内容 企業における課題と情報リスク管理の提案統合ログ管理 RSA envision 概要 RSA envision による効果的なセキュリティ インシデント管理セキュリティ インシデントに対するRSA envision 活用例 RSA envision とRSA DLPの連携によるさらに効果的なセキ

効果的なセキュリティ・インシデント管理を

実現する手段としての統合ログ管理

RSAセキュリティ株式会社

2010年9月16日

2

©2010 RSA Security Japan ltd. All Rights Reserved

内容

企業における課題と情報リスク管理の提案

統合ログ管理

RSA enVision 概要

RSA enVision による効果的なセキュリティ・インシデント管理

セキュリティ・インシデントに対する

_{RSA enVision 活用例}

RSA enVision とRSA DLPの連携による

さらに効果的なセキュリティ・インシデント管理

まとめ

4

©2010 RSA Security Japan ltd. All Rights Reserved

環境の変化

従来の「情報セキュリティ」に対する考え方と

企業における課題

1. 保護すべき重要情報が増大

2. 重要情報を利用する人間が従業員

に限定されず、分散・拡大

3. 重要情報を扱うITインフラが変化・拡大

仮想化、モバイル、クラウドコンピューティング

4.順守すべき法律・規制の増加

IT担当部門の20%の時間を消費

5.脅威が変化・進化し、増大

情報セキュリティ確保により利便性が損なわれビジネス推進を阻害

?

ブランド保護

顧客サービス

重要情報の保護

法律・規制への

コンプライアンス

グローバル化

顧客の保護

技術革新

生産性

ビジネス推進の要素

ビジネス運営上の課題

課題： ビジネスリスクを引き起こす脅威が変化・進化し、増大

契約社員

特権ユーザー

特権ユーザー

特権ユーザー

特権ユーザー

ビジネス 分析 エンタープライズ アプリケーション レプリカ バックアップ ディスク バックアップ テープ SharePoint eRoom等 ファイルサーバー ディスク アレイ データベース （本稼働）

従業員（内勤）

アクセスポイント アクセス経路

顧客

アクセスポイント

パートナー

アクセス経路

従業員（リモート）

アクセス経路 VPN

Apps/DB

FS/CMS

Storage

Network

Endpoint

身元不明の

ユーザーへの

IP情報提供

IP情報の搾取

暗号鍵搾取、

アプリ、DBの

ハッキング

詐欺

クレデンシャルの

盗用

エンドポイント

での情報損失

電子メールや Webメールでの 情報漏洩

特権ユーザー

侵害

不適切な

アクセス

テープの

紛失や盗難

USBや印刷に

よる情報漏洩

不正アクセス

意図しない

情報配信

認証済みの

ユーザーによる

誤使用

廃棄ディスクから

の読み取り

6

©2010 RSA Security Japan ltd. All Rights Reserved

Information Risk Management（情報リスク管理）

企業の最重要資産である情報を保護し、支障のない活用を可能にする戦略

保護すべき情報を中心に考える

ビジネス上の重要度の視点から情報を考え、

その情報がどのような脅威にさらされるのかを

明らかにする

ビジネス・リスクの高いものに優先的に対処

大きなビジネス・インパクトを与えるような脅威

へのセキュリティ対策を優先的に実施し、リスクを

低減する

一回限りではなく、共通で適用可能にする

実施するセキュリティ対策は、様々な

コンプライアンスや企業ポリシーにとって共通の

ベストプラクティスとなるように適用・実践する

Endpoint

Network Apps/DB FS/CMS Storage

リスク

リスク

情報リスク管理の実践により、効果的なセキュリティ投資を可能にし、

情報を積極活用したビジネス目標達成に貢献

情報リスク管理のフレームワーク： プロセス

セキュリティ・ポリシーの定義

ITインフラ上にある重要情報の全ての所在を明らかにし、

ビジネス・リスクの大小に応じて分類、リスクの大きい情報

をどのように保護するかポリシーを決定し、定義

データ自体、データを利用する人、データが流通する

ITインフラ

検出（発見）と監視

保護対象となる情報を検出し、監視。

コントロールの執行

定義されたポリシーを執行するために、コントロールの

ためのフレームワークを確立し、適切なコントロールを実施

データのコントロール

アクセスのコントロール

監視、監査とレポート

コントロールの実施が適切に機能し、ポリシーが

順守されていることを記録し、監査

ポリシー

ポリシー

8

©2010 RSA Security Japan ltd. All Rights Reserved

情報リスク管理を支援する

RSAセキュリティのソリューション群

エンドポイント

エンドポイント

ネットワーク

ネットワーク

アプリケーション／

_{データベース}

アプリケーション／

_{データベース}

ファイルサーバー／_{コンテンツ管理システム}ファイルサーバー／_{コンテンツ管理システム}

ストレージ

ストレージ

ポリシー

ポリシー

検出（発見）と監視

セキュリティコンサルティング： リスクアセスメント、情報クラシフィケーション等

データ損失防止：

Data Loss Prevention Suite – 検出(Discover)モジュール

監視、監査とレポート

セキュリティ・オペレーション： プランニング、監視・インシデント対応、定期レポーティング

セキュリティ情報とイベント管理：

RSA enVision

データ・コントロールの執行

アプリ暗号化：

RSA BSAFE

コントロールの執行

暗号鍵管理：

RSA Key Manager

データ損失防止 ：

Data Loss Prevention Suite – 執行(Enforce) モジュール

アクセス・コントロールの執行

認証：RSA SecurID, RSA Adaptive Authentication, RSA Digital Certificate Solutions

アクセス管理：

RSA Access Manager, RSA Federated Identity Manageｒ

フィッシング対策：

RSA FraudAction

セキュリティ・ポリシーの定義

CSOアドバイザリー： セキュリティ戦略からポリシー策定

セキュリティ・アーキテクチャとデザイン構築 ：プランニングから実装まで

10

©2010 RSA Security Japan ltd. All Rights Reserved

統合ログ管理アプライアンス：

_{RSA enVision}

3つの視点で、セキュリティ情報およびイベントを管理

サーバー

ストレージ

アプリケーション/

データベース

セキュリティ

機器

ネットワーク

機器

コンプライアンス

への容易な対応

監査

報告

セキュリティ

オペレーションの

強化

フォレン

ジック

アラート

/

相関分析

IT とネットワークの

オペレーション最適化

可視化

ネットワーク

ベースライン

ログ管理

専用設計の

データベース

(IPDB)

RSA enVision ログ管理プラットフォーム

「

_{RSA enVision」の特長とお客様メリット}

特 長

お客様メリット

アプライアンス

ハード＋ソフト一体型による導入のし易さ

短期間でのシステム構築、基本的にエージェントが不要

運用管理工数の軽減

独自データベース

生ログを高圧縮で保存・管理しHDDを効率利用（最大94％）

高パフォーマンスな処理でログの取りこぼしを防止

ログデータを秘匿性の高い状態で保存・管理

豊富なテンプレート

1,400種類以上のレポートテンプレートを同梱

120種類以上の相関分析ルールを同梱、導入後即使える

豊富な導入実績

ワールドワイドで2,200社以上の導入実績（国内200社以上）

Gartner Magic Quadrantでは7年連続“Leaders”のポジション

2009年度出荷金額No.1：

ミック経済研究所「情報セキュリティ市場の現状と将来展望2010」

富士キメラ総研 「2010ネットワークセキュリティ ビジネス調査総覧」

拡 張 性

エントリーモデル(ES-560)からのスモールスタートが可能

12

©2010 RSA Security Japan ltd. All Rights Reserved

ログの分析

ログの保存・管理

アラート イベント

並行処理

メタデータ

統合ログ管理

集中的なログの収集、保存・管理、分析および活用

Windows

サーバー

Windows

_サーバー

Windows

サーバー

ファイア

ウォール

ファイア

_ウォール

ファイア

ウォール

侵入検知システム

侵入防止システム

侵入検知システム

_{侵入防止システム}

侵入検知システム

侵入防止システム

データベース

_{データベース}

データベース

SAN/NAS

ストレージ

SAN/NAS

_{ストレージ}

SAN/NAS

ストレージ

ログの収集

レポート （オンデマンド） レポート （スケジュール） ダッシュボード 表示 アラート スクリプト実行 100101 110010 010101

未サポート

デバイス

活用

RSA enVision による効果的な

セキュリティ・インシデント管理

14

©2010 RSA Security Japan ltd. All Rights Reserved

セキュリティ脅威に対する包括的な対策

抑止

脆弱性を持つ

システムや箇所

への事前対応

防止

すべての行動の

監視・記録の

しくみづくり

検出

異常や不正等の

早期発見とリア

ルタイムの通報

論理的セキュリティ

人的セキュリティ

物理的セキュリティ

情報セキュリティ対策

回復

問題の原因究明

と修正処理や

修正計画策定

セキュリティ事故発生

事故を前提とした対応

予防

内閣官房情報セキュリティセンターによる情報セキュリティ政策会議の

「第

2次情報セキュリティ基本計画」では「事故前提社会」への対応力強化を強調

予防（抑止、防止）

–

資産管理システム、脆弱性評価システムや脆弱性データベース等により、脆弱性を

持ったクリティカルなシステムを洗い出し、最新のセキュリティ・パッチを適用

–

ID管理、認証強化とアクセス管理を包括的に行うことにより、情報利用者の特定と

情報へのアクセスをコントロール

–

統合ログ管理システム等を利用し、情報利用に関するすべてのアクティビティを

包括的に記録し、改ざんされないよう保管

検出

–

複数システムのログの横断的な監視や監視対象リストの活用により、

異常な状態をリアルタイムに検出し、適切な担当部門へ通報

回復

–

参照可能なログなどから問題分析や原因究明を実行

–

分析結果により、事後対応を決定・実行 （セキュリティ対策の修正を含む）

–

インシデントレスポンス・ツールなどにより、対応状況を常時把握

セキュリティ・インシデントにおける予防と事後対応例

16

©2010 RSA Security Japan ltd. All Rights Reserved

統合ログ管理ツールにより解決される課題

リスクに基づいたリアルタイムのイベント

優先順位付け

リスクに基づいたリアルタイムのイベント

優先順位付け

リアルタイムでのセキュリティ

状態の把握が難しい

修復とリカバリに要するコストの低減

修復とリカバリに要するコストの低減

調査にコストと時間がかかる

大量の生ログやイベントの

処理が困難

ITセキュリティ担当者が

手作業でログの収集と

検索を行っている

すべてのイベント・ソースへアクセスする

スムーズなログ収集

すべてのイベント・ソースへアクセスする

スムーズなログ収集

完全な情報ライフサイクル管理プロセス

完全な情報ライフサイクル管理プロセス

ビジネス価値の向上に利用できる

ITリソースの増大

ビジネス価値の向上に利用できる

ITリソースの増大

セキュリティ担当部門が

IT環境を可視化できていない

セキュリティ・インシデント管理のベスト・プラクティス

リアルタイムのインシデント検出

発生している多数のイベントから、本当に重大なインシデントを

リアルタイムに洗い出し、対応することを可能にするような情報を提供

リアルタイムのインシデント検出

発生している多数のイベントから、本当に重大なインシデントを

リアルタイムに洗い出し、対応することを可能にするような情報を提供

エンドツーエンドのインシデント・ハンドリング

インシデント・ハンドリングのプロセスをクローズド・ループで実現

エンドツーエンドのインシデント・ハンドリング

インシデント・ハンドリングのプロセスをクローズド・ループで実現

セキュリティ・オペレーションの可視化

クリティカルな脅威や脆弱性情報の把握、

セキュリティ・オペレーションやその管理の有効性の評価を容易に理解

セキュリティ・オペレーションの可視化

クリティカルな脅威や脆弱性情報の把握、

セキュリティ・オペレーションやその管理の有効性の評価を容易に理解

18

©2010 RSA Security Japan ltd. All Rights Reserved

リアルタイムのインシデント検出

6つのカテゴリの情報洪水の中から重要インシデントを特定

インシデント

相関分析

数千ものセキュリティ関連イベント

数十億ものイベント

!

!

!

優先度の高いイベントを抽出

情報洪水の中から重要インシデントを発見

インシデント

検出

200種類以上の

ログデータ

イベント・ソース

ナレッジベース

IT資産管理システム

からの情報

脆弱性評価システム

による情報

相関ルール、

フィルタ、監視リスト

最新の

脆弱性情報

6つの異なる種類の情報ソースを突き合わせ

リアルタイムのインシデント検出： 例

アラート

RSAの

専門知識

攻撃を受けたことを検知

IDS

脆弱であることを把握

脆弱性・アセット スキャナ

重要情報を持つ資産であることを認識

コンフィギュレーション

管理データベース

RSA enVision

分析担当

攻撃

検出すべき情報例

内容

通常と異なるユーザーの行動

度重なるログオン失敗や許可されていないシステムへの

アクセスなど、通常とは異なる認証やアクセスコントロール

リスクが高い脆弱性と脅威

クリティカルな

IT資産における高リスクな脆弱性や

脆弱性を持つ

IT資産への攻撃

ネットワーク上の異常なアクティビティ

ネットワークの通常動作からの逸脱や、ポリシーに反する

ネットワーク上のアクティビティ

クリティカルで脆弱性の

あるサーバーが攻撃を

受けたことを認識

20

©2010 RSA Security Japan ltd. All Rights Reserved

エンドツーエンドのインシデント・ハンドリング

インシデントのオープンからクローズまでワークフローを一元管理

3

rd

_{パーティ製}

インシデント・

ワークフロー

管理ソフトウェアへ

再アサイン

グループから

オーナーシップを移管

説明追加；

ログ追加；

クローズ

自動的にインシデントのエスカレーション

（システム障害など）

エスカレート

記録の生成

自動的にアサイン・プライオリティ付け

RSA enVision

ログ管理データベース

自動的なタスクのクローズ

通知

作業中の

キュー

説明追加

サードパーティ製インシデント・ワークフロー管理ソフトウェア

例：

BMC Remedy, HP Service Manager等

インシデント管理機能で、対応状況をオープンからクローズまで管理。

セキュリティ・オペレーションの可視化

クリティカルな状況のリアルタイムの把握

最も脆弱な

IT

資産のリスト

（重大度別）

最も脆弱な

IT

資産のリスト

（重大度別）

最も脆弱な

IT資産のリスト

（ビジネス上の重要度別）

最も脆弱な

IT資産のリスト

（ビジネス上の重要度別）

脆弱性

(重大度別）

脆弱性

(重大度別）

脆弱性スキャン

を最近実施して

いない

IT資産

脆弱性スキャン

を最近実施して

いない

IT資産

22

©2010 RSA Security Japan ltd. All Rights Reserved

セキュリティ・オペレーションの可視化

セキュリティ・オペレーションの有効性評価

オープンタスク状況

(オーナー別）

オープンタスク状況

(オーナー別）

オープンタスク状況

(優先度別）

オープンタスク状況

(優先度別）

最近更新された

タスク

最近更新された

タスク

インシデント・レート

インシデント・レート

セキュリティ・インシデントに対する

RSA enVision 活用例

• コンプライアンス違反に対して

• 不正アクセスに対して

24

©2010 RSA Security Japan ltd. All Rights Reserved

コンプライアンス違反に対する活用例

特権ユーザーの行動を監視し、アクティビティ・レポートを自動生成

特定ファイルへアクセスしたユーザーの履歴

特権ユーザーによる複数システムに

またがったアクティビティ履歴

例： 特権ユーザーの行動監視し、不正を早期発見

特権ユーザーがアクセスしたファイルの履歴

コンプライアンス違反に対する活用例

相関ルール活用で意図的なログ改変による不正の発見

下記のログ収集対象のどれかで

ログの改ざんや停止

、

システムシャットダウン

が実施された場合、アラートを発生

–

Windows サーバー

–

Cisco IDS, ルーター、スイッチ、コンテンツエンジン

–

Juniper ルーター、ファイヤウォール、VPN

–

Unix (Solaris, AIX)

26

©2010 RSA Security Japan ltd. All Rights Reserved

不正アクセスに対する活用例

事件例 概要：

退職した元管理者が同僚の

_{IDとパスワードを使って不正アクセスを試み}

個人情報を持ち出そうとした

–

元従業員は、管理者権限を持つ元同僚の

“bell” のIDとパスワードを知っていた

–

退職後に、個人情報が保持されているメールサーバーが搭載されている

Windowsサーバーにアクセスし情報の搾取を画策

–

管理者のみ認められていたリモートアクセスで接続し、

VPN機器はデフォルト

のパスワードが使用されていたため企業ネットワークにアクセス成功

–

Windows サーバーについてはパスワードが変更されていて、在籍当時の

ものとは異なったため容易にアクセスできず失敗

• 特定のサーバーに対して、リモートからの異常な回数の認証失敗を

相関ルールにより発見

• 影響を受けたサーバーをダッシュボードからドリルダウンで特定し、

そのログを調査し、原因を究明

対応例：

特定システムに対してリモート接続からの

異常な回数の認証失敗が起きていないか？

不正の前兆として

特定サーバー上で

異常な回数の認証

失敗を確認

異常が起きた場合、ダッシュボード上に即時に反映されるよう設定

28

©2010 RSA Security Japan ltd. All Rights Reserved

異常検出後、アラートの詳細を調査

異常検出後、アラートの詳細を調査

さらにドリルダウンを続け、アラートの詳細を確認し、原因を特定

相関ルールに合致したアラートの説明

①

VPNサーバ接続成功ログ(connected)取得時に、ログオンユーザ名をキャッシュ

②一定時間内（例：

10分）に①でキャッシュされたユーザ名を保持

③ファイルサーバへのログオン失敗

(Logon Failure)、

かつ①でキャッシュしたユーザ名と同一の場合はアラートを発出

30

©2010 RSA Security Japan ltd. All Rights Reserved

RSA enVision と

RSA DLPの連携による

企業

IT

インフラ

RSA enVision と RSA DLP の連携

「

Context-Aware」 に 「Content-Aware」の要素を強化

DLP Datacenter DLP Network

DLP Endpoint

IT

環境下のログ

サーバー、データベース、

IPS/IDS

、ファイアウォール、

アプリ

IT

資産の

脆弱性情報

IT

インフラ

構成情報

重要・機密情報

保管されている

情報

利用中の

情報

共有中の

情報

情報の内容を基にしたインシデントの

タイムリーな検出と対応を可能に

32

©2010 RSA Security Japan ltd. All Rights Reserved

セキュリティ・インシデントによる影響度の分類

アンチウイルスソフトが

マルウェアを発見

DLP がネットワーク上への

情報の流失を検知

_{マルウェア感染拡大に}

ついて調査

DLP により、結果として

機密情報の紛失を把握

DLP Network

RSA enVision

まとめ

情報の爆発的な増大、利用者の拡大、インフラの変化、脅威の

変化・増大、法律・規制の増加など様々な課題に対応するには、

従来型のセキュリティ対策ではなく、

情報リスク管理によるシステムとしてのアプローチが有効

様々なセキュリティ脅威へは予防的統制も重要だが、

発見的統制による事後対応力の強化が

ビジネス・リスクの軽減に効果を発揮

統合ログ管理プラットフォームである

RSA enVision の活用に

より、効果的なセキュリティ・インシデント管理を実現

34

©2010 RSA Security Japan ltd. All Rights Reserved

http://japan.rsa.com

e-mail: info-j@rsa.com