インフォサイエンス株式会社 概要 設立 1995年10月 パッケージラインナップ 代表者 宮 紀雄 事業内容 プロダクト事業部 パッケージソフトウェア Logstorage シリーズの開発 SaaS事業 所在地 東京都港区芝浦2丁目4番1号 インフォサイエンスビル Logstorage : Clou

Infoscience Corporation

www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889

Logstorage、Logstorage-X

製品紹介と市場動向について

インフォサイエンス株式会社

プロダクト事業部 コンサルティンググループ

セールスチーム

小長谷 大祐

インフォサイエンス株式会社 概要

設立

1995年10月

代表者

宮 紀雄

事業内容

•プロダクト事業部

パッケージソフトウェア「Logstorage」シリーズの開発

•SaaS事業

所在地

東京都港区芝浦2丁目4番1号 インフォサイエンスビル

パッケージラインナップ

アジェンダ

1.なぜ、ログ管理が必要か

2.ログ管理製品市場動向

3.SIM/SIEM 導入検討の実情

4.Logstorage、X/SIEM製品紹介

5.導入事例

なぜログを管理しなくてはならないのか？

「ログ管理」の目的とは？

脅威対策

•

脅威の検出（標的型攻撃／内部情報漏えい）

•

フォレンジック（攻撃を受けた際の証拠保全

）

コンプライアンス

•

各種法令、業界／団体ガイドラインへのログ管理要件への

充足

システム運用

•

システムの状態把握

•

障害時の調査、解析

ログでないと検出できない脅威(1)

6

従来の対策は「入口・出口」でのポイントの対策

外部攻撃者

C&Cサーバ

ファイルサーバ

社員・職員端末

悪意のある

社員・職員

アンチウイルス

で防御

プロキシ・ファイアウォ

ールで外部通信の制限

従来はネットワークの入口・出口での防御や制限が中心だった

が・・・

アクセス制御で

不正なアクセス

の制限

デバイス制御で不

正な利用の制限

ログでないと検出できない脅威(2)

「入口・出口」対策の限界

外部攻撃者

C&Cサーバ

ファイルサーバ

社員・職員端末

悪意のある

社員・職員

マルウェアの検

知が困難に

マルウェアの巧妙化で外

部通信を抑止できず

入口・出口での個別の対策は限界に達しつつある

設定漏れ、ミスによ

る重要ファイルへの

アクセス

設定漏れ、ミスで不正

なデバイス利用

・アンチウイルスソフトのマルウェア検出手法の限界

・アクセス制御の漏れ、設定ミスを防止しきれない

ログでないと検出できない脅威(3)

8

「ログ管理」で侵入を前提とした対策へ

外部攻撃者

C&Cサーバ

ファイルサーバ

社員・職員端末

悪意のある

社員・職員

メール・ウイル

ス検知ログ

プロキシ・ファイ

アウォールログ

• システム内のログを横断的に収集・分析を行い、いち早く侵入

を検出

• 「侵入されていることを前提とした」対策へシフト

ファイルサーバ

アクセスログ

デバイス利用・ア

クセスログ

ログを横断的に

収集、分析して

侵入を検出

法令等に於けるログ管理要件

ログ管理に関する要件が明記されている法令・ガイドライン

発行者

タイトル

政府等

個人情報保護法

金融商品取引法

マイナンバー／番号法

政府機関等の情報セキュリティ対策

のための統一基準群

民間／ガ

イドライ

ン等

経済産業省

クラウドセキュリティガイドライン

PCIDSS（クレジットカード）

ISO27001/ISMS

組織における内部不正防止ガイドラ

イン

経済産業省

クラウドサービス利用のための情報セ

キュリティマネジメントガイドライン

10.10 監視

システムを監視することが望ましく，また，

情報セキュリティ事象を記録することが望ま

しい。

具体的な要件

10.10.1 監査ログ取得

10.10.4 実務管理者及び運用

担当者の作業ログ

10.10.2 システム使用状況の

監視

10.10.5 障害のログ取得

10.10.3 ログ情報の保護

10.10.6 クロックの同期

クラウド環境を含め、システムのログ管理を行うことは、セキュリ

ティを確保する上でもはや「前提条件」となっている

システム運用に於けるログ管理

10

システム運用に際してもログ管理は必須

ログを管理せず、サーバに保存しておくと・・・

管理者はいちいち各サーバにログインしてログを確

認する必要がある → ヒューマンコストの増大

サーバに障害が発生してしまうと、復旧するまでロ

グを見ることすら出来なくなる

障害発生

ログ管理を行うことで・・・

ログ管理システムに集約することで、管理者の負担を

低減し、重要な作業にリソースを振り分けられる

ログ管理システムに集約しておくことでログ確認が

可能、早期の原因究明が可能となる

ログ管理

システム

ログ管理

_システム

ログ管理

_システム

障害

「ログ管理」に必要な要件

「ログ管理」に求められる機能・要件とは？

ログを集める

•

多様なファイル、転送方式で

ログを集約する

•

侵入者からログを守る

ログを保存する

•

大規模なシステムではログが大量

に出力され、ストレージを圧迫

•

集約したログの安全な保管

ログを検知する

•

システム側で能動的にイベン

トを検出し、管理者にアクシ

ョンを促す

ログを調査する

•

大容量のログから必要なログを

横断的に高速・ピンポイントで

検索

•

レポートで定期的にレビュー

Logstorageはオールインワンで「ログ管理」に対応！

SIEM製品・統合ログ管理製品の違い

… SIEMと言えばリアルタイムのセキュリティイベント検知を主眼にしたツールを指し、

統合ログ管理ツールとは別ジャンルとされることが多い。

ログの蓄積と分析に重きを置く

のが統合ログ管理ツール（現在は国産製品が中心に導入が進んでいる）

であり、

標的型攻

撃など新しい脅威への対策に有効だが長期にわたる時間軸での分析には向かない

のが、現

在海外製品を中心に注目されているSIEMツールと考えればよいだろう。

キーマンズネット「不正行為も一目瞭然！統合ログ管理ツール」 URL : http://www.keyman.or.jp/at/30006863/ レシーバー Firewall ルーター スイッチ Windows ELC Agent ファイルサーバ Linux アラート API GUI Web アラート （メール、コマンド実行） インデックス

ログを集める点では機能は同じ

SIM/SIEM ツール市場規模 長期予測

単位：百万円

2,400

2,550

2,700

2,800

2,850

2,900

3,550

3,780

4,000

4,200

4,350

4,500

0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000

2016年

(実績)

2017年

(見込)

2018年

(予測)

2019年

(予測)

2020年

(予測)

2021年

(予測)

SIM

SIEM

年平均成長率

(CAGR)

4.4%

年平均SIM案件数

340件

年平均SIEM案件数

10件

※SIM導入費用7百万円、SIEM導入費用300百万円を平均額

と仮定した2016年度の大凡の案件数です。

出典：富士キメラ総研「2017ネットワークセキュリティビジネス調査総覧」

2016年度 SIEM製品市場シェア（金額）

出典：富士キメラ総研「2017ネットワークセキュリティビジネス調査総覧」

シェアの割合

昨年と同じ

1案件の規模

1～5億円

顧客層

超大手

海外SIEMの動向

McAfee SIEM

(マカフィー)

ArcSight

(Micro Focus)

Splunk

(Splunk)

RSA SA

(Dell)

構築パートナー拡充！

HPから事業継続

スキーマ不要！

UBA、パケット解析

2016年度 SIM製品市場シェア（金額）

LogRevi

21％

LogAuditor

19％

その他

23％

Logstorage

37%

出典：富士キメラ総研「2017ネットワークセキュリティビジネス調査総覧」

11年連続

No.1

絶えず進化

SIEM導入検討の実態

SOC / CSIRT の立ち上げ検討

SIEMの導入を検討

SIEM製品の市場調査

リモートSOC（MSS）利用検討

自社運用（PSOC）検討

自社での導入の延期、見送り

何のためにSIEMを導入するのか

トップダウンで検討が進められるSOC/CSIRT、そのなかで中心の製品となる「SIEM」への定義も曖昧。

SIEMを導入した後の運用イメージが確立しないまま、ツール選定が先行しているケースも少なくない。

・ センサーの一部監視のみ

・自社組織に合わせたカスタマイズが難しい

・ 情報セキュリティの専門部隊が作れない

_{・SIEMそのものが難解かつ超高額}

自社で継続的に運用できるツールがない

SIEM

＋深層学習

SIEM

＋機械学習

SIEM、または統合ログ

＋レピュテーション連携

統合ログ

＋マスタ連携

統合ログ

20

ゼロデイ・未知なる脅威を検知したい

普段と違う行動を検知したい

明らかな不正・違反を検知したい

監査用レポートを出したい

有事の際にログ調査したい

技

術

的

難

易

度

・

セ

キ

ュ

リ

テ

ィ

の

専

門

性

高

低

［要件］

［製品］

か

か

る

費

用

高

低

SIEM検討時の機能要件とかかるコスト

怪しい、グレーなログを検出するには莫大なコストが必要とな

る。

海外SIEM製品の導入とその後

高額・高機能な海外のSIEM製品を導入して失敗する事例が多く、その殆どが自社での運用を

断念している。莫大なコスト・労力を投じても、最終的には「属人的な運用」を脱却できず、

ログをとりあえず溜めているだけの超高級な箱と成り代わっている。

脅威対策

検討

SIEM

導入

MSS

設計運用支援

契約解除

MSS

自社運用

(MSS支援あり）

自社

運用

運用断念

（放置）

入口・出口に続いて

内部対策を検討する

数千～数億円規模で

海外SIEM製品を選定

セキュリティ会社とMSSを契約

サービス提供元が使う

SIEM製品を前提に支援

インシデントに対する

対応策を継続支援

✓ MSSの費用対効果見直し

✓ 自社運用切り替え

などでMSS契約終了

✓ 新たな脅威への対処が出来ない

✓ ログが読めない、ツールが難しい

✓ 英語サポートが厳しい

✓ EOSLが早い

SIEM導入検討のプロセス

MSS支援で順調

教育で組織強化

標的型攻撃・APTの対策で重要なログ管理

サイバーキルチェーンの各プロセスでマルウェアの活動を察知できるログが出力されている

「出典： IPA 高度サイバー攻撃への対処におけるログの活用と分析方法」

事前調査

_{メール送付}

標的型

C2サーバ

_通信確立

_{ハッキング}

内部

_乗っ取り

AD

目的データ

_奪取成功

_{消去・改ざん}

ログ

＜サイバーキルチェーン＞

「出典：役員の標的型メール開封率は従業員の1.5倍―NRIセキュアの攻撃シミュレーションで明らかに」

最長4年1ヶ月

マルウェアの潜伏期間は最長4年1ヶ月

標的型メール攻撃は必ず誰かが開く

一度侵入に成功したマルウェアは、その活動を検出されぬようログを消去・改ざんし、目的の

データを捜索し続けます。その時に重要となるのが、活動ログの

「改ざん防止」「長期保管」

「各ログの相関分析」

にあります。

標的型メール攻撃は

従業員で「19％」

、

役員で「31％」

の人が開封すると言われ、また、訓練

を重ねても

開封率0％を達成することは不可能

、という前提での対策が必要です。

SIEM検討の前に、現状のログ管理を把握する

ログの保管（とりあえず取っておく）

ログの調査（何かあったら検索する）

ログの定期チェック（定期的にレポートする）

ログのリアルタイム監視（常時監視）

統合ログ管理ツール

（内部漏洩対策・

外部脅威対策）

SIEMツール

（よりアクティブな

外部脅威対策）

「ログ管理」のステップ

SIEMを導入する前に、現在の「ログ管理」のあり方を見直す必要がある。

内部不正による漏えい人数の経年変化の割合

内部犯罪・内部不正行為

その他

2005年

10.2%

89.8%

2006年

18.0%

82%

2007年

28.3%

71.7%

2008年

4.4%

95.6%

2009年

21.9%

70.9%

2010年

8.4%

91.6%

2011年

7.1%

92.9%

2012年

1.2%

98.8%

2013年

0.004%

99.996%

2014年

97.3%

2.7%

2015年

3.7%

96.3%

2016年

0.6%

99.4%

漏えい人数

想定損害賠償額

約1,500万人

約3,000億円

※「(引用) JNSA2016年 情報セキュリティインシデントに関する調査報告書」

内部犯行に及ぶ過程を記録し犯罪を抑止する

人的セキュリティ対策

普段問題がない社員であっても、ふとした瞬間魔が差し、犯罪に手を染めるリスクが会社

組織には常に存在している。

内部不正をさせない仕組み作りが最重要となる

。

✓ 犯罪を難しくする（やりにくくする）

✓ 捕まるリスクを高める（やると見つかる）

✓ 犯行の誘導を減らす（その気にさせない）

✓ 犯罪の弁明をさせない（言い訳させない）

✓ 犯罪の見返りを減らす（割に合わない）

「出典： IPA組織内部者の不正行為によるインシデント調査」

物理セキュリティ（入退室・複合機）対策、資産管理、特権ID管理などを

導入する事で犯罪行為が難しい環境を作る。

監視体制強化、アカウント管理、アクセスログ管理を導入し、犯行が

見つかる可能性が高い環境を作る。

素行の悪い社員、悪意を持つ社員への定期的な教育の実施や罰則規定を強化

する。アクセスの形跡（ログ）から物的証拠を記録する。

職場環境改善に取り組み、上司・部下のコミュニケーション向上を図る。

証跡管理・モニタリングが機能している事を定期的なレポートで周知させる。

重要な情報資産に対する暗号化、USB等の外部媒体の使用禁止。

アクセス権の管理。

LOG LOG LOG LOG LOG

統合ログ管理

SIEM

✓ ログのモニタリング

✓ 定期レポート

✓ PDCA

使い続けられるSIEM製品「Logstorage-X/SIEM」

国産製品

直感的GUI

安心サポート

 国内IT部門で継続運用が行えるSIEM

 ドキュメント、ヘルプ、GUI全て日本語

 統合ログからSIEMまでCSIRTで運用可能

 フローチャート形式のルール設計GUI

 簡易フィルタ条件、メールアクション設定GUI

 コマンド不要の検索GUI

 日本語によるメールサポート

 メールによる設定支援、テンプレート提供

 お客様ご利用中バージョンの継続保守

(米国製

3大SIEM)

LogstorageとX/SIEMの立ち位置

外部データとの突き合わせ

ログの長期保管

インシデント管理システム

（チケット管理システム）との連動

分析・解析（相関分析）

運用の難易度

価格

既存SIEM

Logstorage-X/SIEM

高い

難しい

OSS

競合製品との差別化

従来の長期保管から高度なSOC運用まで幅広いニーズに対応する製品が求められる。

X/SIEMは「安価」で「簡単」を前提に様々なニーズに提案可能な製品を目指す。

Logstorage

A社

B社

C社

(分析エンジ

ンとして台

頭[米国製])

D社

X/SIEM システム構成図

ファイア ウォール ファイル サーバー ルーター NW機器 ストレージ リアルタイム バッチ レシーバー [ログ受信] インデックス [保管] アラート サーチ [ログの検索/加工]

_[GUI]

Web

管理者 WEBブラウザ [分析]

Logstorage-X/SIEM 構成図

※Logstorage Agent、SBT、ELC のライセンス使用権はX/SIEM1.0に標準で含まれております。

レシーバ機能

アラート機能

REST API

コマンド

検索機能

•

フローチャート編集機能

•

外部データ連係機能

•

相関ルール機能

•

傾向分析機能

•

インデックス高速検索

分析に最も使われるコマンド

27種類

•

|(パイプ)による多段検索

•

柔軟な突き合わせ機能

•

Syslog (udp/tcp)

•

FILE

•

カテゴリ定義

•

検索

•

チケット管理システム連携

※分析以外のコマンドは順次追加いたします。

Logstorage ＋ X/SIEM の構成

監査レポート

1/10

高圧縮

高圧縮・長期保管

ログソース

相関分析

（コマンド）

脅威DB連携

リアルタイム

アラート

リアルタイム転送

（syslog）

✓ サマリーデータ（集計結果・統計・履歴等）

✓ 突合結果データ

Logstorageのレポート用データとして戻す

長期保管が必要な

ログデータ

リアルタイム分析のみ（長期保管不要）のログデータ

長期保管・監査のLogstorage、リアルタイムアラート・相関分析のX/SIEM

組み合わせることにより、さらに完璧な統合ログ管理環境を構築する

Logstorage-X/SIEM ＋脅威（レピュテーション）データベース連携構成

脅威データベース連携サービス

マルウェア 侵入成功 C2 Proxy エンドポイント 資産管理Agent エンドポイント 資産管理Agent URLを含むアクセスログ FFRI脅威DB （レピュテーションDB） ハッカー 管理者 突合 悪性が高いサイト へのアクセスを発見

どれほど多層防衛をしても新種のマルウェアはすり抜けてしまう

実際に発見されたマルウェアから抽出された接続先

(※)

をもとに脅威DB

を定期更新

(※)

します。脅威DBとログを突き合わせることで「Black」の

アクセスをリアルタイムに把握することができます。

本サービスは、新種のマルウェアは必ず侵入してしまうことを前提と

して出口対策に役立ちます。

Internet （定期更新）

出口対策

※脅威DBの内容（URL、IPアドレス）、更新間隔はサービスの提供元により異なります。

サービス概要

提供元

対象

株式会社FFRI

URL、IPアドレス

株式会社カスペルスキー

IPアドレス

X/SIEM 機能紹介（アラート）

○ フローチャート表示機能

•

上流から下流へログが流れるイメージでルールを

作れる為、直感的な操作が可能となります

○ バンドル(纏める)設定

•

マッチしたパターンのログを一定期間保持する事

により、発生頻度、閾値、傾向から検知ルールを

設定できます。

○ マスタ連携・レピュテーションDB連携

•

届いたIPアドレス、ドメインが悪意のあるサイト

かを自動判別するレピュテーションDB連携や、

社員マスタ等と突き合わせしながら正規アクセス

か、など問題行動の検知ルールを作れます。

○ メールアクション(FreeMarker機能)

•

通知時のメール作成では、ログに含まれている文

字列を宛先や件名に挿入したり、IF文など高度な

機能により本文自動生成が可能となります。

X/SIEM 機能紹介（ダッシュボード）

○ グラフ/表のウィジット機能

•

任意のグラフや表をウィジット単位で複数設定可能です。ログの変化をリアルタイムに観察することで、問題とな

X/SIEM 機能紹介（送受信・転送）

○ レシーバー機能

•

フォルダ監視によるファイルレシーバー機能

•

Syslog(udp/tcp)レシーバー機能

○ ログ転送機能

•

Logstorageへリアルタイム転送が行えます。

•

通信プロトコルはLLTPとなり、ログの欠損防止が

可能です。

•

転送条件を設定することで、任意のログのみをフィ

ルタして転送が行えます。

○ ログフォーマット自動解析機能

•

一般的なログフォーマットであれば自動的に解析し

て受信します。(csv / kv / syslog 等)

○ 受信コマンド機能

•

ログ受信時に任意のコマンドを実行できます。外部

データ(マスタ等)との突き合わせ処理が可能です。

Logstorage Agent

機能

説明

ログの暗号化送信機能

暗号化してログを送信することができます。

ログ送信切り換え機能

送信先へ接続できない場合、接続先を切り換えて送信することができます。

システム高負荷時の動作抑制機能

ログ・ソース（ログ収集対象）が高負荷となったとき、メインのサービスの稼動に影響しないよう、ログ送信を一時

抑制します。

ブロックログの送信機能

複数行で1つの意味を持つログを解析し、1行のログとして送信することができます。

ローテートログの送信機能

ローテートされたログファイルを追跡し、ログを送信することができます。

送信ログのフィルタ機能

キーワードによるログのフィルタリングを行い、必要なログのみ送信することができます。

Logstorage Agent 機能

テキスト形式のログファイルやWindowsイベントログをリアル タイムにLogGateへ転送することができます。

ログをリアルタイムに送信可能

ログ転送に最適化された独自転送プロトコルである「LLTP」を 利用することで、ログ落ち（ロスト）を完全に防止することが できます。

独自プロトコルによるログ落ち防止

出力されているログを転送する、機能に特化したシンプルなプ ログラムなので導入先のサーバのCPUやメモリリソースの消費 を最小限にしてログ転送を行います。

シンプル機能・低負荷

<Logstorage Agentによるログ収集イメージ>

テキストログ、イベントログを監視し、LogGateに送信するクライアントツールです。

Logstorage ELC / ログ収集機能

OS / 製品

対応バージョン

Windows

Windows Server 2008 R2, 2012, 2012 R2, Storage Server 2012, Windows 7, Windows 8.1, Windows 10

NetAppストレージ

Data ONTAP 7.2.5～7.3.7, 8.0.1, 8.0.2, 8.1.0, 8.1.2～8.1.4, 8.2～8.2.3, 8.3～8.3.2, 9.0, 9.1

EMCストレージ

DART 6.0 / 7.1, VNX for File 7.0 / 7.1/8.1, VNXe OE 2.1 / 2.4, Unity 4.0.0/4.0.1

VMware

VMware vCenter Server Ver.5.0～5.5 Update3, Ver.6.0

VMware ESX(ESXi installable, ESXi Emvedded, ESX) Ver.5.0～5.5 Update3, Ver.6.0

【収集対象 対応バージョン】

イベントログをエージェントレスで取得

<Logstorage ELCによるログ収集イメージ>

<NetApp / EMCストレージからのログ収集イメージ>

エージェントレスでWindows / NetApp / EMCイベントログ、VMwareイベントを収集するサーバツールです。

※Windowsについては基本的にファイル共有の仕組みを利用してログを収集しますが、FTP / FTPSでのログ収集も可能です。その場合、ELC に含まれるログ送信用のモジュール (SBT for WindowsEvent)をWindowsサーバ上に設置する必要があります。

ログ収集実績 / 連携製品

［OSシステム・イベント］

・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD

［Web/プロキシ］

・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus

［ネットワーク機器］

・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia

［クライアント操作］

・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・秘文 ・SeP ・QND/QOH

［データベース］

・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL

［サーバアクセス］

・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control

［データベース監査］

・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium

［メール］

・MS Exchange ・sendmail ・Postfix ・qmail ・Exim

［ICカード認証］

・SmartOn ・ARCACLAVIS Revo

［その他］

・VMware vCenter ・SAP R/3 (ERP) ・NetApp (NAS) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server ・BOX ・Office 365 …その他

［運用監視］

・Nagios ・JP1 ・Systemwalker ・OpenView

［アンチウィルス］

・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris

［Lotus Domino］

・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher

［複合機］

・imageRunner ・Apeos ・SecurePrint!

日本国内で利用されているソフトウェア・機器を中心に

250種以上

のログ収集実績

【Logstorage アライアンス製品】

LanScope Cat

SecureCube / AccessCheck

CWAT

InfoTrace

MylogStar

IVEX Logger シリーズ

i-FILTER

MaLion

VISUACT

SSDB監査

PISO

SKYSEA Client View

Palo Alto Networks NGFW

Amazon Web Service (AWS)

Microsoft Azure

Logstorage ELC / ログ解析機能

ファイルアクセスなど複雑なイベントログを分かり易い内容に変換

ログ種別 内容 ローカルログオン ローカルからのログオン / ログオン失敗 リモートログオン リモートからのログオン / ログオン失敗 ファイルアクセス ファイルの読み込み / 書き込み / 削除 / 名前変更 / 印刷 プロセス起動・終了 プロセスの起動 / 終了 管理者操作 管理者(Administrators)操作 Windowsファイアウォール ファイアウォールの有効 / 無効、ルール作成 / 変更 / 削除、ポート許可 / ブロック システム設定変更 イベントログの削除 / 時刻変更 / タスクスケジュール登録 / サービス登録

【ELC for Windows 解析対象】

ログ種別 内容

ログオン・ログオフ NetApp / EMCストレージへのログオン / ログオン失敗 / ログオフ

ファイルアクセス NetApp / EMCストレージ上のファイルの読み込み / 書き込み / 削除 / 名前変更など

管理者操作 NetApp / EMCストレージ上での管理者操作

クラウド向けログ収集モジュール

各種クラウドサービス(SaaS)への取り組み

Box社より提供されているセキュアなファイル共有クラウドサービス「Box」、およびマイクロソフト社より提供されている

「Office 365」（Exchange, SharePoint, Skype, Excel, Word…等）の監査ログの収集・可視化・分析が可能です。

<Boxログ収集イメージ>

※クラウド向けログ収集モジュールは、BoxとOffice 365の各専用モジュールがあります。 Office 365で対応しているサービスは、AzureActiveDirectory / Exchange / SharePointです。

・いつ、誰が、何を、どのように操作したか？

・特定ユーザがある期間に行った操作は？

・どの接続元(IPアドレス)から操作が行われたか？

「

クラウド向けログ収集モジュール（※）

」を

活用してSaaSのログを可視化を実現!!

✓ 傾向分析 ✓ 不正アクセス検出 ✓ 利用状況把握

突合コマンド・オプション導入案件

42

Logstorageの構築から進み、突合要件のあるログソースのみを

突合コマンド・オプションを経由して収集する

各種マスタ

突合対象

ログソース

_{ログソース}

突合不要

突合レポート

✓ 顧客DB不正アクセス

✓ 許可時間外アクセス

✓ 申請外の入室

突合コマンド・オプション

（X/SIEM）

Logstorage

X/SIEM 海外製品リプレイス案件

海外SIEMからX/SIEMへのリプレイス

2019年に完全移行を予定

ルール名

詳細

ブルートフォース攻撃対策

同一アカウントによるログオン失敗が継続

していることを検知

ドキュメント不正アクセス

ドキュメントに対する不正アクセスを検知

標的型攻撃対策

C2サーバへのアクセス、プロキシを経由し

ないインターネット通信を検知

共有ファイル大量削除

同一アカウントによるファイル大量削除を

検知

不正外部接続通信

外部接続に関するゼロデイ対策

長期未使用ID利用

長期間使われていないアカウントの再利用

を検知

クライアントPC不正使用

クライアントPCの所有者以外のログオンを

検知

海外の高機能・超高額なSIEMでも使われるルールは10個程度

X/SIEM1.1で十分実現可能なルールであり、複雑なものではない

SIEM製品としての評価速報

（某セキュリティベンダ－：2017/09実施）

44

比較項目

_X/SIEM

某海外

SIEM

コメント

分類

機能

X/SIEM

_のみ

Logstorage

_＋X/SIEM

セキュリティ監視

ログ収集、ログ正規化、

ログ分析、ログ保管、

ログ検索、検索条件等

68

89

96

• アラート条件に大差なし

• 細かな検索条件が実装可能

• Logstorage追加でログ保管可能

レポーティング

ログ集計、集計方式、

_{レポート生成等}

₄₆

₇₉

₉₄

• 集計機能はあるが、レポート生成はできない

• Logstorage追加でログの集計レポート生成可能

脅威情報

レピュテーション情報、

_{提供タイミング等}

₁₀₀

₁₀₀

₁₀₀

• オプションでFFRIの今日情報提供あり

ユーザビリティ

マルチテナント、ユー

ザーインタフェース等

50

56

100

• マルチテナント対応不可能

• オペレータレベルで操作ができるGUIなし

※プログラミングスキルが必要

• Logstorageはログ集計用GUIあり

非機能

性能、可用性、拡張性、

バックアップ/リスト

ア、システム監査、製

品、セキュリティ等

81

83

96

• セキュリティ要件対応が弱い

※サーバOSやネットワークレベルで要対応

• Logstorage追加しても大差なし

総評

₆₉

₈₁

₉₇

※冒頭に記載

お客様環境内で限定したアラートの運用を行うことは可能と考える。

レポート機能、SIEM運用操作画面(GUI)など一部仕組み化が必要。

SOCのなかで使われるSIEMとしての機能はクリアしているが、

情報システム部が運用するツールとしてのGUIは今後も継続的に改善が必要！

不正アクセス検出後の自動アクション

判定：悪性サイト

コマンド

不正アクセス元のIPアドレスをブロック

マルウェア感染PCのアクセスを自動的に遮断する出口対策として使う。

① インターネットへ直接接続を試みる→NG

② マシンのキャッシュ情報からプロキシ経由でアクセスを試みる→NG

③ ユーザID/パスワードを使って正規アクセスを試みる→OK

④ URLをレピュテーションDBと突き合わせ、悪性サイトと判定された場合は遮断の

コマンドをファイアウォールへ送る

マルウェアの行動パターンをルール化し、予兆のあるマシンの洗い出しが重要となる

FFRI脅威DB （レピュテーションDB） 監査レポート 判定結果付与データ転送 http://www.aaaaaaa.com.adaf/user=asadfdsa プロキシ ファイアウォール 感染端末

パケットキャプチャからの分析

パケットキャプチャ型のサイバーセキュリティ対策ツール「VISUACT-X」と連携

し、繰り返される内部ハッキングを検出する。

ファイルサーバ 認証サーバ （AD) VISUACT-X VISUACT-X エンドポイント 資産管理Agent 端末 IPS/IDS NGFW

外部との通信ログを監視：

• C2サーバへのアクセス

• 大量アップロード

内部アクセスを監視：

• Logon Failureの大量発生

• クライアント→クライアントへのログオン試行

• 管理共有（¥c$ ¥d$）アクセス

• 不審ファイル書き込み試行

• ファイルサーバへの不明エラー（0x0000073）

• AD管理下でのローカルアドミンアクセス

エンドポイントを監視：

• 管理外端末からのアクセス有無

• セキュリティパッチ更新状況

• サーバからのLogon Failure

ログの統合監視：

• 各ポイントで発生するインシデントを起点に、他の

ログと相関分析、明らかな違反・不正を見つける

パケットキャプチャで

Windowsイベントログでは

取得できないログを取得する。

内部ハッキングで記録されたログ は削除、または改ざんする

※「VISUACT」はアズビルセキュリティフライデーが開発する製品です。

ブルートフォース・アタックの検出

• 10分以内に発生するログイン失敗のログの中で、同一のアクセス元IPアドレスや、同一アカウントが連続10回以上発生

した場合に通知する。

一定時間内に連続して届く文字列の検知

ユーザIDを変更 admin yamada suzuki sato tanaka ：

where _ts >= t“now - 3600 sec” and login = “failer” | stats –count user by user | rename count.user as cnt by.user as user | where cnt >= 10 | fields user cnt

210.190.0.1 210.190.0.2 210.190.0.3

✓ 使われるアカウント数を読めない

✓ 踏み台となるIPアドレス数は無数

攻撃対象のユーザ企業

(頻度指定のコマンド例)

where

≫ 現在時刻から3,600秒以内、かつloginフィールドの値がfailerのログのみ抽出する。

stats

≫ ユーザ毎の件数を集計する。

rename

≫ 通知時に分かりやすいカラム名へ変更。（count.user -> cnt , by.user -> user）

ファイル

長期に使われていないものを見つける

1月

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 1819 20 21 22 23 24 2526 27 28 29 30 31

2月

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 1819 20 21 22 23 24 2526 27 28 29 30 31

3月

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 1819 20 21 22 23 24 2526 27 28 29 30 31

4月

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 1819 20 21 22 23 24 2526 27 28 29 30 31

5月

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 1819 20 21 22 23 24 2526 27 28 29 30 31

6月

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 1819 20 21 22 23 24 2526 27 28 29 30 31

長期間、一度も出力されていなかったログを見つける

長期間、アクセスされることのなかったファイル

へのアクセスは、マルウェアの偵察活動や、離職

予定者のファイル持ち出し行為の恐れがある。

アカウント

未使用アカウント、非管理アカウントからのアク

セスの可能性が高く、ADへのログオンアタックや

内部犯行の予兆のリスクが高い。

PC

非管理PCの接続、持ち込みPCやモバイルからの

接続の可能性がある。管理台帳と組み合わせて管

理外PC接続アラートのルールにより早期発見が可

能。

IPアドレス・URL

マルウェアによる自動生成のURLや、許可外のIP

アドレスの可能性がある。レピュテーションDB連

携機能により、悪性の高いサイトへのアクセスを

検出する。

使われていなかったものが、ある日突然、使われている。

このような普段と違うログをモニタリングすることで、不審行為の早期発見が可能となる。

LOG

第一弾

X/SIEM 受信設定テンプレート

日本国内のセキュリティ事情に即したテンプレートを順次拡大

テンプレートは無償で提供！

1. PaloAlto

2. FortiGate

3. VISUACT-X

4. VISUACT-3

5. Windows イベントログ

6. Linux Syslog

7. Squid

第二弾

1. BIND

2. BIG-IP

3. CISCO

4. Proventia

5. SKYSEA

6. LanScope Cat

7. i-FILTER

※ご希望のテンプレートがございましたらご要望に応じて個別に作成させていただきます。

突合コマンド・オプション機能

ファイア ウォール ファイル サーバー ルーター NW機器 ストレージ リアルタイム バッチ レシーバー [ログ受信] インデックス [保管]

Logstorage-X/SIEM1.0 構成図

コマンド マスター データ リアルタイム ログ 突合処理 突合コマンド・オプション アカウント 名 リソース名 アクション yamada ¥¥fileserver¥人事総務¥社員名簿.xlsx 読み取り Suzuki ¥¥fileserver¥開発設計¥基本設計書.doc 読み取り Tanaka ¥¥fileserver¥開発設計¥基本設計書.doc 書き込み アカウント 名 社員ID 部署名 氏名 yamada 1000001 人事総務部 山田 太郎 Suzuki 2002301 企画部 鈴木 一郎 Tanaka 1123111 開発部 田中 次郞 （マスターデータ:csv） （生ログ） 突合処理

人事マスタ × ファイルアクセスログ

社員名簿とファイルアクセス時に出力されるログ

を突き合わせることで、関係が無い部署社員から

の不要なアクセスを発見できるようになります。

機器管理台帳 × デバイスIPアドレス

機器管理台帳（デバイスマスタ）に含まれてい

ないIPアドレスから出力されたログに対してフ

ラグを付与することで、管理外のPCやNW機器

を見分けることが可能になります。

残業・休出申請 × 入退出ログ

深夜時間の退室ログや休日の入室ログが事前申請

のある入退室かを申請台帳と突き合わせることで

申請外の出入りを発見できます。

脅威情報DB × src / dest ip(URL)

レピュテーションDB（脅威情報）とアクセス先/

元のIPアドレスを突き合わせることで、危険度の

情報をログ中に付与することができます。

Logstorage に X/SIEM の一部機能を使うことで突き合わせ処理の自動化を実現！

END

Logstorage、Logstorage-X 製品紹介と市場動向について

インフォサイエンス株式会社 プロダクト事業部

セールスチーム