サービス内容
以下の7つのメニューをご用意しております。
| Firewall監視 |
|
|---|---|
| IDS監視・運用 | |
| IPS監視・運用 | |
| マルウェア対策製品 監視・運用 | |
| 「クラウドWAF監視・運用サービス」の詳細は、こちらからご確認ください。 | |
| 「Deep Security監視サービス」の詳細は、こちらからご確認ください。 |
IDS/IPS機器をお貸出するサービスもご用意しております。お客様は新たな機器類の資産を所有することなく、「安心」かつ「安全」を手に入れることができます。詳しくは、お問い合わせください。
緊急、重要、警告、情報の4段階で危険度を表示し、対応方法を通知する
ログの収集からお客様へのご報告まで、MSS全体のフローは以下のとおりです。
危険度のEmergencyとCriticalは攻撃が成功している、成功した可能性が高い、もしくは脆弱性があり危険な状態になっていると分析されたものであり、監視サービスとしては「重要なインシデント」と位置付けています。
また、WarningとInformationalは、それ自体は実害が無いと判断したものですが、攻撃が存在した事実やその他注意するべき事実を把握するための「インシデント」として位置付けています。その後の検知状況により、危険度が上昇する場合があります。
サービス対応製品
MSSでは、下記の主要なファイアウォール・IDS・IPS・マルウェア対策製品に対して監視サービスを提供しています。各製品の詳細につきましては、「ソリューション・製品」をご覧ください。随時、最新の機器にも対応していきますが、下記に記載のない製品の監視をご要望の場合には、お問い合わせください。
| ファイアウォール | Cisco Systems Cisco ASA 5500-X |
|---|---|
| Cisco Systems Cisco ASA 5500-FTD-X | |
| Cisco Systems Cisco Firepower Threat Defense (FTD) | |
| Palo Alto Networks PA | |
| Palo Alto Networks VM | |
| Fortinet FortiGate | |
| IDS・IPS | McAfee Network Security Platform |
| Cisco Systems Cisco ASA 5500-X (Cisco ASA with Firepower) | |
| Cisco Systems Cisco ASA 5500-FTD-X | |
| Cisco Systems Cisco Firepower Threat Defense (FTD) | |
| Palo Alto Networks PA | |
| Palo Alto Networks VM | |
| Palo Alto Networks Prisma Access | |
| VMware NSX Firewall with Advanced Threat Prevention | |
| Fortinet FortiGate | |
| マルウェア対策製品 | FireEye NX |
| FireEye EX | |
| FireEye CM | |
| XDR | Palo Alto Networks Cortex XDR |
基本構成
MSSは、お客様側に設置されるサービス対象機器(ファイアウォール・IDS・IPS)やログサーバ、JSOC側のセキュリティ分析システム、セキュリティアナリストなど多くの機能やシステムによって構成されています。
ファイアウォール / IDS / IPS / マルウェア対策製品
お客様側に設置され、不正な通信をブロックする防護壁の役割や、不審な通信に対してログを発生させる監視の「目」となるシステムです。既に導入済みの各製品をJSOCで監視することも可能です。製品を新たに導入する際には、その製品のサービス導入を支援します。
ログ収集サーバ(ログ転送プログラム)
主にファイアウォールから出力されるログを収集するためのサーバです。独自のログ転送プログラムを使って、収集したログをリアルタイムにJSOCへ転送します。お客様側でのログ保存サーバとしても利用できます。
インターネットVPN(Virtual Private Network)
JSOCへのログ転送の際、インターネットVPNを利用することで通信を暗号化し、盗聴のリスクを回避します。IDS/IPS監視の場合、暗号化機能を利用することで、VPN接続をせずに直接インターネット経由で安全な通信が可能です。
セキュリティ分析システム
収集した大量のログを効果的・効率的に分析するための巨大なシステムです。ファイアウォール・IDS・IPS・マルウェア対策製品から収集した情報はすべてこのシステムへ送り込まれ、さまざまな手法で分析されます。
管理マネージャ
IDS・IPSを管理するためのコンソールにより、JSOCのプロフェッショナルが24時間最適な運用を実施します。JSOCに設置されている管理マネージャを使って運用する場合と、お客様側に設置した管理マネージャを使って運用する場合の2通りから接続方式を選択できます。
セキュリティアナリスト
セキュリティ分析システムやその他さまざまな情報を駆使して、24時間365日サービス対象機器を監視するセキュリティのプロフェッショナルです。攻撃を検知した際は、内容を詳細に分析し、お客様に的確なアドバイスを提供します。お客様は24時間いつでもセキュリティアナリストにコンタクトできます。
専用Webポータル
お客様が直面しているセキュリティ上の脅威、受けている攻撃、その対策方法など、さまざまな情報が掲載されたお客様専用のWebポータルを提供します。情報はリアルタイムに更新されるため、アナリストからのアドバイスやJSOCとのやり取りの履歴を含め、MSSに関するあらゆる最新情報をいつでもご覧になれます。
典型的な監視パターン
MSSのコアとなる「セキュリティ監視センターJSOC」では、お客様の環境などに応じてさまざまな機器、構成を監視しています。例として典型的な3つの監視構成パターンを紹介します。実際にはお客様の環境や要件などによって、最適な機器や構成などを提案します。
基本構成1.IPSセキュリティ監視
- IPSをインラインで設置し、1台で社内およびDMZの両方を監視
- 内部で発生したワームなどについては、IPS機能で外への拡散をブロック
- 外部からDMZへの攻撃は、IPS機能でブロックしつつ、セキュリティ監視で不審な通信も逃さず検知
基本構成2.本社:IPSセキュリティ監視 拠点:ファイアウォールセキュリティ監視
- 本社にはIPSを設置して監視を行い、事業所その他の拠点はファイアウォールを使ってセキュリティ監視を実施
- システム管理者を配置できない小規模拠点に対してファイアウォールセキュリティ監視を行うことで、セキュリティレベルを維持することが可能
- IPSとファイアウォールの監視を組み合わせることで、コストを抑えて効果的なセキュリティ対策を実現
基本構成3.マルウェア対策製品
- Web/Email用のマルウェア対策製品を設置することで双方のマルウェア脅威を検知することが可能
- メールに添付されたファイルをEmail用のマルウェア対策製品で検知、もし感染した場合は、Web用のマルウェア対策製品にて、C2サーバ(指令サーバ)へのコールバック通信を検知し、被害拡大を防止
MSSのより深い効果について
自社のセキュリティ対処状況の「見える化」
「不審者が家の周りをうろついている」「ドアをこじ開けられた」などの目に見える脅威や被害について、容易に気付くことができますが、サイバー攻撃は目に見えないため、マルウェアの侵入や不正アクセスなどに気づくことは困難です。サイバーセキュリティ脅威への対策は、まずは自社の置かれている状況をきちんと把握する、自社のセキュリティ対処状況の「見える化」が不可欠です。MSSは、この「見える化」を実現するサービスです。
以下は、JSOCによって可能となる「見える化」の具体例です。
1.イベント件数の推移(不振な兆候が見られないか)
2.最近発生した監視情報(いま何が起こっているのか)
3.現在対応中のセキュリティインシデントおよびそのステータス(発生している脅威への対応状況)
4.監視対象デバイスのリソース(デバイスが正常に稼働しているか)
これまで見えなかったお客様のセキュリティに関するさまざまな情報・状況を、いち早く分かりやすい形で見えるようにする。これがMSSを導入することによる大きな効果のひとつです。
ワームの被害件数が激減
MSSは、単に不正アクセスを見つけてお知らせする警報機の役割だけではありません。警報を鳴らすことによってお客様のセキュリティ対策への取り組み意識を向上し、それによって結果的に不正アクセスそのものの発生を抑えることができます。社内の体制がこれまで何かが発生してから動いていたリアクティブ(受け身)な対応から、何かが発生する前に対処するプロアクティブ(積極的)な対応へと変わっていくのも、MSSの効果です。
重要セキュリティインシデントの発生件数(1カ月あたり)
この2つのグラフは、MSSを導入したお客様において、実際に発生したワーム、ウイルス等の重要なセキュリティインシデント件数の推移を表しています。いずれもサービス導入当初は、毎月かなりの件数の重要セキュリティインシデントが発生していますが、導入約2年目を境にして急激にインシデントの発生件数が減少しています。
MSS導入前および導入直後の、
- 毎日のようにワームを示すアラートを大量に検知(お客様イントラネット内でワームが蔓延)
- 「ネットワークが重くなる」など目に見える障害が発生しない限り、ワームの存在に気付かず、対応が後手にまわる
という状況に対して、JSOCによる以下のサービス提供を継続しました。
- JSOCでいち早くワームを検知して連絡
- ワーム発生の連絡および今後の根本的な対策としてJSOCから以下をアドバイス
- ワームに感染しないためにはクライアントのパッチマネージメントが重要
- ワームの感染を拡大させないために初動対応が重要
- ワームに多数感染した場合にはネットワークごと隔離することが必要
地道な運営の結果、状況は大きく改善し、
- ワーム感染に関する連絡がJSOCから頻繁に届くようになったためお客様担当者の意識が向上した
- クライアントマシンへのパッチ適用期間が短縮された
- ワーム発生時の初動対応スピードが向上した
- 感染ホストの調査方法手順を確立して効率的に実施できるようになった
などの導入当初とは比較にならないほどの成果が見られ、セキュリティ対策への取り組みの変化と、ワーム、ウイルス等の感染発生件数の激減という具体的な効果に結び付いています。
このように、MSSは、単に監視してお知らせするサービスではなく、お客様のセキュリティ意識の向上につながり、安全が確保できる企業体質を実現する効果のあるサービスだと言えます。
「何も起きていない」ことを証明する意味
「うちのサイトはパッチもきちんと適用しているし、特に問題も発生してないからセキュリティ監視まではいらないよ」という意見には大きな誤解があります。「問題が発生していない」のは単に「問題が起きていることに気付いていない」という可能性があるからです。
不正アクセス手口の傾向は、目に見えないように、気付かれないように侵入して欲しい情報をこっそり奪っていくスタイルに変化しています。「本当に問題が発生していないのか?」を確かめることは困難です。
この「何も起きていない」ことを証明することもMSSを導入することによってお客様が得られる大きな効果です。何かが起きた場合は当然として、何も起きていないこともセキュリティのプロの目で確かめてお客様に報告する、それによってお客様は安心して業務を継続できます。効果が見えにくいセキュリティ対策への投資を、MSSは目に見える形でその有効性を証明します。
価格
個別にお見積もりいたします。お気軽にお問い合わせください。
