ArcSight

多種多様なサイバー攻撃の脅威に
対峙するアプローチ
日本ヒューレット・パッカード株式会社
HPエンタープライズ・セキュリティ・プロダクツ統括本部
シニアセキュリティセールススペシャリスト
堀田昌昭
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
現状
クラウド
膨大なデータ
SDN
膨大な
ソリューション
物理
2
増大するコストと
複雑性
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
1,000超のセキュリティベンダー
その結果(1)
243
日
侵害検出までに要する平均日数
2012年
3
1月
2月
3月
4月
5月
6月
7月
8月
9月
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
10月
11月
12月
2013年
1月
2月
3月
4月
その結果(2)
2009年以降、攻撃の解決に要する時間は
増加の一途をたどっている
130%
4
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
その結果(3)
860万
データ侵害にともなうコストは平均
5
$
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
サイバー攻撃の分業化による高度な攻撃
調査
侵入
探索
調査専門家
重要データ
探索専門家
侵入専門家
データ取得専門家
入手
持出専門家
6
持出
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
解決のためのアプローチ
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
膨大なデータとは？
Aのログ、Bのログ…DDのログ…ZZZZZのログ
ロ
グ
ロ
グ
ロ
グ
ロ
グ
ロ
グ
8
ロ
グ
ロ
グ
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ロ
グ
ロ
グ
ロ
グ
ロ
グ
膨大なソリューションとは？
様々な攻撃フェーズに対する様々なソリューション
9
検知系
拒否系
停止系
緩和系
ターゲットの情報収集
Web分析
ファイア
ウォールACL
コード/マルウェアの作成
ネットワーク
IDS
ネットワーク
IPS
なりすまし/ダウンロード
への誘導
警戒ユーザー
プロキシ
フィルター
ゲートウェイ
AV
キューイング
悪意あるファイルの実行
/URLへのアクセス
ホストIDS
パッチ
DEP
マルウェアインストール
ホストIDS
chroot
アンチ
ウィルス
遠隔操作
ネットワーク
IDS
ファイア
ウォールACL
ネットワーク
IPS
外部への情報持ち出し
監査ログ
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
誘導系
ターピット
DNS
リダイレクト
QoS
ハニーポット
増大するコストと複雑性とは？
膨大なデータ X 膨大なソリューション =
45
40
35
30
25
20
15
10
5
0
2011
2012
ログ量
10
2013
専門性
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
2014
人員
膨大で複雑なデータを実用的なインテリジェンスに変換
相関分析によりインサイダー脅威およびAPTに対抗 (パターン+時間)
収集/相関付け
11
検索
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
分析
実用的なインテリジェンスに変換する意味
対応時間の短縮とコスト削減
1
29
300
セキュリティ事故
12
重要なインシデント
ヒヤリハット
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ここが無ければ
投資は無駄！
• ヒヤリハットの相関解析
• 業務レベルのリスク
• 監査法人の着目点
• ネットワーク機器のログ
• サーバーのログ
• アプリケーションのログ
リアルタイムだけでなく長期にわたる攻撃解析が必要
人力では不可能
調査
侵入
探索
調査専門家
侵入専門家
入手
持出専門家
13
持出
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
重要データ
探索専門家
データ取得専門家
ソリューション＝統合インテリジェンス (SIEM)
SIEM (Security Information and Event Management)
?
14
先進性
利点
収集
様々なデータソースから情報収集
包括的なデータ収集
保管
生データを正規化およびカテゴリー分けの上、ログ保管のコスト削減と機械データの統一
高圧縮して膨大なデータを保管
化
検索
テキスト検索で膨大なデータを瞬時に検索
ログやイベントの解析のためにログや
イベントの専門家が不要
統合
監視や解析したITセキュリティの単一ビュー
セキュリティインシデントの迅速な発見と
解決
相関
リアルタイムで各種データソースから集めた
全てのイベントを相関
根本原因とビジネスインパクトを分離し
プロアクティブに問題を解決
協調
高コストパフォーマンスで低TCO
自動化された包括的で継続的な監視が可能
なことによる安心感
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
HPのSIEM - ArcSight
IT SOC
(セキュリティオペレーションセンター)
OS、データベース、ストレージ
IPS、ルーター、スイッチ、
ファイアウォール、DLP
サーバー、IDアクセス管理、
ネットワーク
15
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ArcSight使用例 #1:
多すぎる情報、少なすぎる時
間を解決
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ArcSightを使用して情報を統合
課題
利点
•
•
•
複数のコンソール/画面やIDが重荷
•
•
各種各様のデータソースにわたるクロス相
関の欠落
•
•
•
ユーザーごとの解析や複数機器間のIPごとの解析は途方
もなく膨大な作業
膨大な量のログに対する不十分な解析
•
•
集約と集中レポートが必要
リアルタイムなコンテキストのイベント
データへの適用能力
•
17
IDS、IPS、ファイアウォール、プロキシ、その他（職務
の分離度合いで大きく変化）
あるツールで定義されたモデルは、他のツールで発生し
たイベントには意味が無い
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
複数データソースからの収集
よりよいコンテキスト提供のための
情報相関
前回の発生に基づいたパターン推測
ArcSight使用例 #2:
侵入されたのか？を確認
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
侵入されたのか？
課題
利点
•
•
•
•
フォレンジック調査と解析
• すべての特権操作は決められた期間に実行されたか？
• その期間にどのファイルを削除したか？
• どこかへコピーしたファイルがあったか？
•
APTやインサイダーの脅威を継続的に監視
• 疑わしいDNS通信？ゾーン転送か、ADのコンテンツ盗難
か？
•
ファイアウォールログ解析
• すべてのDENYをIPごとにチャート化
• 最近解雇された社員による過去6ヶ月内の構成変更は
あったか？
• 様々な規制に関する自動レポート
19
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
複数データソースからの収集
データの正規化とカテゴリー分け
前回の発生に基づいたパターン推測
フォレンジック解析例
20
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ファイアウォールログ解析例
21
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ファイアウォールログ解析例（2分間のDENY数）
22
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ArcSight使用例 #3:
ビジネス要件に対応
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ビジネス要件
課題
•
•
•
•
24
PCI DSS コンプライアンス
SOX 監査レポート
ITIL 変更の監査
不正行為の検知
利点
•
•
•
•
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
複数データソースからの収集
継続的な監視
長期保存
コンプライアンスを証明するため
の、長期にわたるデータの検索/レ
ポート/解析
監査とコンプライアンス
25
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
様々な業界で使用されるArcSight
金融サービス
ヘルス/ライフサイエンス
通信/メディア/エンタテイメント
26
公的機関
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
エネルギー
消費者向けウェブ
小売
金融

主な課題
• エンドツーエンドの金融プロセス
の安全確保とトランザクションの
担保
• 顧客と金融データの保護
• すべての規制に関するコスト効率
のよいコンプライアンス
• リスクを可視化しながらの運用
• 分散した資産(支店やATMなど)の
境界の安全確保
• リモートの社員や契約業者の監視
• 統合管理や統合された資産やイン
フラの安全確保
27

主な使用例
• 自動制御とレポートを使用した
コンプライアンス監視
• 重要なデータの保護
• ユーザー監視: 特権ユーザー、
契約業者、エージェント、社員
• 不正検知のためのアプリと
トランザクション監視
• コアプロセスのインフラ監視
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
通信

主な課題
• コアネットワークの安全確保
• 規制対応やコンプライアンス準
拠の自動化とリスクの監視
• 監査データの長期保管
• 監視やプロビジョニング用
管理ネットワークのセキュリテ
ィ
• 顧客用ポータルサイトの
セキュリティ
• 顧客とビジネスデータの秘密維
持
• 販売店接続部分のセキュリティ
28

主な使用例
• 境界やデータセンターのSOCを
設立してのセキュリティ監視
• コンプライアンス監視と
レポート
• 重要なデータとユーザーの
全方位監視
• 販売店の行動監視
• 不正注文の監視
• 3G/4Gネットワークの保護
• 顧客ポータルサイトの監視
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
ヘルス／ライフサイエンス
主な課題

•
•
•
•
•
•
29
過去2年間で90%の企業でデータ漏洩
が発生
2010年以降で攻撃が100%増加
ヘルスケアデータ漏洩による年間コ
ストは、56億ドルと推定
69%の調査レポートは、”Affordable
Care Act” が患者の個人情報のリス
クを増大させると回答
顧客データの保護
診断、医療、処方箋などに関するク
レームデータの保護

主な使用例
• 自動制御とレポートを使用した
コンプライアンス監視
• 契約者データの保護
• ユーザー監視: 特権ユーザー、
契約業者、エージェント、社員
• 不正検知のためのアプリと
トランザクション監視
• 販売店の行動監視
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
小売

主な課題
主な使用例
• カード所有者や顧客データの
漏洩防止
• 自動化監視/対応 (SOC無し)
• PCIコンプライアンス: ITインフラ
の自動化とアップグレード
• ログ管理
• 社員の高い離職率によるリスク
• IT要員の不足、店舗のIT要員皆無
• セキュリティの専門知識不足
• 在庫の物理セキュリティ
• ウェブストア運用の安全性
30

• PCIコンプライアンス
• 重要なデータの監視
• 新入社員の行動プロファイリング
• 特権ユーザー監視
• ベンダ管理在庫とサプライヤー監視
• 店舗の行動プロファイリング
• ウェブインフラの安全確保
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
エネルギー

主な課題
• 制御システム/SCADA要員の限られた
IT知識
• 専用のソリューションから、一般的な
H/W、S/W、OS、プロトコルへの移行
• 多くの運用に使用するIT関連
ソリューションには脆弱性があり、
限られたセキュリティ制御しかない
• 歴史的にITではなく物理セキュリティ
に重点を置く
• 分散した無人の設備
• 可用性に重点を置き、秘匿性や
一貫性に関するセキュリティの
影響度は未知
31

主な使用例
•
•
•
•
•
•
•
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
コンプライアンス監視
ユーザーの行動監視
SCADAインフラ監視
境界の監視
物理セキュリティ
ログ管理
マルウェア検知
公共機関

主な課題
• 内部および外部の脅威
• 特にネットワークを流れる膨大な
秘密文書
• 日常的に重要なデータを取り扱
う職員
• 組織外にデータを漏洩しないための特
別な予防措置がされなければならない

主な使用例
• 重要なデータの保護
• 非常に重要なインフラの保護
• ユーザーの監視
• ウェブポータルサイトの監視
• 境界の監視
• 重要なデータの保護失敗は、信
頼関係を毀損するとともに、悪
意のある人々への機密情報の公
開へつながる
32
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
HP ArcSightが提供するメリット
33
4
時間で情報漏洩に対処
ArcSightはフォレンジック解析で
情報漏洩に迅速に対応可能。
この処理は、通常24日を要する。
5
分でIT GRCレポートを生成
ArcSightコンテンツにより、IT GRC
レポートを生成。この処理は、
通常4週間を要する。
2
日間で脅威脆弱性を修正
シームレスな統合で、迅速な修正が
可能。この処理は、通常3週間を
要する。
10
分でITインシデントを修正
全データのフルテキスト検索により
インシデントを解決。この処理には、
通常8時間を要する。
3
日間でIT監査を終了
監査品質のログを検索。
この処理には、通常6週間を要する。
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
複雑なセキュリティをシンプルに
ArcSightソリューションの活用
34
対応可能な数に
コスト削減
コンプライアンス
膨大なデータを
対応可能な
インテリジェンス
に
変換
より少ないリソー
スで、より速い解
決
コンプライアンス
を
すぐに実現
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。
Thank you
© Copyright 2014 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なく変更されることがあります。

Download Report