ
【for NetApp / EMC / Isilon】※ONTAPは10分間隔でログを定期出力します。
※VNX OE(アーカイブモード)は1時間ごとまたは1GBごとにログを定期出力します。 ※対象サーバがIsilonの場合はノードごとにログが出力されます。
ALogは、大量に蓄積されたログを長期に渡って保持できるように設計されています。 アクセスログを検索用と保管用の2方向に出力し、高速検索と大容量の保管を実現します。 古いログを自動削除して 一定期間のみデータを保持 極小化したログファイルを長期保管しま す※ 過去のログは検索画面に再インポート可 能 ※AES-256による暗号化に対応
検索と保管の仕組み
あらかじめ監視したい内容を設定しておけば、レポートが定期的に自動作成されます。 作成されたレポートをメールに添付して運用者に送付することもできます。 ・深夜時間帯のファイルアクセス ・重要プロジェクトのフォルダアクセ ス ・特定フォルダのデータ削除 ・退職予定者の全アクセス ・一定回数以上のログオン失敗 ・特権ユーザーの操作一覧 レポートが定期的に 送られてくる 事前に セットしておけば
自動レポート作成
監視レポート機能を使えば、監査/監視を自動化できます。 例えば、”管理者として普段行うべきでない操作”などを自動監視&レポート自動出力します。 例えば、管理者による権限変更をレポートする場合 例えば、「夜間に多数のログオン失敗」が出ていないか監視する場合 管理者 アカウントが 権限変更に 関連する行為を 行うと… 「1時間に5回」を超える ログオン失敗があると… 業務時間外に アラート通知で よりタイムリーな 不正検知も 該当する すべての操作を 自動レポーティング
集計/監視/メール通知
多様な働き方があるなかで、単なる回数や数量だけでは異常の発見は困難です。
AIリスクスコアリングは、ユーザーごとの「普段」との差異をAIが分析し、セキュリティリスクを数値化します。
数のしきい値だけでは、 定義に当てはまらない異常を発見できない 普段のアクセス傾向をAIが分析。 異常行動との差異を自動判定する AIが学習 AI リスクスコアリング (頻度異常)しきい値
異常予備軍は ひっかからないAI
機能[1/2]
さらに、ファイルパスに含まれる単語相関性もAIが解析して、リスクを自動算出します。
例えば、Aさんの普段は触っていないファイルへの操作を不正可能性として認識します。
リスクをスコア化 異常行動とみなし、高リスクと判定 異常を検知/アラート 違和感のあるアクセスをすぐに表示 AI リスクスコアリング (パス名異常)AI
機能[2/2]
ネットワークフロー解析ツール Flowmonでなにができる?
帯域トラブルへの対応
•パケット解析と同様の解析が、5分間で実現可能 •帯域を占有しているユーザ(IP端末)を即座に発見セキュリティインシデントへの対応
•ネットワーク上で、いつ・誰が・何をしたか、を即座に解析 •ユーザの望ましくない振る舞いを、検知・報告・一覧(ログ)参照などで可視化想定外のマルウェア対策(標的型攻撃、ゼロデイアタックなど)
•アンチウイルスソフトでは検知できなかったマルウェアの活動を振舞検知により可視化(ADSライセンス使用時)その他
•過去のLogを参照し、フォレンジックの補助的な役割に利用可能 •ネットワーク証跡(一覧/ログ)による社内の規律保持やユーザによる不用意な行為の抑止効果Network上のトラブルを可視化して解決
• ネットワークトラフィックからフロー統計情報(NetFlow/IPFIX)を生成します
• NetFlow/IPFIXを外部コレクタに転送します
• ミニコレクタ機能付き
Flowmon Probe (プローブ:フロー生成機)
• Flowmon Probeもしくは、スイッチやルータなどの他ネットワーク機器からフロー統計
情報(NetFlow/IPFIX, sFlow)を取得・保管し、監視・分析します
• 複数のFlowmon Collectorからフローデータを転送収集し、集約して分析できます
Flowmon Collector (コレクタ:フロー分析機)
• ADS(振る舞い検知機能):ネットワークフローを監視し、セキュリティ面での監視・
分析を強化します
Flowmon ADS (コレクタ + セキュリティ拡張プラグイン)
Flowmonシリーズのご紹介
利用時、ネットワーク構成の変更は不要
■一般的なフロー解析システムの設置例 NetFlow 送出 sFlow 送出 フロー出力設定 フロー NetFlow対応機器 sFlow対応機器 ■Flowmonの設置例 Millar portより 送出 ポートミラー設定 フローコレクター フロー生成未対応機器 フロー送出ができない×
監視対象にできない 稼動機器の コンフィグ変更や 機器のCPUの 負荷の配慮が必 要 フロー生成未対応機器 NetFlow対応機器 sFlow対応機器 解析結果の閲覧 フローデータ を収集・解析〇
監視可 ・稼動機器の 設定変更は不 要 ・CPU負荷への 配慮は最小限 ・プローブ上のフローだけ なら解析も実施可 Flowmon Probe Flowmon Collector パケットをフローに変換 フロー 直接フロー収集も可 ・フロー解析が実施できる ネットワークが限られる 解析結果の閲覧 フローデータ を収集・解析 ・殆どのネットワークで フロー解析が可能 フロー フロー パケット パケット パケット Millar portより 送出 Millar portより 送出Monitoring Center 内のダッシュボード(トップ画面)
ユーザの環境に応じた独自の分析画面を自由に構成可能。
例)大阪拠点の帯域使用ホストTOP10、使用アプリTOP10
フローを利用したセキュリティ対策
•悪意のあるマルウェアのほとんどは、パターンマッチングにはひっかからなくなってき
ています。振る舞い検知によるマルウェア検知強化が必要です。
振る舞い検知によるセキュリティ強化
•セキュリティにおいて100%完璧を望むのは厳しくなってきています。そのため、
多方面から対策をし、お互いに補完し合うことが非常に重要です。
多方面でのセキュリティの相互補完
•監視カメラの抑止効果は抜群です。常に見られていることを意識することで、
規律が保たれ、不用意な感染も防げます。また、なにか問題が発生した後の
証跡確認としても大変有効です。
セキュリティ事故発生後の対策として
大量のデータコピーを 検知 【HIGHTRANSF】 疑わしい通信の可視化 【DHCPANOMARY】 【DNSANOMARY】
