ホーム製品・サービスNVCユニファイド・セキュリティサービス > NVCプライベートSOC運用支援サービス

製品・サービス情報

NVCプライベートSOC運用支援サービス

情報セキュリティ攻撃の現状

情報通信研究機構(NICT)は2015年2月17日、日本の官公庁・企業に対するサイバー攻撃観測・分析のために運用しているシステム「NICTER」の2014年の集計結果を公表しました。サイバー攻撃関連通信は2014年に約256億6000万件(観測点約24万アドレス)で、2013年の約128億8000万件(同約21万アドレス)からほぼ倍増しています。
また、IPA(独立行政法人情報処理推進機構)は、2015年5月27日、国内重要産業における標的型攻撃の情報共有の枠組みである「サイバー情報共有イニシアティブ」(J-CSIP)において、参加組織から情報提供された939件の攻撃メールを分析した結果、同一と思われる攻撃者から国内9組織に対し、巧妙かつ執拗な攻撃が31か月も継続していることを確認しました。 このような傾向がある中、次々と標的型攻撃による事件が報じられています。

この背景には、サイバー攻撃自体が犯罪組織のビジネスになっている点があげられます。ブラックマーケットで攻撃ツールやサービスを提供する組織も確実に存在しています。

Cyber Crime

例えば、SHODAN検索エンジン をつかうとコピー機やIPカメラなどインターネットからアクセスできるデバイスの設定不備やシステムの脆弱性情報を簡単に入手(検索)できることが広く知られています。このようにサイバー攻撃を行うこと自体が容易に出来る環境があります。また目的や意図が多様化したことにより、何から手を打つのが最も効果的なのか悩まれている企業も多いという声が聞こえています。

標的型攻撃の流れ

  • 第1フェーズ: 攻撃準備段階
    攻撃対象に関連のある組織への攻撃の準備として、メール情報の搾取等を行います。特徴として、ターゲット組織への初期潜入を成功させるため、同時にメール文面や、送付先を収集を行っています。
  • 第2フェーズ: 初期潜入段階
    初期攻撃として標的型攻撃メール(添付ウィルス)を送付します。それ以外に、Webを改ざんしてダウンロードサーバへ誘導したり、外部メディア(USB 等)を介在してウィルス散布等などの手法もあります。
    特徴としては、入口対策をすり抜け、システム内部に潜入することが目的となるため、成功したら素早く次の段階へ移行し、使用したツールなどは使い捨て状態となります。
  • 第3フェーズ: 攻撃基盤構築段階
    バックドア(裏口)を使った攻撃基盤を構築します。ウィルスのダウンロード、動作の指示、マルウェアの拡張機能の追加を行い、システム内部への攻撃基盤構築を完了させます。また攻撃を継続するために、構築した攻撃基盤を発見されにくく、再利用できる工夫を行います。
  • 第4フェーズ: システム調査段階
    ターゲットシステムにおける情報の収集し、重要な情報の存在箇所の特定します。
  • 第5(最終)フェーズ: 最終目的遂行段階
    ターゲットの重要情報の窃取し、組織情報(アカウント等)をもとに目標を再設定します。繰り返し攻撃を行うために有用な情報を搾取したり、組織に影響が与えられるような機密情報や個人情報などを搾取し、外部にあるサイトに情報を持ち出します。

CyberAttack

標的型攻撃対策

では、具体的にどのような対策が必要なのでしょうか。

Counter Measure to Cyber Attack

入口対策

第2フェーズの初期潜入段階で、目標組織の情報システム内部に潜入しシステム内部に通ずる「リモートコントロール通信経路(コネクトバック/コールホーム通信)」を確保するために攻撃が行われます。その対策として、ウイルスの侵入を防止、また万が一侵入しても拡散を防止する入口対策が必要です。

電子メール侵入対策 (標的型メール攻撃防御)
  • 送信ドメイン認証
  • IPレピュテーション
  • メールフィルタリング
  • ホワイト/ブラックリスト
Webサイト侵入対策
  • Webフィルタリング
  • Web経由アンチウィルス
外部デバイス侵入対策
  • 利用デバイスの許可/禁止
  • 不正デバイスの接続検知・通報
脆弱性管理 (侵入防止、拡散防止)
  • 脆弱性リスク管理支援

出口対策

近年、標的型攻撃はやり取り型や水飲み場型の出現、使われるマルウェアの高機能化などますます多様化しており、被害が後を絶ちません。原因の1つには、ウイルス対策ソフト等の入口対策を突破して侵入を果たした攻撃が情報システム内部で密かに活動しているのを検知できず、情報流出等の実害が発覚するまで攻撃に気付かないことが多いことが挙げられます。
つまり、第3フェーズ: 攻撃基盤構築段階で、バックドアの設置とそれを経由した外部との通信を食い止めることができれば、内部ネットワークを経由してシステム深奥部へ侵攻することを防ぐことができますので、この外部通信を抑止する出口対策が必要です。また、情報の持ち出しも防止します。

バックドア通信対策 (ファイアウォール機能強化)
  • 高性能ファイアウォール
バックドア通信対策 (不正アクセス遮断)
  • 高性能プロキシ
  • ファイアウォール+IPレピュテーション
バックドア通信対策 (ログ解析と遮断)
  • プロキシログレポート
  • ファイアウォールログレポート
  • IPS (侵入防止システム)
DLPシステムによる情報漏えい対策
  • Webフィルタリング
  • コンテンツ識別管理

内部対策

第4段階: システム調査で、社内の機密情報を探索するために、攻撃者はまずActiveDirectoryのようなシステムを狙います。これにより、ネットワークの管理者権限を入手し、各種サーバへの「スパイ活動」を行いやすくしています。このような企業内ネットワークにおけるマルウェアの拡散や盗聴活動を防止したり、監視するために「内部対策」が必要になります。

内部対策は、様々な検知ツール (サンドボックス、ファイルサーバ/データベースファイアウォール)、SIEMなどの分析ツール、デジタル・フォレンジックの導入ばかりでなく、組織内SOC(Security Operation Center)が必要になる場合もあります。

サンドボックス(sandbox)とは、外部から受け取ったプログラムを保護された領域で動作させることによってシステムが不正に操作されるのを防ぐセキュリティモデルを指します。

ファイルサーバ/データベースファイアウォールは、ファイルサーバ/データベースサーバと他のネットワーク機器との間に設置して、データベースへのアクセスをリアルタイムで監視し、不正アクセスを検知・遮断します。

SIEM (Security Information and Event Management) は、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析します。様々な情報ソースから発生するイベントログを一元的に管理することでセキュリティポリシー監視とコンプライアンス支援を行う「SIM(Security Information Management)」とセキュリティ脅威に対するリアルタイムな検知を行うことでセキュリティインシデントへの対策を行う「SEM(Security Event Management)」を組み合わせた製品です。企業などの情報システムを構成する様々なサーバやネットワーク機器、セキュリティ機器などからリアルタイムにログを取得し、外部からの侵入の試みやマルウェアの感染、機密情報の流出などが疑われる状況を察知して管理者に知らせますので、単体の機器の記録だけでは気付かない異常を、複数の機器の記録を突き合わせることで割り出すことができる場合もあります。

デジタル・フォレンジックとは、インシデントレスポンス(コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、 データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等を言う。)や法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言います。

SOC(Security Operation Center)とは、セキュリティデバイスやサーバのログを監視し、インシデントを発見する組織の総称です。危険がないかを常時監視する「警備員」の役割を担います。 今まで記述してきた様々な機器を総合的に監視する役割を持ちますが、組織内 (プライベートSOC) は、コストの観点と組織・技術的な観点が大きなネックになる場合もあります。

このような背景で、弊社は「NVCプライベートSOC運用支援サービス」を提供することになりました。

「NVCプライベートSOC運用支援サービス」概要

NVCプライベートSOC運用支援サービスは、インターネットによるVPN (Virtual Private Network) 接続で、顧客のセキュリティ対策システムとNVCのオペレーションシステムと結び、顧客のセキュリティ対策製品の監視、運用、解析、ログ収集等のサービスを実施します。

SOC Services

「NVCプライベートSOC運用支援サービス」適用範囲

  1. 新たに組織内SOCを立上げる場合は、構築検討、立上げおよび運用を支援
  2. 標的型攻撃に対応するために新たなセキュリティ対策ツールを導入する場合は、セキュリティ対応業務の変更や追加を支援
  3. SOC運用をリモート支援する場合は、業務連携の設計および運用を支援

「NVCプライベートSOC運用支援サービス」サービス項目

サービス概要 サービス項目
セキュリティ監視サービス
監視に必要な接続環境の設計/構築から機器特有のリソースや脅威を把握するためのイベント検出までの監視を実施
  • リモート監視
  • 稼働状況監視
  • セキュリティイベント監視
セキュリティ運用サービス
顧客セキュリティ対策システムやポリシーに準じた運用手順書を作成し、運用を支援
  • 運用設計構築
  • 定期シグネチャの適用
  • ポリシーチューニング
  • 設定情報管理
セキュリティイベント解析サービス
セキュリティイベントの解析からインシデント管理/対策案の提示まで実施
  • セキュリティイベントの検知/受付
  • トリアージ
  • インシデント応急対応
ログ収集サービス
イベント解析に必要なログの収集および保存
  • ログ収集システムのレンタル
  • ログ保存(3ヶ月を前提)

製品・サービスの詳細については、03-5714-2041 または下記フォームにてお問い合わせください。 問い合わせフォーム