ネットワークフォレンジック

ネットワークフォレンジック
〜情報漏えい対策 最後の砦〜

この世に完全なセキュリティは存在しない

2015年6月に発覚した日本年金機構の年金情報流出事件は、100万人以上の個人情報が流出した記憶にあたらしい標的型攻撃の被害ではないでしょうか。日本年金機構にターゲットを絞って攻撃した標的型攻撃だと言われています。

ファイアウォールやアンチウィルスソフトなどを導入しているにも関わらず、情報流出事件が後を絶たない状況から、残念ながら現在のセキュリティソリューションでは、完全に情報漏えいを防ぐことができないことを表しています。

不正侵入されることを前提に対策する時代

侵入されることえお前提に対策

2014年5月に、シマンテックの上級副社長であるブライアン・ダイ氏が「アンチウィルスは死んだ。これからは侵入されることを前提に対策する必要がある」と発言されたように、出口対策の重要性が増しています。また、出口対策の検討と同時に、情報が流出してしまった場合の対策も合わせて検討するべきでは ないでしょうか。

流出したファイルの内容を明確にできますか?

情報が漏えいしてしまった。
その時、漏えいしたファイルの内容を明確にできますか?
「できる」と回答できる方は殆どいないのではないでしょうか?
それはなぜでしょうか?

ネットワークフォレンジックという証拠保全

ファイアウォール、IPS、サーバなどのログからファイル名は分かるかもしれませんが、ファイル内容については分からないのです。誰の個人情報が漏えいしたのか?どの機密データが漏えいしたのか?正確に把握できれば、その後の対応は全く違うものになります。

ネットワークフォレンジック

また、マルウェアによっては、OSが起動できなくなったり、ログファイルが削除されたりする可能性もあり、ログだけに頼る証拠保全には限界があります。マルウェアなどが外部に情報を送信した通信データ(パケットデータ)があれば、ファイルを復元し、ファイルの内容を完全に確認することが可能となります。

パケット収集型のネットワークフォレンジックの弱点

パケット収集型の最大の武器は生データが完全な形で、しかもマルウェア等に気づかれることなく収集できることが強みですが、その反面、ストレージコストが最大の弱点となります。また、膨大なデータのまま保存しているだけでは、イザという時に該当の通信データを探し出すことが困難であるという 面もあります。現実的には、セキュリティインシデントと紐づいた通信データが保存されていなければ、せっかく取りためた証拠を探し出すことも難しくなって しまいます。

通信データを保存するためには、膨大なストレージ容量が必要になります。上り500Mbps、下り500Mbpsの環境ですべての通信を保存する場合、単純計算で、1秒間に125Mバイト、1時間に450Gバイト、1日に約10Tバイトのデータを保存する必要があります。仮に1Tバイトのストレージ 単価が2万円だとすると、毎月600万円のストレージを増設していく計算になります。

高コスト。これが、パケット収集型のネットワークフォレンジックの弱点です。

テリロジーのネットワークフォレンジック・ソリューション

そこで、標的型攻撃対策製品や次世代ファイアウォールなどが検知した脅威と紐づいた通信データのみを抽出し、長期保存する仕組みを実現しました。トラ フィックレコーダーであるmomentum Probeとセキュリティ機器のSyslogを連携する現実的なパケット収集型のネットワークフォレンジックソリューションです。

通信データだからこそ可能なこと

マルウェア マルウェアらしき通信の調査 2ch 2chなどの書込内容の調査
検索 IDSで検知した攻撃の事後確認 APP 未知のアプリのシグネチャ作成
証拠 脅威の証拠保全 ファイル 送信したファイル内容の確認

現在の標的型攻撃対策製品や次世代ファイアウォールはマルウェアらしき通信も検知し、アラートを発報できます。このアラートに紐づいた通信のみを長期保存することで、保存するデータ量を大幅に削減し、さらに証拠能力の高い通信データを保存できるようになります。セキュリティ機器と連携することで、パケット収集型のネットワークフォレンジックの弱点を補い、現実的なソリューションをお届けできるようになりました。

ネットワーク監視型とパケット収集型の融合

調査の裏付けとなる『証拠』の記録を目的とするなら、
取るべき選択肢は「パケット収集型」ネットワークフォレンジックである。

Terilogy HOME > momentum TOP > トピック:ネットワークフォレンジック 〜情報漏えいの最後の砦〜

デモ
momentum
オンラインデモ予約

「説明を聞きながら時間をかけずに理解したい」という方には、オンラインデモをご用意しています。日本全国どこでも、ご覧いただけますので、お気軽にお申込みください。

デモを予約する
デモ
momentum DNS viewer
今すぐ体験する

「自分で操作してみたい」という方には、セルフデモをご用意しています。今すぐDNS viewerを体験してください。

今すぐ体験する
資料請求
資料請求

momentumのカタログを
お届けします。

資料を請求する
テリロジーに相談
お問い合わせ

ご不明な点がありましたら、
お気軽にご連絡ください。
お急ぎの方は 03-3237-3291 へお電話ください。

ウェブからお問い合せ

トップへ