インシデント調査

インシデント対応で求められる調査を独自技術で迅速かつ高度に実現

事業リスクの最小化や早期の事業復旧が行うことができます

インシデント発生時によく行われるのが、被害にあった端末のフォレンジックのみで、そのフォレンジックにも1ヶ月以上かかってしまい、調査することが目的化しているケースが多く見られます。
当社のインシデント調査は「お客様の事業リスクの最小化」、「早期の事業復旧」を目的として、その目的を達成するための調査を実施いたします。

ファストフォレンジック(検体解析含む)

お客様の業務環境(パソコンやサーバー)でインシデントと思われる事象が発生した際、迅速な情報収集活動を支援し、収集された情報に対してアナリスト が分析を行い、対応策を緊急立案することでインシデントの影響を最小化することを目的としています。

独自情報収集ツール「IRCollector(略称:IRC)」をご提供するため、分析に必要な情報が容易に取得可能です。
取得された情報は専門家が分析し、随時検出状況を共有、簡易報告書を提出いたします。
インシデントが発生した後、保全活動を行ってから分析活動を開始するデジタルフォレンジックスとは異なり、スピーディーな状況把握・対策立案が可能です。

IRCollector(IRC)とは

IRCとは、インシデントの初動対応に必要となる情報、Windows OS情報(システム情報)、 Windowsネットワーク情報、ネットワーク情報、設定情報、ファイルシステムなどを自動で取得するツールです。
IRCの実行ファイルを調査したい情報資産にコピーし、実行するだけで初動対応に必要な情報が取得されます。
取得した情報は自動的にパスワード付き暗号化ファイルとして保存されます。

ファストフォレンジックの流れと役割分担

IRCの結果データと併せてインシデント発生時の状況やデータを可能な限りご提供ください。

  • 発生・検出時刻(必須)
  • 発生・検出直前の操作(メール・Webの閲覧など)
  • 検出ソフトウェアのログなど(検出のきっかけがアンチウイルスソフトなどの場合を想定)

環境によってアンチウイルスソフトがIRCを不正プログラムとして検出する場合がありますので、その場合はホワイトリストに設定するなどの対応をお願いいたします。

ネットワークフォレンジック

インシデント発生した端末(パソコン・サーバー)は、情報の改ざんや消去がされていることが少なくなく、端末の情報だけではインシデントの全容を把握することが難しいケースがほとんどです。
ネットワークフォレンジックでは、インシデントが確認された端末と関連する機器・ソフトウェアのログを分析することにより、被害範囲の特定やどのようなリスクが発生していたのかを調査することができます。
しかし、ログは機器・ソフトウェアごとにフォーマットや表現が異なるのに加え、大量に出力されるため確認は困難であることが多く、セキュリティに関する知見を備えていなければ意義のあるものになりません。

本サービスでは、インシデント対応の経験が豊富な当社アナリスト が迅速かつ高度に分析を行い、被害範囲の特定やどういったリスクが発生していたのかを報告いたします。

ネットワークフォレンジックの特徴

  • インシデントに関連する脅威を検出できる
    • 当社があたりをつけたログを提供いただくだけで診断が可能です。
  • 内部不正や設定の不備など危険な兆候を検出
    • 不正プログラム感染だけではなく、内部不正が疑われる通信や設定の不備など認識していなかった危険な兆候を検出することができます。
  • ポリシー違反の可能性がある通信を検出できる
    • SNS・オンラインストレージの利用、未承認IoTデバイスの接続、リスクウェアの利用、など発見が難しいポリシー違反の可能性がある通信を検出できます。

インシデント発生時以外にも、このようなリスクの可視化におすすめ

  • 不正プログラムなどによる不審な通信がないか調査したい
    • 数多くの不正プログラム対処実績を基に得た知見と、独自の分析手法により不審な通信を行っている端末を検出します。
  • ネットワーク機器の設定に不備がないか確かめたい
    • 不適切な設定による不要な通信や、必要な通信の遮断なども検出します。
    • ファイアウォールポリシーをご提供いただくことで、不要なルールを検出します。
  • ガバナンスが維持できているか不安
    • SNS・オンラインストレージの利用などポリシー違反となる可能性がある行為を検出します。
    • フリーソフトのダウンロードやソフトウェアからの通信を検出します。
  • ネットワークの健常性を確認したいが分析用の資産は持ちたくない
    • 現状取得されているログをご提供いただければ診断可能です。追加の機器は必要ありません。

調査実施の流れ

Active Directory診断

現在の脅威動向を踏まえて、Active Directoryおよびファイルサーバーを狙った攻撃を診断するサービスになります。
また、脅威を検出するのに必要な監査ログの設定が適切に設定されているかの診断も行います。
本サービスで検出可能な脅威を全て検出するためには、サーバーにて監査ログの設定が必要な場合があります。
お客様にて事前に監査ログの設定を実施した上で脅威診断を行うか、実施しないで行うかはご選択いただけます。

  • 対象機器:Active Directoryサーバー、ファイルサーバー
  • イベントログを分析エージェントおよびアナリストが分析
    • 最新脅威動向を踏まえて、Active Directory、ファイルサーバーを狙った攻撃を診断
    • 脅威を検出、脅威発生時に分析するために必要な監査ログの設定が適切に行えているかを診断

Active Directory診断の詳細はこちらから

本サービスへのお問い合わせ