多種多様なサイバー攻撃の脅威に 対峙するアプローチ 日本ヒューレット・パッカード株式会社 HPエンタープライズ・セキュリティ・プロダクツ統括本部 シニアセキュリティセールススペシャリスト 堀田 昌昭 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 現状 クラウド 膨大なデータ SDN 膨大な ソリューション 物理 2 増大するコストと 複雑性 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 1,000超のセキュリティベンダー その結果(1) 243 日 侵害検出までに要する平均日数 2012年 3 1月 2月 3月 4月 5月 6月 7月 8月 9月 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 10月 11月 12月 2013年 1月 2月 3月 4月 その結果(2) 2009年以降、攻撃の解決に要する時間は 増加の一途をたどっている 130% 4 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 その結果(3) 860万 データ侵害にともなうコストは平均 5 $ © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 サイバー攻撃の分業化による高度な攻撃 調査 侵入 探索 調査専門家 重要データ 探索専門家 侵入専門家 データ取得専門家 入手 持出専門家 6 持出 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 解決のためのアプローチ © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 膨大なデータとは? Aのログ、Bのログ…DDのログ…ZZZZZのログ ロ グ ロ グ ロ グ ロ グ ロ グ 8 ロ グ ロ グ © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ロ グ ロ グ ロ グ ロ グ 膨大なソリューションとは? 様々な攻撃フェーズに対する様々なソリューション 9 検知系 拒否系 停止系 緩和系 ターゲットの情報収集 Web分析 ファイア ウォールACL コード/マルウェアの作成 ネットワーク IDS ネットワーク IPS なりすまし/ダウンロード への誘導 警戒ユーザー プロキシ フィルター ゲートウェイ AV キューイング 悪意あるファイルの実行 /URLへのアクセス ホストIDS パッチ DEP マルウェアインストール ホストIDS chroot アンチ ウィルス 遠隔操作 ネットワーク IDS ファイア ウォールACL ネットワーク IPS 外部への情報持ち出し 監査ログ © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 誘導系 ターピット DNS リダイレクト QoS ハニーポット 増大するコストと複雑性とは? 膨大なデータ X 膨大なソリューション = 45 40 35 30 25 20 15 10 5 0 2011 2012 ログ量 10 2013 専門性 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 2014 人員 膨大で複雑なデータを実用的なインテリジェンスに変換 相関分析によりインサイダー脅威およびAPTに対抗 (パターン+時間) 収集/相関付け 11 検索 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 分析 実用的なインテリジェンスに変換する意味 対応時間の短縮とコスト削減 1 29 300 セキュリティ事故 12 重要なインシデント ヒヤリハット © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ここが無ければ 投資は無駄! • ヒヤリハットの相関解析 • 業務レベルのリスク • 監査法人の着目点 • ネットワーク機器のログ • サーバーのログ • アプリケーションのログ リアルタイムだけでなく長期にわたる攻撃解析が必要 人力では不可能 調査 侵入 探索 調査専門家 侵入専門家 入手 持出専門家 13 持出 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 重要データ 探索専門家 データ取得専門家 ソリューション=統合インテリジェンス (SIEM) SIEM (Security Information and Event Management) ? 14 先進性 利点 収集 様々なデータソースから情報収集 包括的なデータ収集 保管 生データを正規化およびカテゴリー分けの上、 ログ保管のコスト削減と機械データの統一 高圧縮して膨大なデータを保管 化 検索 テキスト検索で膨大なデータを瞬時に検索 ログやイベントの解析のためにログや イベントの専門家が不要 統合 監視や解析したITセキュリティの単一ビュー セキュリティインシデントの迅速な発見と 解決 相関 リアルタイムで各種データソースから集めた 全てのイベントを相関 根本原因とビジネスインパクトを分離し プロアクティブに問題を解決 協調 高コストパフォーマンスで低TCO 自動化された包括的で継続的な監視が可能 なことによる安心感 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 HPのSIEM - ArcSight IT SOC (セキュリティオペレーションセンター) OS、データベース、ストレージ IPS、ルーター、スイッチ、 ファイアウォール、DLP サーバー、IDアクセス管理、 ネットワーク 15 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ArcSight使用例 #1: 多すぎる情報、少なすぎる時 間を解決 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ArcSightを使用して情報を統合 課題 利点 • • • 複数のコンソール/画面やIDが重荷 • • 各種各様のデータソースにわたるクロス相 関の欠落 • • • ユーザーごとの解析や複数機器間のIPごとの解析は途方 もなく膨大な作業 膨大な量のログに対する不十分な解析 • • 集約と集中レポートが必要 リアルタイムなコンテキストのイベント データへの適用能力 • 17 IDS、IPS、ファイアウォール、プロキシ、その他 (職務 の分離度合いで大きく変化) あるツールで定義されたモデルは、他のツールで発生し たイベントには意味が無い © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 複数データソースからの収集 よりよいコンテキスト提供のための 情報相関 前回の発生に基づいたパターン推測 ArcSight使用例 #2: 侵入されたのか?を確認 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 侵入されたのか? 課題 利点 • • • • フォレンジック調査と解析 • すべての特権操作は決められた期間に実行されたか? • その期間にどのファイルを削除したか? • どこかへコピーしたファイルがあったか? • APTやインサイダーの脅威を継続的に監視 • 疑わしいDNS通信?ゾーン転送か、ADのコンテンツ盗難 か? • ファイアウォールログ解析 • すべてのDENYをIPごとにチャート化 • 最近解雇された社員による過去6ヶ月内の構成変更は あったか? • 様々な規制に関する自動レポート 19 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 複数データソースからの収集 データの正規化とカテゴリー分け 前回の発生に基づいたパターン推測 フォレンジック解析例 20 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ファイアウォールログ解析例 21 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ファイアウォールログ解析例 (2分間のDENY数) 22 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ArcSight使用例 #3: ビジネス要件に対応 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ビジネス要件 課題 • • • • 24 PCI DSS コンプライアンス SOX 監査レポート ITIL 変更の監査 不正行為の検知 利点 • • • • © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 複数データソースからの収集 継続的な監視 長期保存 コンプライアンスを証明するため の、長期にわたるデータの検索/レ ポート/解析 監査とコンプライアンス 25 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 様々な業界で使用されるArcSight 金融サービス ヘルス/ライフサイエンス 通信/メディア/エンタテイメント 26 公的機関 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 エネルギー 消費者向けウェブ 小売 金融 主な課題 • エンドツーエンドの金融プロセス の安全確保とトランザクションの 担保 • 顧客と金融データの保護 • すべての規制に関するコスト効率 のよいコンプライアンス • リスクを可視化しながらの運用 • 分散した資産(支店やATMなど)の 境界の安全確保 • リモートの社員や契約業者の監視 • 統合管理や統合された資産やイン フラの安全確保 27 主な使用例 • 自動制御とレポートを使用した コンプライアンス監視 • 重要なデータの保護 • ユーザー監視: 特権ユーザー、 契約業者、エージェント、社員 • 不正検知のためのアプリと トランザクション監視 • コアプロセスのインフラ監視 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 通信 主な課題 • コアネットワークの安全確保 • 規制対応やコンプライアンス準 拠の自動化とリスクの監視 • 監査データの長期保管 • 監視やプロビジョニング用 管理ネットワークのセキュリテ ィ • 顧客用ポータルサイトの セキュリティ • 顧客とビジネスデータの秘密維 持 • 販売店接続部分のセキュリティ 28 主な使用例 • 境界やデータセンターのSOCを 設立してのセキュリティ監視 • コンプライアンス監視と レポート • 重要なデータとユーザーの 全方位監視 • 販売店の行動監視 • 不正注文の監視 • 3G/4Gネットワークの保護 • 顧客ポータルサイトの監視 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 ヘルス/ライフサイエンス 主な課題 • • • • • • 29 過去2年間で90%の企業でデータ漏洩 が発生 2010年以降で攻撃が100%増加 ヘルスケアデータ漏洩による年間コ ストは、56億ドルと推定 69%の調査レポートは、”Affordable Care Act” が患者の個人情報のリス クを増大させると回答 顧客データの保護 診断、医療、処方箋などに関するク レームデータの保護 主な使用例 • 自動制御とレポートを使用した コンプライアンス監視 • 契約者データの保護 • ユーザー監視: 特権ユーザー、 契約業者、エージェント、社員 • 不正検知のためのアプリと トランザクション監視 • 販売店の行動監視 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 小売 主な課題 主な使用例 • カード所有者や顧客データの 漏洩防止 • 自動化監視/対応 (SOC無し) • PCIコンプライアンス: ITインフラ の自動化とアップグレード • ログ管理 • 社員の高い離職率によるリスク • IT要員の不足、店舗のIT要員皆無 • セキュリティの専門知識不足 • 在庫の物理セキュリティ • ウェブストア運用の安全性 30 • PCIコンプライアンス • 重要なデータの監視 • 新入社員の行動プロファイリング • 特権ユーザー監視 • ベンダ管理在庫とサプライヤー監視 • 店舗の行動プロファイリング • ウェブインフラの安全確保 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 エネルギー 主な課題 • 制御システム/SCADA要員の限られた IT知識 • 専用のソリューションから、一般的な H/W、S/W、OS、プロトコルへの移行 • 多くの運用に使用するIT関連 ソリューションには脆弱性があり、 限られたセキュリティ制御しかない • 歴史的にITではなく物理セキュリティ に重点を置く • 分散した無人の設備 • 可用性に重点を置き、秘匿性や 一貫性に関するセキュリティの 影響度は未知 31 主な使用例 • • • • • • • © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 コンプライアンス監視 ユーザーの行動監視 SCADAインフラ監視 境界の監視 物理セキュリティ ログ管理 マルウェア検知 公共機関 主な課題 • 内部および外部の脅威 • 特にネットワークを流れる膨大な 秘密文書 • 日常的に重要なデータを取り扱 う職員 • 組織外にデータを漏洩しないための特 別な予防措置がされなければならない 主な使用例 • 重要なデータの保護 • 非常に重要なインフラの保護 • ユーザーの監視 • ウェブポータルサイトの監視 • 境界の監視 • 重要なデータの保護失敗は、信 頼関係を毀損するとともに、悪 意のある人々への機密情報の公 開へつながる 32 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 HP ArcSightが提供するメリット 33 4 時間で情報漏洩に対処 ArcSightはフォレンジック解析で 情報漏洩に迅速に対応可能。 この処理は、通常24日を要する。 5 分でIT GRCレポートを生成 ArcSightコンテンツにより、IT GRC レポートを生成。この処理は、 通常4週間を要する。 2 日間で脅威脆弱性を修正 シームレスな統合で、迅速な修正が 可能。この処理は、通常3週間を 要する。 10 分でITインシデントを修正 全データのフルテキスト検索により インシデントを解決。この処理には、 通常8時間を要する。 3 日間でIT監査を終了 監査品質のログを検索。 この処理には、通常6週間を要する。 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 複雑なセキュリティをシンプルに ArcSightソリューションの活用 34 対応可能な数に コスト削減 コンプライアンス 膨大なデータを 対応可能な インテリジェンス に 変換 より少ないリソー スで、より速い解 決 コンプライアンス を すぐに実現 © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。 Thank you © Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
© Copyright 2025 ExpyDoc