セキュリティ診断
お客様のシステムやネットワークにおける標的型攻撃などで使われるマルウェアへの感染実態の診断/駆除や対策に関する診断サービスを提供しています。

パソコン健康診断サービス

 パソコン健康診断サービスとは

標的型攻撃や待ち受け型攻撃によって、通常のウイルスワクチン(パターン認識)では検知できない未知のウイルス(マルウェア)は、以下のような動作を行います。

  •    ■複数のマルウェアをダウンロードし、個別に駆除しても再発を繰り返す
  •    ■複数台に感染を広げる
  •    ■ファイルサーバや複数のPCから情報を盗み出して外部へ送信する
  •    ■サーバなどに潜伏し、PC個別の初期化を行っても再発を繰り返す 

また、未知のウイルスに感染してしまう環境下のPCには、攻撃者が利用するリスクウェアやアドウェア、P2Pソフトなどを攻撃者やユーザが意図的にインストールされていることも多々あります。

本サービスは、上記の未知のウイルスの感染痕跡やポリシー違反のソフトウェアの導入を見つけることを目的としており、実施方法は、インストール不要の弊社独自開発ツール(PAM)を各端末で実行して頂くだけの簡単な作業となります。

 再発を繰り返すマルウェア感染

マルウエア感染

 提供サービス概要


未知のウィルスであるマルウェアに感染すると、長期間にわたって機密情報流出などの被害に遭いますが、多くの場合、感染そのものに気付きません。ウイルスワクチンでの検知は困難で、PCが遅くなるなどの症状もあまりないからです。
S&Jでは以下のようなお客様に、パソコン健康診断サービスをご提供しています。

  •    ■マルウェアの感染があり、個別の駆除を行ってきたが、再発を繰り返している
  •    ■標的型攻撃への対策を行いたいが、現在の感染状況を知りたい

通常のウイルスワクチンでは検出できないマルウェアを検出するために、S&JではPCを調査する専用の診断ツール(PC Auditor for Malware:略称PAM=パム)を開発しました。PAMは、従来型のパターン認識のウイルスワクチンのようにマルウェアそのものを検出するのではなく、マルウェアに感染した痕跡に着目してデータを収集します。そのデータはクラウドに集積され(※オンサイトでのサーバ設置、オフラインでの実行も可能)、S&Jの専門のアナリストが分析を行います。

PAMは、 Active Directoryなどを用いてリモート実行することができますが、ユーザ様にソフトウェアを配布して手動で実行して頂くこともできます。

標的型攻撃対策やマルウェア対策を行うための現状調査を行う場合には、PAMを実施することによりマルウェアへの感染がどの程度深刻かを知ることにより、対策の優先順位や時期、規模などについて検討する有効な基礎データとなります。

マルウェアの感染、再発が継続している組織では、全てのPCやサーバに対してPAMを実施(全数検査)することにより、サーバや特定のPCなどに潜んでいるマルウェアをあぶり出し、デトックスを行うことができます。

パソコン健康診断サービスは、ログ診断サービスと組み合わせることによって、精度を高めることができます。例えば、マルウェア感染が疑われるPCがアクセスしたプロキシサーバやファイアウォール、Active Directory などのログを確認することによって、より精度の高い調査を行うことが可能となります。

 全数診断によるパソコン健康診断サービス

パソコン健康診断サービス

PAM:PC Auditor for Malware S&Jがフォレンジックソフト開発のノウハウを活かして開発した診断ツール

 流れと役割分担


流れと役割分担

ログ診断サービス

 ログ診断サービスとは

標的型攻撃やマルウェアの被害にあっている場合、一般のウイルスワクチンで検出されないために実態をつかむのが困難です。しかし、マルウェアに感染した場合、長期間にわたって自社の情報が外部に漏えいし続けるばかりではなく、マルウェアを取引先や関係組織に送ってしまい、それからマルウェアへの感染が発覚することがあります。

S&Jでは、ファイアウォールや、プロキシサーバやActive Directoryサーバ、ウイルスワクチン管理サーバ、データベースログなどのログを解析することによって、マルウェアの感染の実態を調査するサービスを提供しています。

S&Jで自社開発したPAM(PC Auditor for Malware:パム)との組み合わせにより、より精度の高いマルウェア感染活動の分析が可能になります。

また、各種ログは取得しているものの分析をしていない、大量のログなので定期的に分析したい、というニーズにもお応えします。S&Jでは、各種のログを1か月に一度程度、定期的に分析するサービスを提供しています。継続的に分析することにより、サイバー攻撃などによるネットワークの異常などの「予兆」を効果的に察知することができるようになります。

各種ログを分析することによって、自社のサイバー攻撃の被害状況を把握することができるようになります。

各種ログは記憶媒体で提供していただき、当社内にてS&Jの専門アナリストが分析を行います。

ログ診断サービス

標的型攻撃対策診断サービス

 標的型攻撃対策診断サービスとは

企業や政府機関を狙った標的型攻撃の対策は、組織ごとにカスタマイズして実装する必要があります。組織ごとに既存の対策や、システム構成、情報資産、対策予算などが違うので、画一的な対策はできません。

また、標的型攻撃対策の一番のポイントは、防御・検知・対処のバランスです。そして、単にバランスさせるだけでなく、より効果的に対策を実装しなければいけません。

標的型攻撃対策は、まず、防御をしっかりと行う必要があります。そして、その防御の対策で防ぎきれないケースを洗い出して、それを速やかに検知し、対処する対策を計画的に実施する必要があります。

また、標的型攻撃は進化し続けていますので、最新の攻撃手法やその対策などを反映させる必要があります。

S&Jでは、最新の標的型攻撃などのサイバー攻撃に関する知見をもとに、お客様の標的型攻撃対策が有効なものであるかどうかを診断するサービス(標的型攻撃対策診断サービス)を提供しています。本サービスでは、以下のようなお客様のニーズにお応えします。

  • これから標的型攻撃対策を行っていきたいが、既存のセキュリティ対策でどの程度有効なものかを知りたい
  • ある程度の対策を行っているが、最新の標的型攻撃に耐えられるかを知りたい

本サービスでは、お客様の標的型攻撃対策を、システム構成、情報資産などの観点から分析し、防御・検知・対処が十分であるかを診断しアドバイスを行います。最新の攻撃手法などの情報に基づき、十分に対策できているポイントや、不十分なポイントなどを洗い出します。

防御検知対処


セキュリティ運用
サイバー攻撃や情報漏えいは、「迅速に検知し正確に対処する」ことが重要です。
既存のSOC/CSIRT体制強化や、新規SOC/CSIRTの立ち上げ支援を行うだけでなく、自社開発したSOC Engineをご提供することにより、
膨大なログから不審なアクセスを検出したり、高速にログを検索できます。また、安全なWebアクセスやメール利用のシステムを提供しています。

S&J Secure VDI

S&J Secure VDI

Secure VDI

S&J Secure VDI 背景

  • 標的型攻撃やランサムウェアなどマルウェアによる脅威は増大しており、被害も拡大しています。そのため、「感染を前提」とした対策では、サンドボックスやSIEMを実装したSOCやCSIRTの体制構築などの高度なセキュリティ対策が求められています。
  • 一方で、高度なセキュリティ対策を続けてきた大きな組織では、未知のマルウェアの検知や監視によるソリューショ ンでは対策としては限界があり、根本的な対策へのニーズが高まっています。
  • もう一方で、サンドボックスやSIEMを用いた高度なセキュリティ対策は非常にコストが高いため、実装できない組織が大半となっています。

感染を前提とした従来の対策

  • これまでの入口対策と出口対策ではC&Cサーバからの脅威は完全には防げない

Secure VDI

S&J Secure VDI 概要

  • 従来の入口/出口/内部対策には限界があることから、仮想化技術を用いた無害化というコンセプトでのセキュリティ対策が注目されています。 VDIを用いたソリューションは、Webアクセスによるマルウェア感染やコールバック(C&Cサーバへの情報流出)に対して大きな効果が期待できますが、ライセンス費用や複雑なシステム構成による導入コストが課題です。
  • S&Jは、株式会社アーキテクタス(以下アーキテクタス)と共同で、オープンソースをベースとした「S&J Secure VDI」 (以下Secure VDI)を開発し、クラウド上でサービスの提供を開始しました。これにより、導入/運用コストの大幅な削減と導入にかかる期間を大幅に短縮することができるようになりました。
  • Secure VDIを利用することにより、標的型攻撃やランサムウェアにおける従来の「感染を前提」とした入口対策、出口対策に比べて、飛躍的にセキュリティレベルを向上させることができます。 主な特徴は以下となります。
    • <主要な機能>
    • ■クラウドサービス(国内データセンター)
    • ■利用者単位の専有ゲストOS(Webとメールも個別の専有ゲストOS)
    • ■ゲストOSはLinux
    • ■ゲストOSは毎回リフレッシュ
    • ■Web、メールに対応(Web用VDI、メール用VDIを個別契約することも可能)
    • ■ファイル受け渡し(ローカルへのダウンロード時に、ファイルの健全性をチェックすることも可能)

サービス内容

①Web用 S&J Secure VDIサービス
  ■サービス概要
    ・S&J Secure VDI 端末インストールアプリケーション
    ・Web閲覧用 VDI環境(オープンソース オフィス アプリケーション含む)
    ・ファイルのアップロード、ダウンロード
    ・管理者向けダッシュボード
  ■オプションサービス
    ・URLフィルターサービス
    ・ファイル検査サービス(ファイルのダウンロード時のみ)
    ・アクセスログ取得サービス 
②メール用 S&J Secure VDIサービス
  ■サービス概要
    ・S&J Secure VDI 端末インストールアプリケーション
    ・メール利用 VDI環境(オープンソース オフィス アプリケーション含む)
    ・ファイルのアップロード、ダウンロード
    ・管理者向けダッシュボード
  ■オプションサービス
    ・ファイル検査サービス(ファイルのダウンロード時のみ)     

※サービスの御見積は、同時アクセス数によって変動します。

仮想環境と画面転送による無害化

  • 仮想PCでブラウザやメールを利用し、利用者はその画面を見るだけなので、利用者のPCそのものはマルウェアに感染しません。また、仮想PCのOSはLinuxなので、マルウェアに感染する可能性が極めて低く、また、コストを大幅に削減することができます。

Secure VDI

利用者毎、利用サービス毎に独立した仮想PC

  • 仮想PCは、OS単位でサービス(Webブラウザ、メール)毎に利用者が専有します。
  • 仮想PC間のアクセスは禁止されており、メール利用仮想PCからはWebアクセスはできませんので、メールにより感染してもマルウェアが外部と通信することができません。

Secure VDI

利用するたびにリフレッシュされる

  • 利用者が利用を終了すると、自動的に仮想イメージが削除され、再び利用するときにはフレッシュな仮想PCになりますので、マルウェアが潜む心配はありません。

Secure VDI

Webブラウザ・メールに対応し、ファイルの受け渡しができる

  • Web利用、メール利用に対応しており、利用者のPCとファイルの受け渡しができます。
  • オプションサービスで、ダウンロード時にファイルを自動的に検査することもできます(サンドボックス)。

Secure VDI

メールVDIとWebVDIでコピー&ペーストが利用できる

  • メールVDIから、コピー&ペーストでURLをWebVDIで開くことができます。
  • また、WebVDIで選択した文章をメールVDIにコピー&ペーストできます。

Secure VDI

メールVDIとWebVDIの起動が早い

  • 各VDIの起動は、起動された状態でスタンバイされているために、短時間で起動できます。
  • そのため、離席などで自動的に切断されても、再接続がスムーズです。

Secure VDI

ブックマークやタブ/ウィンドウ保存、アドレス帳などの便利な機能

  • WebVDIでは、ブックマークを登録して保存することができます。
  • 再接続すると、直前まで表示されていたウィンドウやタブが再現されます。
  • メールVDIでは、アドレス帳を利用することができます。

Secure VDI

管理者がダッシュボードで利用状況を把握できる

    管理者が、利用者の利用状況などを専用ダッシュボードでモニターすることができます。

Secure VDI

SOC Engine

 SOC Engine

SOCエンジン.png

CSIRTには、ログを分析するシステムが不可欠です。 S&Jが開発したSOC Engineは、

ビッグデータ型統合ログシステムです。様々なログを高速に収集・蓄積して高速に検索を行うことができます。

SOC Engineでは、Syslogなどの基本フォーマットだけでなく、お客様のシステムに応じて柔軟に、エージェント開発やログ中継サーバ対応などを行います。従って、サイバー攻撃や内部関係者による不正なSQLリクエストや、不正ログオンなどのイベントログを収集、タイムライン分析などが可能になります。


従来型統合ログ
SOC Engine
主な目的 蓄積して、事案が発生した場合に調査を行う 予兆の検知や事案がどうかの分析を行う
パフォーマンス 絞り込まれたログだけを収集・蓄積し、分析には一定の時間がかかる ビッグデータとして高速にあらゆるログを収集し、高速に分析する
開      発  多くの製品が海外で開発 コアにOSSを用いて、検索システムを国内 ( S&J ) で開発
価      格 大量のログの場合に高額になるライセンス体系 HWに応じたリーズナブルな課金
構築サービス 蓄積を目的とした構築 分析を目的としたログ設計を行い、高速に検索を行えるようになる
分析サービス 提供されていないことが多い 監視および定期分析も S&J が提供


SOC Engineの分析対象は以下となります。

  •   ■サイバー攻撃
  •     マルウェアなどを用いた内部ネットワークへの攻撃
  •     Webサーバなどへの公開ネットワークへの攻撃
  •   ■内部犯行
  •     内部関係者による情報漏えい
  •     内部関係者による不正行為 

SOC Engine の操作イメージ

SOC Engien
SOC Engine
SOC Engine

CSIRT/SOC構築・運用サービス

 CSIRT構築サービス

相次ぐサイバー攻撃や内部関係者による情報漏えいなどの内部犯行により、情報セキュリティのインシデントは経営課題として認識されつつあり、企業にとってCSIRT構築は急務となっています。
一方で、CSIRTについては様々な解釈があることが問題となってきています。S&JはCSIRTは以下のように考えています。

  • SOCシステム
    • 予兆の検知や被害の確認をするためのシステム
    • 複数の大量のログを保存、高速に検索できること
    • リアルタイム検知と定期分析を組み合わせるこ
  • 体制
    • SOCシステムを活用して予兆をいち早く察知したり、被害を確認できる
    • 内部要員と外部専門家との役割分担
    • エスカレーションの設計

つまり、CSIRTとは、SOCシステムを含むインシデントの抽出から処理までを行う体制と位置づけています。CSIRT要員を任命して訓練する、という考え方よりも実践的となります。

CSIRT = SOCシステム + 体制

S&Jは、CSIRTの構築を支援するために以下のサービスを提供しています。

  •   ■SOC構築サービス (S&Jで開発した SOC Engine を使用)
  •   ■SOC運用サービス
  •   ■CSIRT要員育成サービス

 SOC構築サービス

CSIRTを運用するためには、その目となり耳となるログの監視、分析のシステムが不可欠です。本サービスでは、S&Jが開発したSOC Engineを用いたSOCシステムの構築を行います。
ビッグデータの流れで「ログを蓄積すればインシデントが見えてくる」という考え方が広がりつつありますが、S&Jでは、「ログは分析することを前提とした蓄積を行うべき」と考えています。分析に最適な形でログを蓄積することにより、高速かつ柔軟な分析が可能となり、結果として、インシデント判定の時間短縮と正確性の向上を実現することができます。
また、お客様のシステム構成やセキュリティ機器の設置状況や注目したいイベント(サイバー攻撃、内部関犯行など)などを要件として定義して設計します。
本サービスでは、以下のようにSOCを設計し、最適なSOCの構築を行います。

    ■設計
      想定インシデント定義
      検知機能定義
      分析機能定義
      監視対象ログ定義
      ログ項目調査
      ログ項目定義
      ログ送信機能設計

    ■構築
      ログ送受信実装
      ログパース実装
      SOC Engine構築

 SOC運用サービス

SOCを構築しても、検知されたイベントや、インシデントであるかどうかの判定は高度な技術が必要となります。特に、インシデントかどうかの判定は、予兆を見逃してしまい大きなインシデントにつながる可能性もあるので、自社での運用だけでなく、S&Jに委託することが可能です。

インシデントレスポンスサイクル

S&Jは、以下のSOC運用サービスを提供しています。

  •   ■SOC遠隔監視
  •   ■定期ログ解析
  •   ■インシデントレスポンス

 CSIRT要員育成サービス

CSIRTは、SOCシステムが構築されると同時に、組織内で機能する必要があります。膨大なログから発せられる予兆のイベントからインシデントを判定し一連のインシデントレスポンスを行うためには、専門知識を身につけて、経営層などの責任者への適切な判断材料の提供などが求められます。
つまり、セキュリティの技術だけでなく、組織を動かす力も必要になります。セキュリティ上のインシデントは、場合によっては重大な経営判断を迫ることになります。経営者に十分な情報が与えられない場合、あるいは、間違った情報が提供された場合には、経営判断を誤り、組織を危機に陥れることにもつながります。
特に技術的な調査や判断を行うためには、高度なセキュリティ技術が求められます。これらのすべてを内部要員で行う必要は無く、適宜外部委託することも選択肢となります。S&JではSOC運用サービスとして、CSIRTの技術的支援を行います。
しかしながら、様々な調査結果などから「判断」「次のアクションの指示」を行うことは、お客様のCSIRTとして欠かすことができません。
S&Jでは、お客様の構築するCSIRTの状況に応じて、必要な要員育成を行います。S&Jの提供するCSIRT要員育成サービスは以下となります。

   ■運用フロー作成
   ■情報セキュリティ理論と最新のサイバー攻撃動向の講義
   ■SOC Engineを用いたログ分析トレーニング
   ■インシデントレスポンス訓練(机上、ハンズオン)
     サイバー攻撃演習  
     内部犯行対応訓練

 インシデントレスポンスサービス

SOCで検知され判定されたインシデントは、迅速かつ適切に処置を行う必要があります。S&Jでは、大企業や政府機関での様々なインシデントに対応した経験を持つスタッフがお客様のインシデントに緊急対応を行います。SOC Engineが導入されているお客様の場合、短時間に精度の高い調査を行うことができ、結果として、インシデントの影響を小さく抑えることが可能になります。

インシデントレスポンスの例)

1.標的型攻撃によるマルウェア(未知のウイルス)感染
  未知のウイルスの検体の抽出や他のPCへの感染調査、Active Directoryやファイルサーバ、
  データベースサーバなどへの影響調査などを行います。これらをSOC Engineを用いて
  行うことにより、以下の調査を行います。

  •    ■未知のウイルスの検体の抽出
  •    ■セキュリティ機器の誤検知
  •    ■インシデント
  •    ■インシデントの範囲(他のPCへの感染確認)
  •    ■情報漏えいの有無

2.内部関係者による情報漏えい
  内部関係者と思われる人物による情報漏えいの疑いがある場合に、人物の絞込みや漏洩した情報の
  特定などを行うことができます。SOC EngineにPC操作ログやデータベースログ、入退室記録、
  Active Directoryなどのログが蓄積されている場合、に以下のような調査を行います。

  •    ■情報漏えいの経路
  •    ■盗み出された情報の特定
  •    ■情報を漏洩した人物の絞り込み

不審メール訓練
標的型攻撃やランサムウェアなどは、ほとんどがメールによるものですが、システムによる防御には限界があります。
また、上司を装って振込させようとしたり、偽の見積もり依頼などの情報搾取の新しい手口も問題になっています。
米国で広く使われている不審メール訓練サービスのPhishMeの提供と、運用/分析サービスを提供しています。

PhishMe

phishme3.png ヒトによる標的型攻撃対策ソリューション(フィッシュミー)

サイバーセキュリティに対する投資は、増加し続けていますが、以下のような状況にあります。

  • サイバー攻撃による被害の原因の91%はメール
  • 被害に気付くまでの平均は146日
  • サイバー攻撃による情報漏えいの平均日数は82日
  • サイバー攻撃による被害金額の世界的な平均は4億円以上

サイバーセキュリティにおいて、技術的な対策に主に投資が行われてきました。しかし、現在では「感染は防げない、という前提が必要」と言われるようになり、多層防御などの対策の効果に限界があることが明らかになってきました。
しかしながら、ほとんどのサイバー攻撃がメールであることを考えると、「ヒトによる防御」にもっと注目するべきではないでしょうか?

そして、「メールを開くことは止められない」、「不審メール訓練には限界がある」とあきらめている企業が多いのが現状です。

PhishMeの Human Phishing Defense Solution(ヒトによる標的型攻撃対策ソリューション) は、多層防御をすり抜けてきた標的型攻撃などのメールを、ヒトが「気付く」、「開かない」、「報告する」という行動ができるように支援するシステムです。

気付く開かない報告.png

フィッシュミイpng.pngPhishMe Simulator(フィッシュミー・シミュレータ)とPhishMe Reporter(フィッシュミー・レポーター)は、標的型攻撃メールに「気付く」、「開かない」、「報告する」という能力を向上させるトレーニングシステムです。

「2016 SC Magazine ITセキュリティ関連のベスト訓練プログラム賞」を受賞しました

2016年においては、メールによるサイバー攻撃の97%がランサムウェアによるものでした。この97%のランサムウェアは大きな脅威ですが、ランサムウェアに注目が集まっている一方で、残りの3%も大きな脅威です。
これらの標的型攻撃などのサイバー攻撃のほとんどはメールで行われています。また、主要なブラウザによるFlash無効化は、ますますサイバー攻撃の手段がメールに移行することを意味しています。しかし、ファイアウォール、IDS/IPS、SIEM、最新の振る舞い検知や機械学習によるウイルス検知システムなどを用いた「多層防御システム」であってもすり抜けてきます。
技術的な多層防御をすり抜けてきたメールを開くか開かないかは「ヒト」にかかっています。「ヒト」のサイバー攻撃対応能力を向上させることは、最終防衛ラインとして必要な訓練なのです。

これまで標的型攻撃など対策のための訓練には、 1年に1回か2回の不審メール送信サービスが使われてきました。これらの訓練は不審なメールの添付ファイルやリンクを「開かないように」することが主目的となっています。そして多くの組織では「不審なメールは削除すること」、あるいは「不審なメールが届いたら電話すること」などの対応を従業員に教育しています。以下の表に、主な対応と課題について示します。

phishme13.png

また、既存の不審メール訓練では、重要なコンテンツとなるメールのタイトルや本文が、実際に行われている攻撃(キャンペーン)に基づかずに作成されている例が多くみられます。それは、訓練事業者とお客様が実際の攻撃に関する情報を収集できていないためです。
PhishMe Simulator と PhishMe Reporterを用いることで、既存の訓練によるこれらの課題を解決することができます。

phishme6.png

PhishMe Simulator を用いて、以下の手順で不審メール訓練を行います。

phishme7.png

訓練用の不審メールは、豊富なテンプレートから選択し、自由にカスタマイズすることができます。日本語などの各国語のメールも作成できます。

phishme8.png

メールは、時間ごとの閾値を設定して送信ができ、閲覧・開封などの状況はリアルタイムに確認できます。

phishme9.png

PhishMe Reporter は、OutlookやNotesにインストールして利用します。不審なメールが届いたら、ユーザは「不審メール提出ボタン」を押します。ボタンが押されると自動的にメールはゴミ箱に移動され、管理者にメールそのものが転送されます。管理者は不審メールを分析し、セキュリティシステムに設定を反映させることができるようになります。

PhishMe

PhishMe社と代理店契約を締結しておりますので、弊社から各サービス・製品を購入することができます。トライアルのお申込み、説明・デモ希望、お見積もりなどは、salesinfo@sandj.co.jp までメールでお問い合わせください。

不審メール訓練/分析支援サービス

不審メール訓練/分析支援サービスの背景

最近ニュースなどでウイルス感染被害について、以下のような事例が多くなっています。

  • ■ケース1:標的型攻撃、ばらまき攻撃等
    • ウイルス感染によって、顧客情報や機密情報等が漏えいした
    • ウイルスに感染したPCが外部に対して攻撃を行っていたことが外部組織から指摘された
  • ■ケース2:ランサムウェア感染
    • 組織内のパソコンやファイルサーバのデータが攻撃者により暗号化されて、全く使えなくなり、復元する為にお金を要求され
  • ■ケース3:フィッシング詐欺
    • 経営者を名乗るメールによって、多額の振込みをさせられた
    • システム管理者を名乗るメールによって、ユーザのパスワードが盗まれて悪用された

ほとんどのウイルス感染やフィッシング詐欺による事故はメール利用で発生しています。 メールによるウイルス感染やフィッシング詐欺を防ぐためには、従来のウイルス対策に加えて、以下の対策が非常に有効です。

  • メール利用者の意識・知識の向上
  • 不審なメールが届いた時に簡単かつ迅速に報告できるシステム
  • 不審なメールとして報告されたメールを、ウイルスなのかフィッシング詐欺なのか、業務や広告などの無害なものなのかを迅速に分析するサービス

経済産業省が公開しているサイバーセキュリティ経営ガイドラインに、経営者がCIO等に指示をすべき重要事項の中に、定期的・実践的な演習の例として、標的型攻撃メール訓練が記載されていて、不審メール訓練は各組織で実施されてきました。しかしながら、従来実施されてきた不審メール訓練では、以下の課題がありました。

  • メールの内容を決めたり、スケジュールなどの打ち合わせに時間がかかる
  • メールの内容は、送信業者任せで専門的な知見が不足
  • 実施できても年に1,2回程度
  • 一度に大量の訓練メールを送ると、ヘルプデスクの電話対応に追われる

また、従来の不審なメールへの対応にも課題がありました。

  • 不審なメールは削除するようにユーザに徹底しているために、サイバー攻撃に気付かない
  • 不審なメールをヘルプデスクに届けられても分析が出来ない

そこで、S&Jでは、効率的かつ最新動向などの専門的な知見を反映した不審メール訓練を、専用システム(PhishMe)+コンサルティング+メール分析としてサービス提供いたします。

不審メール訓練/分析支援サービス

S&Jでは、不審メール訓練/報告システムとしてPhishMeを一次代理店として提供しておりますが、シナリオ(どの部署に、いつ、どのような文面で)の作成や年間計画策定、不審なメールの分析などへのご要望を多く頂いておりますことから、当社のセキュリティの運用やインシデント対応の知見/実績に加え、PhishMeのグローバル情報(全世界2000万ユーザ)を基に、効率的・効果的なサービスを提供しております。 標準サービスでの具体的なご支援内容は、以下になります。

不審メール訓練分析支援

  • ①不審メール訓練計画の策定

不審メール訓練の年間計画の策定やどのようなシナリオ(どの部署に、いつ、どのような内容で)にするのかをコンサルティングいたします。当社独自の知見とPhishMeのインテリジェンス情報をもとに、最新動向を反映した訓練を実施することが出来るようになります。

  • 訓練メールの案作成(添付ファイル or リンクつきメール、ランサム等流行っているもの or 標的型)  
  • 部門ごとの種別・回数の設定  
  • 時間ごと、曜日ごとに設定ができるので、効果的な日時を選択
  • ②不審メール訓練の実施と報告

不審メール訓練/報告システムとなるPhishMeを利用して、シナリオ設定、メールアドレス登録(部門ごと、組織ごと)、送信日時設定などを行います。指定した時間になると、指定した数のメールを指定した時間間隔、指定した時間、指定した曜日に送ることが出来ます。受信者がメール本文を閲覧した(HTML表示に限る)、添付ファイルを開いたり、リンクをクリックした場合にリアルタイムに情報を収集することが出来ます。

  • 年4回実施(別途回数を増やすこともできます) 
  • 送信数、メールの閲覧件数、リンククリック/添付ファイル開封件数の日次報告
  • 部門別、シナリオ別に集計結果の報告
  • 繰り返し、リンククリック/添付ファイル開封する社員、部門の特定と再訓練の実施

日々利用者に届く不審メールをセキュリティ担当者に簡単に報告を行うための機能となります。よく報告してくれる社員、正確でない社員などの洗い出しを行うことが可能になります。この機能は、不審メール訓練でも利用します。

  • ③不審メール分析支援(オプションサービス)

利用者から[不審メール提出ボタン]により報告のあった不審メールを解析して、報告者に結果を連絡する必要があります。
S&Jでは、報告されたメールをマルウェアやフィッシングかどうかを判定して、利用者に結果を返すサービスを提供しています。

  • <サービス概要>
  •  ・S&Jにてサンドボックスや検体解析、リンク先調査等により分析し、結果を報告者にメールでお知らせします。
  • <契約形態>
  •  ・オプションでの年間契約(利用者数に応じて、金額は変動)
  • <対応時間>
  •  ・平日日中(15時以降の申告の場合は、翌日の返答になる場合もあります)

サービス提供の流れ

buntanw.png


インシデントレスポンス
サイバー攻撃や情報漏えいに迅速に対応する緊急対応サービスを、日本全国に駆けつけて提供しています。
豊富な対応経験を活かした緊急対応から再発防止策策定まで対応いたします。

緊急対応サービス

 背  景

標的型攻撃や不正アクセスなどのサイバー攻撃や、内部関係者による情報漏えいなどの被害が疑われる場合に、緊急対応として、証拠保全や攻撃経路などを調査します。また、業務再開までの対策や、再発防止策の策定などを支援します。

 対象とするインシデント

  ■Webサイトに対する攻撃
     侵入
     情報漏えい
     改ざん(コンテンツ、ウイルス設置、アフィリエイト)
     DDoS
  ■ウイルス感染(標的型攻撃、偶発的事故) 
     メール、Web(添付ファイル、URLリンク)
     USBメモリ(一般ネットワーク、クローズドネットワーク)
  ■内部犯行
     情報漏洩
     不正アクセス

 概  要

  ■Webサイトの対応
     被害サーバや各種のログを分析し、被害の範囲の特定
     緊急対応策の立案
     緊急防御方法の検討(WAF,IPSシグネチャのアドバイス)
     サイトクローズの必要性の有無の検討
  ■ウイルス感染対応
     必要なログや情報の提示
     新種ウイルスをAVベンダーと連携して分析し、パターンファイルの作製を支援
     感染経路、感染範囲の特定
     拡大防止策の立案
     感染PCの証拠保全とHDD解析
     各種ログとHDD分析による流出情報の推定
     感染していないファイルの救出と返却
     感染拡大の鎮静化、残存感染PCがないかの監視方法の立案
     感染事案終息の確認
  ■内部犯行対応
     必要なログや情報の提示
     疑わしい端末の証拠保全とHDD解析

 イメージ

感染PCからHDDのレプリカを作成し、未知のウイルスの検体候補を静的な検査により短時間で特定することにより、パターンファイルの作成から組織全体のフルスキャンを行うまでの支援を基本サービスで行います。

緊急対応イメージ

 オプションサービス

  ■事前準備支援(それぞれ個別に選択可)
     PFW設定
     統合ログ構築
     事前準備を実施して頂くと、インシデント発生時に短時間に調査/対応が行えます。
     (事前準備を実施していなくても緊急対応支援は行います。)
  ■再発防止策策定
     暫定対策支援例
     OSや既存製品の設定の見直し
     各種セキュリティパッチ適用
     セキュリティ製品のポリシーチューニング
     上記対策の有効性の評価
  ■根本対策支援例
     セキュリティ対策グランドデザイン策定
     組織的セキュリティマネージメント(教育、ポリシー等)対策
     システム的セキュリティ対策実装


研    修
サイバーセキュリティに関する専門的な研修を、プログラマ・システムエンジニア向けに提供しています。
現場で活用して頂ける研修を弊社で独自開発しました。

プログラマ向けセキュリティ研修

背  景

これまで情報システムを狙った様々な脅威への防御策は実施されてきておりましたが、情報システムの要件定義、設計、開発フェーズからのセキュリティ実装が求められてきております。

弊社では開発現場のプログラム担当の方に以下のスキルを修得して業務に活かして頂くための、研修コースを開発致しました。

     ■セキュア開発ができ、セキュリティ上問題点を修正することができる
     ■品質管理としてセキュリティのセルフチェックができる

体  系 

ご提供するプログラマ向けセキュリティ研修の体系は以下になります。各研修コースの研修期間は2日間になります。



PHP編のカリキュラム(例)

座学&演習

  • 概  要
    • Webサイトの脆弱性を狙ったハッカーの攻撃が多様化、増加する中、セキュアにWebサイトを構築することが求められています。
    • 本研修では、Webサイトをセキュアにコーディングする方法を学ぶだけでなく、脆弱性がないかをセルフチェックすることが出来るようになるための知識、スキルを修得していきます。
  • 修得目標
    • Webサイトを狙った攻撃手法に関する基礎知識を習得する。
    • Webサイトのセキュアコーデイングの知識、スキルを修得する。
    • 開発したWebサイトの脆弱性をセルフチェック出来る知識、スキルを修得する。
  • 前提知識
    • Webサイトを構築した経験があること。
  • 講座内容
    • Webサイトを狙った攻撃
      • 攻撃動向とその脅威
    • PHPを用いたWebアプリ開発とは
      • 基本的な仕組み
      • 開発アプローチをセキュリティ
    • 要件定義フェーズでの考慮事項
      • セキュアなWebアプリの要件とは
    • 設計開発フェーズでの考慮事項
      • セキュアなWebアプリデザイン
      • セキュアコーデイングの基本
      • 検討すべき事項
    • セキュアコーデイング実践①(インクジェックション攻撃対策編)
      • 脆弱性の仕組み
      • 脆弱性攻撃講習
      • セキュアコーデング演習
      • 対策後のセキュア検査
    • セキュアコーデイング実践②(CSRF対策編)
      • 脆弱性の仕組み
      • 脆弱性攻撃演習
      • セキュアコーデイング演習
      • 対策後のセキュア検査
    • 脆弱性セルフチェック
      • ブラックボックス検査
      • ホワイトボックス検査
      • 脆弱性検出後の対処
    • 脆弱性セルフチェック演習
      • 脆弱性スキャンの実施
      • 識別された脆弱性の検証 
  • 日  数
    • 2日間
  • 使用機材
    • パソコン

システムエンジニア向けセキュリティ研修

背  景

これまで情報システムを狙った様々な脅威への防御策は実施されてきておりましたが、情報システムの要件定義、設計、開発フェーズからのセキュリティ実装が求められてきております。

弊社では情報システムの要件定義から開発、運用を担うシステムエンジニア担当の方に以下のスキルを修得して業務に活かして頂くための、研修コースを開発致しました。

     ■セキュリティに関する要求定義が作成できる
     ■セキュリティを考慮したソフトウェア、ハードウェアの設計ができる
     ■構築するシステムのセキュリティのテストが行え、バグの修正ができる
     ■稼動したシステムのセキュリティ対策の持続的改善のための構造構築ができる

体  系

ご提供するシステムエンジニア向けセキュリティ研修の体系は以下になります。各研修コースの研修期間は2日間になります。


セキュアな要件定義、開発、テスト、運用(例)

座学&演習

  • 概  要
    • ソフトウエアを狙った巧妙化・複雑化するハッカーの攻撃に備え、より安全にソフトウエアを設計、構築する必要があります。
    • そのため、ソフトウエア開発を行うにあたって要件定義から設計、開発、テスト、運用、保守、利用、廃棄までの一連の流れで、セキュリティを考慮する必要があります。
    • 本研修では、ソフトウエア開発のライフサイクルの基礎を修得していきます。
  • 修得目標
    • セキュリティの重要性を理解し、システム開発における要件定義段階で、セキュリティに関する要件を定義できるようになる。
    • セキュリティ要件を、具体的なシステム開発・テスト・運用を通して実現できるようになる。
  • 前提知識
    • コンピューターの概要に関する知識を有すること。
    • 情報理論、ハードウェア、ソフトウェアに関する基礎知識を有すること。
  • 講座内容
    • セキュアなシステム開発とは
      • セキュリティの重要性と脅威
      • システム構築の主要作業
      • セキュアなシステムを実現すために必要な作業
    • セキュア要件定義
      • セキュア要件とは
      • 要件を具体化するための作業
    • セキュア要件定義の実践
      • 演習課題の理解
      • セキュア要件の文書化
    • セキュアソフトウェア設計・開発
      • セキュアなソフトウェア設計とは
      • 最近のソフトウェア開発の動 (クラウド、スマートデバイス等)
      • セキュリティ設計手法
      • デザインレビュー
    • セキュアソフトウェア設計・開発の実践
      • 演習課題の理解
      • 設計開発演習
    • セキュアなソフトウェアテスト
      • セキュアなテストとは
      • セキュリティテストの実施手段
    • セキュアなソフトウェアテスの実践
      • 演習課題の理解
      • セキュリティテスト演習
    • セキュアなソフトウェアの受入
      • メリット
      • 受け入れ判断
      • ソフトウェアの調達
      • 認証と認定
    • ソフトウェアの本番環境、運用・保守、廃棄
      • ハードニング
      • 構成管理、問題管理
      • インシデントマネジメント
      • 安全な廃棄
    • ケーススタディ
  • 日  数
    • 2日間
  • 使用機材
    • パソコン

製品・サービス等に関するお問い合わせの方へ

お問い合わせ
salesinfo@sandj.co.jp
までメールでお問い合わせください。

講演・執筆・取材依頼その他のお問い合わせの方へ

お問い合わせ
daihyoinfo@sandj.co.jp
までメールでお問い合わせください。