SecuAvail NEWS(Vol.9 2016 WINTER)

NetStare®(ネットステア) Ver.8 McAfee NSP 運用サービスリリース!

  1. セキュリティ対策のセキュアヴェイルTOP
  2. SecuAvail NEWS
  3. Vol.9 2016 WINTER
vol.9
2016 WINTER

ついにNetStare®(ネットステア) Ver.8 リリース!

特集!

NetStare®(ネットステア) Ver.8 McAfee NSP 運用サービスリリース!

アラートだけでは見えない兆候を捉えるログ分析ロジック搭載!

ログ分析こそが運用の本質的な実働

インターネットの出入口にIPSが設置されているとセキュリティ対策という意味では心強い。ただ、専門用語と言うか聞き慣れてない言葉(英語)の羅列で何を表示していてそれが何を意味をするのか理解・把握して運用することは難しい。たとえ意味が解っていたとしても導入後に運用することは難しいと言われるIPS。IPSを運用するとは何をすることなのか?何をするべきなのか?

セキュアヴェイルは「運用」=「可視化」と定義し、その考えをもとにサービスを構成し提供している。

可視化に必須となるのは通信及び稼働状況を視認させる「ログ」である。

長期に渡り分析し、潜在する危険を可視化

つまり、ログ分析こそが運用の本質的な実働ということになる。

攻撃を含む不正な通信を検知すると、アラート機能で通知し設定によっては遮断までしてくれる。アラートは危険度に応じて4段階ほどに分かれている。危険度が高いアラートを受信すると適切な対処をするが、低いアラートについては問題がないとの判断で放置されることがほとんどである。IPSが教えてくれなければ危険を認識しなくなるため、脅威については無頓着になってしまう。

これでは全くの機器依存であり運用しているとは言い難い....。NetStare®(ネットステア)は危険度の低いアラートもその頻度や傾向を長期に渡り独自のロジックにて分析し、潜在する危険を可視化する唯一のIPS運用サービスである。

定期セミナーを開催してます!
見て. . . 触れて. . . 体験してください!

貴社にとって必要な選択肢と判断基準を導く。

「IPS入門編」など導入するにあたって、何をどのような視点で検討し判断するべきかなのか?IPSベンダーではなくIPSを運用する専門のベンダーとして貴社にとって必要な選択肢と判断基準を導きます。

導入済の方にも「実践!ログ分析」というタイトルにて、実際の運用現場から取得したログを題材に、どこに着目し、何を調査し、その結果をどう認識することが適切なのか...。

IPSの売り込みや、サービス説明をする営業セミナーとは違う、運用者にとって必要な情報と知識を惜しむことなく公開する実践的なセミナーです。少人数制のセミナーを定期的に開催していますので、是非足をお運びください。

IPSの進化系…「McAfee NSP」が持つ視点

入口、出口の両方向の通信に応じた検知エンジン

劇的に変化するインターネット環境に順応すべく進化、強化したIPS。それがMcAfee NSPである。

クラウドサービスの普及によりネットワーク環境は変貌を遂げた。これまで社内で完結していた通信が外部へと拡散し、従来のIPSで精査していなかった通信をも精査する必要が出てきたのである。

また、サイバー攻撃については、不正に侵入してくる攻撃だけでなく、標的型攻撃によりボット感染した端末からの通信が外部に出ることを止める必要性が出てきた。つまり、現代のセキュリティ対策システムには入口/出口の両方向の通信に応じた検知エンジンが必要不可欠となっているのである。

従来のIPSを進化させた次世代IPS

これまでのIPSはシステムの脆弱性を突く攻撃をメインに対応してきたが、マルウェアに感染したノードから外部のC&Cサーバとの通信を遮断し被害を最小限に抑えるなど、要求される機能が日々増加している。従来の機能だけではセキュアな環境を維持することが困難な状況になってきたのである。

McAfee NSPは入口対策として従来のIPS機能に加え、標的型攻撃メールに使われる不審なファイルの検知防御機能を実装している。
出口対策としてはマルウェア感染やボット化した通信の検知機能である。通信内容だけでなく、通信する先(C&Cサーバ等のIP、URL)の情報を含めて通信制御をしている。

更に、利用されるアプリケーションの制御機能を実装したMcAfee NSPは従来のIPSを進化させた次世代IPSと言えるのである。

セキュリティログ分析で集中攻撃や内部漏洩を検知!

集中して攻撃されている可能性や、特定の送信者から狙われている脅威を素早く検知

NetStare®(ネットステア)で提供している「セキュリティログ分析」は、1時間に1回ログを分析し、事前に設定している条件と合致した場合にアラートを出す。

アラート条件は従来、ファイアウォールログを分析し通知を行っていたが、今回、McAfee NSPをNetStare®(ネットステア)の運用対象機器としてサービス提供を開始するにあたり、アラート条件の見直しを行った。

IPSログのうち、重要度が低い(infoやlow)ログをもとに、IPSアラートや1行のログだけでは気がつくことができない不正通信を検知可能としている。(下図)

上記アラートから、お客様環境が集中して攻撃されている可能性や、特定の送信者から狙われている脅威を素早く検知し、対策をとることを可能としている。

ログ監視名 アラート条件
お客様環境が狙われている可能性検知 info/low/Inbound のログのうち、1日にユニークなアラートを70件以上検知した場合
特定攻撃者から狙われている可能性検知 info/low/Inbound のログのうち、1日にユニークな送信元IPアドレスを100件以上検知した場合
特定保護対象を狙われている可能性検知 info/low/Inbound のログのうち、特定の保護対象サーバに対し、合計攻撃回数が30回以上の場合
マルウェアの疑いがある通信検知 マルウェアの危険度が4以上であるものの、重要度が「high」以外の通信を検知した場合

特集まとめ

高額で運用が難しいと言われる「IPS」。数百台を超える運用実績より、貴社に最適なチューニングを行いIPS導入効果を発揮するサービスを提供します。

TOP