 |
不正アクセス監視 |
|
お客様のネットワーク上を流れるパケットを、弊社センサー機器により常時監視いたします。
不正アクセスと判断されたパケットは、予め取り決めたポリシーに準じて遮断いたします。
検知結果は、IPSセンサーよりリアルタイムに弊社の監視センターへ自動通報されます。そして、自動通報されてきた不正アクセスの情報は、不正アクセスの重要度により4段階にレベル分けされ、担当者様への通報等、レベルに応じた対応を行います。
|
|
ポリシー作成 |
|
セコムトラストシステムズの基準によりお客様専用ポリシーを作成します。
| ・ |
不正アクセスの重要度に関する分類は、セコムトラストシステムズの基準を適用 |
|
 |
|
|
|
|
|
|
|
|
|
| ・ |
予め取り決めたポリシーに従い、パケットの侵入をブロック
|
|
|
|
|
|
| ・ |
権限の取得を目的とした不正アクセス
(管理者権限やファイルの書き込み権限の取得など)
|
| ・ |
システムの脆弱性の調査を目的とした不正アクセス |
| ・ |
サービスの停止攻撃 (対策が不可能なもの) |
|
|
|
|
|
| ・ |
ネットワークの調査を目的とした不正アクセス
(対策が不可能なもの) |
| ・ |
サービスの停止攻撃 (対策が可能なもの) |
|
|
|
|
|
| ・ |
ネットワークの調査を目的とした不正アクセス
(対策が可能なもの) |
|
|
|
|
|
| ・ |
クライアントのみ影響がある不正アクセス |
| ・ |
デコード系・CGI系の不正アクセス |
|
|
|
|
|
緊急通報 |
|
| お客様の緊急連絡先につきましては、サービス開始時に運用担当者様を3名様まで選任していただき、その運用担当者様に対して緊急通報を実施いたします。
|
|
|
日次/月次報告書 |
|
| ・ |
お客様専用のレポート報告用Webページをご用意いたします。そちらで日次/月次レポートを準備いたします。お客様は、どのような不正アクセスをいつ、どのくらいの頻度で受けているかの統計および傾向を明らにすることができます。これにより、例えば不正アクセスの現状に応じた対策の計画や効果測定に一つの手段としていただく等の活用が期待できます。
|
| ・ |
また、不正アクセス検知のログは弊社が3か月間確実に保存しており、ご要望に応じて過去にさかのぼってログのご提示が可能です。
|
|
|
センサーの保守 |
|
不正アクセスの手法は、日々新しいものが発生します。
その為、パターンマッチ方式の不正侵入検出では、頻繁にパターンマッチのシグネチャがリリースされ、その度にお客様はシグネチャの検証やアップデート作業の実施が不可欠です。セコム不正侵入検知/予防サービスでは、シグネチャの検証・アップデートを全て弊社のノウハウに基づいて実施いたしますので、お客様がシグネチャの検証やアップデート作業を行う必要は一切ありません。また、万が一、センサーが故障した場合は保守コール代行から交換対応調整等も全て弊社にて実施いたします。
|
|
お客様専用ポリシーにチューニングし運用 |
|
例えば、重要度の高いWindowsの脆弱性を突く攻撃を検知するシグネチャをHighイベントとして設定し、検知した場合はサービスとしてお客様に緊急通報を実施します。ただし、そのお客様が一切Windowsサーバを利用していない環境だった場合、Highレベルの検知は不要であるのにも関わらず検知していることとなり、ある意味誤検知と言えます。
また、IPSではBlock(遮断)ポリシーを設定しますが、通常業務で利用する特殊な通信データの一部が、たまたまあるBlock設定のシグネチャのマッチングルールと一致してしまうというケースもありえます。
結果、誤検知によりBlockする悪影響をもたらすこととなり、このような事態は可能な限り避けなければなりません。
特に、Block(遮断)ポリシーが有効なIPSの運用には、上述のような誤検知を限りなくゼロに近づけて運用することが求められるため、お客様監視対象システムの環境に応じたポリシー・チューニングが重要です。
セコム不正侵入検知/予防サービスでは、サービス導入時の初期ポリシー作成から、事前提示いただくお客様システム情報、実際にセンサー機器を導入してモニタリング、ログ情報の収集(標準2〜3週間)を経てお客様専用のポリシーとしてチューニングし、運用いたします。
|
