標的型攻撃にいかに立ち向かうか～巧妙化する脅威に組織がとるべき対策とは～竹内文孝

Copyright © NTT Communications Corporation. All rights reserved.

標的型攻撃にいかに立ち向かうか～巧妙化する脅威に組織がとるべき対策とは～

NTT コミュニケーションズ株式会社NTT コムセキュリティ株式会社竹内文孝　 ,CISSP

2015 年 9 月 4 日


目　次

2

1. プロフィール

2.ICT 環境を取り巻くセキュリティ脅威の動向

3. インシデント対応ライフサイクルの強化について

4.WideAngle の紹介


１．プロフィール


NTT Com グループのマネージドセキュリティビジネスの歩み

4

設立： 1988 年（事業内容）フルレイヤーセキュリティサービスの構築・運用（実績）欧米を中心に、業種を問わない豊富な実績

設立： 1986 年（事業内容）セキュリティコンサル及び、 MSS の提供（実績）官公庁及び金融業を中心に豊富な実績

2009 年　　 INTEGRALIS 　買収

2010 年　　 SECODE 　買収

2003 年　 NTT コミュニケーションズ　セキュリティオペレーションセンタ　設立

2011 年　　 INTEGRALIS 、 SECODE 会社統合

2012 年　　運用基盤統合

2013 年　　 NTT コムセキュリティ設立

NTT セキュアプラットフォーム

研究所

協力

■ 　マネージドセキュリティサービスの実績 11,000 台以上（ Global 全体）■ 　コンサルティングサービスの 25 年に渡り 8,000 件以上の案件を実施


セキュリティ分野における第三者評価・アワード

IDC IT MarketScape APAC MSS 2015

日経 BP 社クラウドランキング

【 FireEye 社】Top Partner Performance

Award 2014

⇒ NTT Com は、 APACでマネージドセキュリティサービスプロバイダとしてリーダポジションの評価

56

【 Fortinet 社】FortiHero Top Global Partner

Award 2014

【 PaloAlto 社】Japan Theatre Managed

Service Provider of the YearAward 2015


2.ICT 環境を取り巻く　　　　　　セキュリティ脅威の動向


サイバー攻撃の変遷

8

将来

主目的手段防御側に求められる対策

愉快犯・ Mail 添付ウイルス・ USB 媒介ウイルス・サーバ不正アクセス・バックドア設置

入口対策・ Internet GW の不正アクセス対策 (FW/IDS/IPS)

・ Internet GW/ サーバ / クライアントへのウイルス対策

・ DMZ 内各種サーバの脆弱性診断、解消金銭搾取・マルウェア配布サイ

ト・模倣サイト・内部者による持ち出し

+出口対策

・クライアントから有害サイトへのアクセス制限（ URL フィルタリング）

・企業内ネットワーク及び利用アプリ可視化・個人情報等のアクセス管理強化

テロ活動軍事活動示威活動

・ゼロデイ攻撃・標的型 /APT 攻撃・ Ransomware・ DDoS ・ BOT ネット・制御系 NW への侵入

+ 多層防御・未知のリスクへの対応

・企業内 LAN に潜む未知のマルウエア対策・機器の異常な振る舞い検知・防御・アクセスログなどの証跡保存・ CSIRT 設立

現在

・サイバー攻撃の目的が変容し、その攻撃手段はより高度化、巧妙化、組織化している・防御側の対策もより高度な技術が要求され、しかしながらその対策は後手に回ってい

るのが実情・防御よりも、侵入を前提としたインシデンスレスポンス重視の傾向


標的型攻撃のパラダイムシフト

8

　従来のアプローチ新たなサイバーセキュリティ考慮するスコープ • 自社および自社グループのみ • 相互接続されたグローバルビジネス

エコシステムの範囲

誰の責任下で対応するのか

• IT 部門が主導し運営する • ビジネスの責任者： CEO および取締役会の説明責任

攻撃者の特徴 • 偶発的（釣れるのを待つ）• 便乗型（バックドア再利用）

• 戦略的（組織的な作戦、明確な標的）

情報資産の保護 • 総花的なアプローチ • 「資産価値の高い情報」を優先し、保護する

防御体制 • 境界線防御：攻撃された際に受動的に対応

• 攻撃を想定した事前計画、監視および迅速な対応

セキュリティ情報共有

• 自社限り • 官民の協力：業界のワーキンググループとの連携

• CSIRT間での連携

攻撃者は企業の古い防御（境界）を迂回し、標的を絞って検知しにくい攻撃を次々に仕掛けている。企業は、従来のセキュリティに対する考え方を改め、次のような新たなアプローチをとる必要がある。


標的型攻撃の典型的な手法とは・・・

悪性サイトに誘導するメールやマルウェアを添付したメールを送付

ターゲット攻撃者

URL をクリックしたり、添付ファイルを開封し、マルウェアに感染

実在する人物・団体を装ったり、いかにも開きたくなる文面で送付

社内システム

悪性サイト/C&C サーバ

ウイルス対策ソフトでは検知されない

他端末への感染拡大

標的企業

マルウェアが攻撃者のC&C サーバと通信遠隔操作、情報窃取などが可能に

マルウェア配布サイト

新たなマルウェアを追加ダウンロード

管理者権限などでほしい情報を

探索

情報漏えい

4,906 件

356 種類代表的な

AV/AS では検知できず

侵入 ! 10.1%10 人に 1 人は

開いてしまう !?

【出典】内閣官房　平成 23 年度標的型不審メール攻撃訓練結果の概要

AV/AS

IPS/Proxy/Sandbox39 件170億件

脅威の発見は宝くじに

当たるくらい難しい !!

9


企業に侵入する未知マルウェアの実態・企業のインターネット GW を通過したマルウェア添付メールをサンドボックスで検知・当該マルウェア検体をほぼ同時にウイルス対策製品で検査

平均月間メール通数： 13,821,493通平均月間添付ファイル数： 422,413 件

未知マルウェア添付のメール通数(AVメーカ 4 社でチェック )

既知マルウェア添付のメール通数

： 1 社以上が検知：４社とも未検知

FirewallAnti-SpamAnti-Virus

社内 PC

Sandbox

４社 AV の最新ﾊﾟﾀｰﾝ

で検査

10


現在の標的型攻撃は、狙った情報に対して臨機応変に絶え間なく攻撃を行い、やがて防衛ラインを突破／侵入し攻撃を達成します。

以前の委託業者

わからない

委託業者

ハッカー

退職者

現行の従業員 27%

11%

18%

5%

8%

43%18%

18%

15%

24%

30%

35%

（出典： PwC「相互につながった世界におけるサイバーリスクマネジメントグローバル情報セキュリティ調査 2015」）

日本（ n=206 ）グローバル（ n=9,329 ）

日本企業の 43% はインシデント発生要因が不明 !?

11


様々な環境変化を踏まえた中期的な展望

12

環境変化対策強化の中期的展望

サイバー空間とリアル空間の融合 /連動（グローバル化＝ボーダレス化）

CSO 体制の整備とそれを支えるインテリジェンスの整備⇒サイバー空間の出来事が国家テロや企業経営に多大な影響を与える。火の粉が降りかかった時の初動や統制が影響範囲のカギを握る。

社会インフラや制御システムのオープン化、 IoT の進展、及びその集中管理による効率化

個別システムのリスクシナリオを把握したインシデント管理体制の整備⇒社会インフラや制御系システムなどログ管理システムや CSIRT 体制の導入の他、物理セキュリティ等との連携も要求される。また、投資対効果の評価も重要。

サイバーセキュリティに関する各国の法整備

各国の法律や環境、慣習など配慮したリスクマネジメントフレームワークの整備⇒グローバルに精通した専門的な支援体制が要求される。

第 2 インターネットの具現化？（物理的に？または論理的に？）

SDN/NFV 等を駆使したセキュアなネットワーク環境の導入⇒キャリアクラウドの活用など


3. インシデント対応ライフサイクルの　強化について


インシデント対応ライフサイクルの強化について( 標的型攻撃の実態）■ ウイルスは GW をすり抜ける■感染端末は制御される■ 攻撃は水面下で達成されている

・侵入／潜伏したウイルスを検知・インシデントを分析／把握・被害範囲を最小化・迅速的確な再発防止策の実行

* 出典： NIST (National Institute of Standards and Technology)発行「Guide to Malware Incident Prevention and Handling」（マルウェアによるインシデントの防止と対応のためのガイド）の「 Figure 4-1. Incident Response Life Cycle」（インシデント対応のライフサイクル）

14

【準備】・プロセスの整備・人の体制化・技術の導入

【事故後の活動】・事故全容の把握・コストの把握・再発防止策の立案

【検知と分析】・前兆を知る・兆候を掴む・攻撃を把握する

【封込、根絶、復旧】・封じ込めの実行・感染源の識別と駆除・封じ込めの解除


トータルセキュリティへの視点

8

◆インシデントレスポンス対応・役割、体制、一元コントロール・発生状況の把握～対処までの手順書化、実施確認

平時のマネジメント有事のマネジメントPDCA マネジメントサイクルを廻す

◆セキュリティポリシー策定◆セキュリティに対する文化の醸成◆推進・管理体制構築◆ポリシー遵守状況のモニタリング・是正

◆内部監査　 ◆第三者認証取得◆委託先管理 ◆グループ機関との連携◆外部機関との連携 ◆外部情報の収集・活用

◆階層別役割別セキュリティ研修◆誓約書の取得による意識醸成◆社員区分ごとに応じた情報取扱◆罰則の規定による抑止

人的観点

◆業務プロセスの見直し◆情報アクセスの申請・承認制導入◆情報のライフサイクル管理

プロセス的観点◆インターネット GW セキュリティ　 FW 、 IDS 、 Mail/WWW フィルタリング等◆フィジカルセキュリティ　入退室管理、監視カメラ、エリア分け等◆エンドポイントセキュリティ　 PC検疫、書出し制御、持出抑制、シンクライアント化　脆弱性診断等

技術的観点

企業の機密情報を守りつつ、業務運営を行なうために「情報を守る」⇔「情報を使う」

マネジメント的観点

マネジメント的観点を主に技術、人的、プロセスの観点の整合性が取れたセキュリティ導入を目指します。


標的型攻撃の被害を最小化する対応策

社会保険オンラインシステム

そのうち 55万件にはパスワードによるアクセス制限はされていなかった。

約 125万件

②5/8 以前、第 1弾受信⑦5/18 、第 2弾を複数受信⑧5/20 、第 3弾を複数受信

職員攻撃者

ファイル共有サーバや個人の端末にデータを保存

年金加入者個人情報

厚生労働省などを装ったメールが送信される

作業用にデータを抽出

情報系システム

悪性サイト/C&C サーバ

③URL クリック

④悪性サイトに　アクセス

⑤ウイルス感染＆バックドア

⑥機構内情報が流出

⑨被害拡大

⑩個人情報が流出

外部サーバに情報を保存。一部は、東京都港区の海運事業者やアメリカのサーバに保存されていた。

①個人情報を作業用にコピー

メールの中から怪しいファイルを検出し、インターネット GW をすり抜けた未知のウイルスを

洗い出す

WideAngle／RTMD

RTMD にて、悪性サイトや C&Cサーバの評価情報に基づき、そのサイト向けの通信を検知、自動的に遮断

WideAngle／ RTMD

未知のウイルスを検知後15 分以内に、当該メールの送付先ユーザーに注意喚起メールを通知し、

クリック実行を抑制

WideAngle／ RTMD

社内に接続される PCやサーバの異常な振る舞い情報を収集し、感染範囲の確認やリモート隔離を

実行

WideAngle／ EPTP

RTMD : Real Time Malware Detection　　　　→WideAngle が提供するネットワーク型の標的型攻撃対策サービスEPTP : End Point Threat Protection 　　　　→WideAngle が提供するエンドポイントの標的型攻撃対策サービス

23


4.WideAngle の紹介


プロフェッショナルサービス

セキュリティ対策機器 /ソフトウェアの導入サービス

マネージドセキュリティサービス

NTT コムの総合リスクマネジメントサービスメニュー

18


◆　２ 5 年にわたる豊富な経験と実績（ 8000 件以上）

プロフェッショナルサービスのメニュー

19

メニュー対策概要

コンサルティング

総合コンサルティング

グローバルコンサルティング

Global Enterprise Methodology (GEM) に基づくグローバル企業向けコンサルティング

システムリスクアセスメント

IT システムセキュリティのベストプラクティスとのギャップ分析によるリスク評価

CSIRT 構築支援インシデントレスポンス体制整備支援

エントリーモデル

バーチャル CSO 時間契約 (前払い /80h) で、セキュリティに関する戦略的・実践的な助言を提供

非常勤エキスパート

時間契約 (半年分前払い /9 日 ) で、特定の技術分野における専門家による技術的な助言を提供

ワークショップ個別テーマに関する教育セッション (1回半日 )

レスキューサービス

総合インシデントレスポンス緊急事態にプロフェッショナルエンジニアが調査・分析を実施初動対応、調査分析、改善提案まで提供

インシデント初動対応パック情報の整理、事象の把握と調査、被害の拡大防止までを実施

脆弱性診断プラットフォーム脆弱性診断 OSやミドルウェアなどの脆弱性を検出、リスクを可視化

Web アプリケーション脆弱性診断 Web アプリケーションの脆弱性を検出、リスクを可視化

脆弱性マネジメント

セルフ脆弱性診断脆弱性診断～対策管理までを定期的・継続的にお客さま自身で行う環境を提供

総合脆弱性マネジメントCSIRT 向け管理 / 統制支援（システム情報管理、脆弱性検出 /通知、対策 / リスク管理機能をお客様専用基盤として提供）


20

イン

フラ

スト

ラクチャ

プロ

テク

ショ

ンリ

スク

マネ

ジメ

ント

日本個別メニュー（ MDM 、 PC ウイルス対策等）

< セキュリティ対策メニュー >

様々なセキュリティ機器からのアラートやサーバ等のログを精査、相関分析することで、真の脅威を検出すると共に、感染端末の特定、攻撃の進展度合いを分析

入口対策で検出した脅威を内部対策や出口対策に連携し、被害を防止又は極小化

NW セキュリティ Firewall/IPS&IDS

コンテンツセキュリティ

Email/Web-Anti-Virus

URL Filtering

WAF (Web Application Firewall ）

VM セキュリティ VM-Anti-Virus/Firewall

プロファイリングApplication Profiling

Network Profiling

リアルタイムマルウエア検知

RTMD Web/email(On site)

Cloud base RTMD

エンドポイントスレットプロテクション（ End Point Threat Protection ）

CLA (非セキュリティ設備との総合ログ相関分析 )

イン

フラ

スト

ラクチャ

プロ

テク

ショ

ンリ

スク

マネ

ージメ

ント＆

スレ

ット

プロ

テク

ショ

ン

A 突発的な脆弱性出現に緊急対応するカスタムシグニチャの運用

侵入／潜伏した未知の脅威や、内部の異常な振舞を検知・分析する GROC＋独自 SIEM の総合

ログ相関分析と重篤度判定、防御のための制御実施

B

F

D

E

CC

*1 グローバルリスクオペレーションセンタ*2 セキュリティインフォメーションアンドイベントマネジメント*3 モバイルデバイスマネジメント

*3*1 *2

マルウェアの検知～分析～感染端末の特定～隔離と被害拡大を一連制御するトータルマネジメ

ント

Windows 環境に潜伏したマルウェアの振舞を検知～分析～拡散防止する国内初の独自対策

マルウェアの検知～分析～防御（拡散防止）～駆除までをクラウド型サービスで一元的に提供

D

1

2

1 2

サイバー攻撃に対する多層防御ソリューション


21

パソコン

既知ウイルス対策ソフト

攻撃サイト

　 Sandbox　 ( 未知ウイルス検知 )

スパムメールを隔離既知ウイルス付メール排斥

入口対策

入口対策

内部対策

マルウェア振舞検知・防御

攻撃証跡収集・から隔離ﾈｯﾄﾜｰｸ内部対策

内部対策

マルウェアと攻撃者間の通信を即時に遮断

Sandbox(仮想環境 ) でファイル実行→感染可能性検知

メールサーバ　

アンチウイルススパムメール

感染による活動

公開Webサーバ　

Web ｱﾌﾟﾘｹｰｼｮﾝﾌｧｲｱｳｫｰﾙ

専門分析官(24時間 365 日 )

脆弱性攻撃・ ID/Pass総当たり攻撃等を検知・遮断

独自開発ログ総合相関分析システムと高度な分析官による即時検知・防御のための制御

USBメモリ

Sandbox(仮想環境 ) で分析した未知ウイルスから、悪性サイトを検出し、攻撃者との通信を検知

Sandbox( 未知ウイルスによる悪性通信検

知 )出口対策

NTT Comグローバルリスクオペレーションセンター

入口対策： Web サイトへの攻撃、ウイルスの社内流入を検知・防御内部対策：ウイルスが PC の脆弱性を突いた感染を防止、感染後の行動を検知。感染 PCの隔離、被害範囲確定出口対策：ウイルス感染しても攻撃が成立しないよう攻撃者との通信遮断

お客さまICT 環境

Web アクセスフィルタリング

出口対策

プロキシサーバ　

C

B

D

E

ログ / アラート

制御

NTT Com の WideAngle は多層防御のコンセプトにて、入口 / 内部 / 出口の各ステージで対策を実施

グローバルリスクオペレーションセンターで高度分析を行い、各ステージ間を連携、被害防止・極小化

／ﾌｧｲｱｳｫｰﾙ IDS （侵入検知装置）／ IPS （侵入防御装置）／ｱﾝﾁｳｨﾙｽA

連携 / 制御

F

C

サイバー攻撃に対する多層防御ソリューション


・独自開発の新セキュリティ運用基盤と専門アナリストによる運用監視　体制により、サイバー攻撃などのリスクを最小化・お客様はロケーション（クラウド / コロケーション / お客様拠点）に　関わらずサービスをご利用可能

* SIEM ： Security Information and

　　　　　 Event Management

グローバルリスクオペレーションセンター

新セキュリティ運用基盤

運用監視 / ログ収集

お客さま

レポート

イベント通知

改善提案

*Engine 等

※Bizホスティングエンタープライズクラウドではオプションとしてご提供

お客さま拠点コロケーションクラウド

マネージドセキュリティサービスの提供体制

22


“ShellShock”0:00①脆弱性公開　パッチ提供

0-day 20時間

IPS

A製品

B製品

WAF

C製品

D製品

9/25 13:00 作成

9/26 17:30 公式提供

9/29 10:00 公式提供

9/27 10:30 公式提供45.5 時間

87.5 時間

28.5 時間

9/25(木 ) 26( 金 ) 27(土 ) 28( 日 ) 29( 月 )

15:00②脆弱性公開　 (修正もれ )

11:00②パッチ提供

▲ ▲ ▲

● ●

9/25 13:00 作成● ●

9/25 18:30 作成● ●

9/25 22:00 作成●

9/2? ??:00 公式提供●

?? 時間

　 GROC のカスタムシグニチャ緊急対応サービス

23

A B


「 RTMD」&「 EPTP Validation & Isolation」連携

24

エンドポイント

管理機能RTMD で検知したウイルスの振る舞い情報

社内 PC 管理社内サーバ管理

・感染範囲・端末の特定　など実態の把握が可能

・感染端末の隔離が可能

リアルタイムマルウェア検知(RTMD Web/email (On site) )

RTMD Mail

RTMD 管理機能RTMD Web

(仮想実行環境によるメールの解析 )

(仮想実行環境によるウェブトラフィックの解析 )

FW

EPTP Validation & Isolation

グローバルリスクオペレーションセンター

・リアルタイム解析・攻撃内容、重篤度通知・インシデントレスポンス・フォレンジック対応

FireEyeサイバーデフェンスセンター

Internet

Agent AnywhereTM

ウイルスの振る舞い情報をもとにスキャンの実施

・送受ファイルの感染有無確認（ RTMD による振る舞いでの未知のウィルス検知）情報を活用した網内全 PC/ サーバに対する総スキャンでの感染範囲の確認（インシデントレスポンス機能）

・サーバ /PC の感染範囲証跡記録、漏洩情報等攻撃の活動範囲、内容の確認（フォレンジック機能）・エンドポイント管理機能を活用したリモートによる迅速な感染端末の LAN からの隔離、以降の拡散

防止（インシデントレスポンス）

考えうる既知の攻撃防御→未知（ APT 等標的型攻撃、社内からの漏洩）の攻撃検知　⇒ 検知のみならず以降の攻撃からの防御 ⇒ 攻撃の証跡、影響範囲の把握 ⇒ 全般的な影響範囲把握、以降の情報漏洩事故等の阻止 ⇒ 法的対応を可能とする証拠収集

顧客ニーズの変遷

サービス拡大範囲

(EPTP Validation & Isolation)

お客さま ICT環境

C Ｄ1 1


Sandbox 運用（ RTMD ）における真の脅威の絞り込み

25

C

機器でマルウェアの可能性があると検知されたイベント / アラートのうち真に対応が必要となるものは約 30％であり

オペレーションの中で仕分けることが必要です

未知のマルウェアの駆除（対処）

機器で実施する範囲

NTT Com が独自ノウハウで実施する範囲

既存セキュリティ対策を突破したファイル /通信

Sandbox 機器で検知したファイル /通信

検知したファイル /通信を分析し、分析エンジンとアナリストで仕分けを実施

対処すべき未知のマルウェア

？？？約 30％に絞り込まれる

独自開発したマルウェア判定エンジンで、効率的＆高精度な検知を実現

数百万台のクライアントウイルス対策と約 6,000 台のセキュリティ機器の運用ノウハウで、

更なる仕分け！

＊

1


RTMD で検出した侵害の兆候を既存セキュリティ機器に連動させて防御する

悪性サイトに誘導するメールやマルウェアを添付したメールを送付

ターゲット攻撃者

URL をクリックしたり、添付ファイルを開封し、マルウェアに感染

実在する人物・団体を装ったり、いかにも開きたくなる文面で送付

社内システム

マルウェア配布サイト/C&C サーバ

ウイルス対策ソフトでは検知されない

標的企業

マルウェアが攻撃者のC&C サーバと通信し、遠隔操作や情報窃取などが可能に。または、新たなマルウェアを追加ダウンロード

管理者権限などでほしい情報を探索

AV/AS

FW/IPS/Proxy

RTMD により検知した未知の脅威 ( マルウェア・エクスプロイト・悪意ある WEB サイト通信等 ) 情報を検証する複数ベンダのマルウェア検知機能 (BeatWash) により、疑わしい URL 情報を抽出危険と判定された URL について、機器の URL フィルタリング機能を利用して、危険サイトへの接続を準リアルタイムに暫定的に遮断アナリストによる詳細分析により危険サイトの真偽判定、恒久遮断・許可判定反映

オンプレミス型 RTMD の付加サービスとして、攻撃者との通信を遮断することにより攻撃を防御

Sandbox

①ファイルをコピー

NTT Com グローバルリスクオペレーションセンター

Reputation DB リスクアナリスト

③疑わしい URL情報を抽出

②ファイルの解析結果を送信

④危険と判定されたURL 情報を自動連携

BeatWash

⑤Reputation DB のブラックリスト情報により情報精査

（ 2時間以内）

お客さま運用担当者

URL 情報に関するお問い合わせへの対応

□次世代ファイアウォール　パロアルトネットワークス社□プロキシサーバ　ブルーコートシステムズ社　 Squid （オープンソース）□Web フィルタリング製品　デジタルアーツ社（ NEW! ）

通常の安全なサイト

②~④平均 10 分以内（最大 20 分以内）

１

２３

F

26


Cloud base RTMD （リアルタイムマルウェア検知）サービス

Internet

トレンドマイクロ社アンチウィルスゲートウェイ

メールサーバーなど

＜攻撃者＞

お客さま ICT 環境

Arcstar Universal One

*本サービスには監視回線が含まれておりませんので別途契約が必要です。 L3接続、 Cloud-GW接続オプションが必要です。

TrendLabsNTT コム SOC

Deep Discovery Analyzer(Sandbox)本サービスでの提供範囲お客様にご準備いただく範囲

パターンファイル配信サーバ

既知ウィルスはパターンファイルで検知

※2 トレンドマイクロ社の GW製品で、未知ウイルスの可能性があると判定されたファイル

② Sandbox技術による未知のウィルス検知

③ トレンドマイクロ社と提携しパターンファイルの開発

④ パターンファイルの配信

⑤ パターンファイルの更新既知ウイルスとして検知・防御

※1 C&C サーバリストダウンロード機能

サービス提供基盤

①パターンファイルをすり抜けた未知ウイルスは転送※ 2

・未知のウイルスの検知、分析、防御の一連のサイクルを自動で行うクラウド型 Sandbox サービス・お客様のアンチウイルス GW と連携し、 NW 経由で容易に Sandbox 解析機能を利用可能・トレンドマイクロ社と協業し、未知ウイルスのパターンファイルを自動生成し、 GW へ配信

C

27

2


EPTP Analysis & Blocking

FFR yarai

Windows Error Reporting

EPTP エンジン（ MTDS連携・ブロック機能）

MTDSAnalyzer

企業 LAN

※必要に応じてエスカレーション

NTT コム分析センタ

・攻撃元 URL・攻撃コード・分析レポート

MSS

FFR yarai ヘルプデスク

（お客様 CSIRT/SOC連携可能）

セキュリティ監視

yarai 管理

MTDSMTDSアナリスト＠ US

・攻撃元 URL・攻撃コード

2

3FFREMC

お客様環境

Mail

MTDSCollector

クラッシュ＆攻撃発生時のメモリダンプ

1

MTDSアナリスト（ SOCメンバー）

FFR yarai の管理サーバ・ yarai の検知情報集積・検知ルールの配布

・ FFR yarai の攻撃検知やWindows 異常検知のログを一元的に収集／管理・ Microsoft と連携したログ分析技術により攻撃元 URLや攻撃コード等の情報を抽出しブラックリスト化・ブラックリストを FFR yarai に反映し、当該攻撃の再発や同手法による未知の攻撃をブロック

D

28

2


SIEM(Security Information and Event

Management)

セキュリティ機器

非セキュリティ機器

Firewall ProxyWindow

s Linux

Apache IIS

IDS IPSSandbo

xAnti Virus UTM

NGFW

総合分析・脅威通知サービスは , さまざまな機器のログを収集し , お客さま環境に潜在するセキュリティリスクを発見するログ相関分析サービス

ログ収集（ビッグデータ）

分析エンジン

L3 アナリスト

E　　　侵入／潜伏した未知のリスクも可視化する独自SIEM＋GROCの総合ログ相関分析

29


CLA サービスの検知性能について

＊ 1 2014 年 7 月 7 日～ 8 月 28 日　＊ 2 Real Time Malware Detection

NTT Com グループ独自の SIEM エンジンやブラックリストなどにより、従前の対策で検知困難な未知の重篤なセキュリティ脅威を発見

< 未知の重篤なセキュリティ脅威検知事例>53 日間 *1 の重篤な脅威検知数導入内容 (A 社様 )

従前の対策による既知の脅威検知に比べ　約 10倍　のセキュリティ脅威を検知

4 件 IPS/IDS による検知

NTT Com グループ独自セキュリティ運用基盤による未知の脅威検知

SIEM エンジンによる検知： 11 件独自ブラックリストによる検知： 2 件

従前の対策による既知の脅威検知

Sandbox技術を活用した RTMD*2

による検知

35 件( 内訳 )

22 件

( 内訳 )

13 件

170億件 /53 日のログを抽出

監視対象： PC約 8万台

( ログソース： IPS/IDS, Sandbox, PROXY)

セキュリティ運用基盤による分析22万件の疑わしい

ログに絞り込み

リスクアナリストによる重篤度判定

39 件の重篤なセキュリティ脅威を検知

30

E


ご清聴ありがとうございました。

総合リスクマネジメントサービス「WideAngle」http://www.ntt.com/wideangle_security/

Technology

標的型攻撃にいかに立ち向かうか～巧妙化する脅威に組織がとるべき対策とは～竹内 文孝

標的型攻撃にいかに立ち向かうか～巧妙化する脅威に組織がとるべき対策とは～竹内文孝