FUJITSU Software Systemwalker Security Control...FUJITSU Software Systemwalker Security Control...

富士通株式会社

サイバー攻撃への対処負荷の軽減と確実な運用を実現「FUJITSU SoftwareSystemwalker Security Control」ご紹介

Copyright 2016-2020 FUJITSU LIMITED

目次

1. 標的型サイバー攻撃に対する富士通の取り組み2. ミドルウェアの紹介 FUJITSU Software Systemwalker Security Control

3. 【ご参考】関連ミドルウェアご紹介

Copyright 2016-2020 FUJITSU LIMITED1

1. 標的型サイバー攻撃に対する富士通の取り組み


基盤構築時のマルウェア対策は時間との勝負マルウェアの内部侵入を前提とした対策

2

巧妙化する標的型サイバー攻撃への対応の考え方


脅威検知ウイルス対策ソフトウェア不正通信監視迷惑・不信メール対策

ICT活用によるセキュリティ運用の底上げ攻撃が進行する前に、検知した脅威にICTシステムで迅速に対処セキュリティ運用ルールを遵守できるICTシステムの実現

運用・教育情報取扱規定情報セキュリティ教育サイバー攻撃対応訓練

3

基盤構築時のマルウェア対策は時間との勝負


【初期潜入】【内部侵入・調査】【基盤構築】

マルウェアは外部通信を繰り返しながら攻撃を遂行解決に時間がかかると感染拡大や情報窃取のリスクは増大

脅威検知後の初動スピードが重要

【目的遂行】

（累積通信回数）

マルウェアによる外部通信の繰返し数（例）

（時間）

・標的型メール・水飲み場攻撃

・バックドア開設・端末情報入手・構成情報入手

・他端末侵入・サーバ侵入・管理者情報窃取

・重要情報窃取・システム破壊

4

Graph1

0

5

10

15

20

25

30

∞

外部通信の行われた回数

0

100

200

400

500

700

900

1500

Sheet1

外部通信の行われた回数ガイブツウシンオコナカイスウ

00

5100

10200

15400

20500

25700

30900

∞1500

富士通グループ内ICTインフラにおける取組み

システム強化による検知力向上、運用体制最適化により、サイバー攻撃対策を強化


サイバー攻撃対策を追加

（検知・遮断）

【システム強化】検知・遮断・追跡

セキュリティ管理者

富士通イントラネット（グローバル約300社が利用）

【運用体制最適化】リアルタイム対応、役割分担

影響範囲・原因特定

24時間365日監視 • リスク分析、戦略立案、ポリシー変更

• インシデント対応・管理、現地支援

現地対処

1日あたり数億件のイベント

• インシデント情報のグローバルでの一元管理

• インシデント対応の海外拠点への展開

IDS(不正アクセス検知)

アンチウイルスメール誤送信防止

資産管理パッチ管理

プロキシアンチウイルスGW

Internet

5

実践から見えたセキュリティ運用の課題検知能力を高めると運用が立ち行かない


表面化したセキュリティ運用の課題

運用の人的リソースが足りず迅速かつ確実な運用が出来ない

検知能力を増強・対応すべきインシデントが増加・分析すべき情報量が激増

6

運用課題に対するアプローチ


自動連携

運用シナリオ

手動連携

社内実践で培った運用プロセスを標準化

標準化した運用プロセスを自動化

社内資産情報(人、機器)

7

標準化・自動化の効果(富士通社内実践)


初動対処の迅速化

適用前

適用後初動対応時間を1/30に短縮感染端末での攻撃の進行を抑止

初動・ネットワーク遮断・個人の特定・対象機器の特定

対処時間の短縮適用前

適用後

対処時間・初動対処・ユーザ対処

対処完了までの時間を60％短縮感染端末からの情報漏えいリスク、

感染拡大リスクを低減8

3. ミドルウェアの紹介FUJITSU Software

Systemwalker Security Control


FUJITSU Software

Systemwalker Security Control


マルウェア検知結果を受けてインシデント化し、対処を自動的に実施ネットワーク機器と連携し、危険URLとの通信、端末の通信を自動的に遮断検知された端末を基点に、被害の拡散範囲と被害の内容を特定

セキュリティ運用に適したインシデントフロー(運用シナリオ)を標準装備インシデント対応の全体状況/進捗状況を見える化

マルウェア検知後の迅速かつ確実なセキュリティ運用を実現

検知対処

マルウェア侵入検知

ﾌｧｲｱｰｳｫｰﾙ

IDS/IPSサーバ

ログログ

ログ

ログ管理システムアラート

アラート Systemwalker Security Control

ﾌﾟﾛｷｼｻｰﾊﾞ

感染端末

ﾕｰｻﾞ情報

運用シナリオ端末対処対処指示

通信遮断

連絡先特定

対処状況の見える化

近隣端末

自動対処

インシデント管理

経過観察

10

運用対応者の負荷を軽減


定型作業の自動化により、対処スピードの向上とともに、作業負荷を軽減

従来の運用例

自動化を適用した運用例

脅威検知

対処要否判断

端末利用者特定

対処手順確認

対処指示連絡

対処実施状況確認

資産情報マニュアルメール電話

脅威検知

対処要否判断

端末利用者特定

対処手順確認

対処指示連絡

対処実施状況確認

資産情報マニュアルメール電話

マニュアル

マニュアル

11

運用シナリオ感染端末の外部通信を遮断危険URLへの通信を遮断端末管理者へ対処指示メールを送付メール受信者へ対処指示メールを送付


■対処手順1)ネットワークからの切り離し

…2)"検出ファイル"の削除以下の手順で対象端末上から検出ファイルを削除してください。1.[スタート]メニューから[コントロールパネル]を

開いてください。2.表示方法で[大きいアイコン]もしくは[小さい

アイコン]を選んでください。3.[フォルダーオプション]を開き、[表示]タブを

選択します。…

運用シナリオをもとにした画面表示

対処指示メール

手順書を添付

12

運用シナリオ


Web感染用シナリオ

感染経路、検知製品の種別に対応した運用シナリオを用意お客様の体制や運用に合わせ、連絡先の追加などが可能

不審メール受信時シナリオ不審プログラム検知時用シナリオ

不正通信検知時シナリオ連絡先をお客様の組織構成に

あわせて追加/変更

外部通信遮断の方法をセキュリティポリシーに

合わせて変更

13

外部通信遮断のパターンの例


感染端末攻撃者

感染端末のインターネット接続を遮断Firewall/プロキシ


外部の不審な相手への通信を遮断正常な端末Firewall/

プロキシ


重要業務を行う部門の通信を遮断正常な端末Firewall/

プロキシスイッチ

お客様のセキュリティポリシーに合わせた攻撃の封じ込め

14

運用対応者の対応品質を平準化


運用シナリオ(定義)に従い、対処作業を自動化およびナビゲート

対処作業の流れ

現在の作業

カスタマイズによる処理追加も可能

15

外部システムと連携した対処運用


多様なインタフェースで外部システムと連携し、対処の自動化を実現Systemwalker

Security Control検知対処

syslog

マルウェア検知システム

次世代ファイアウォール

RESTSIEM

ネットワーク機器(ファイアウォール、

プロキシ、スイッチ、等)telnet

WMI

PowerShell

RSH

REXEC

ディレクトリ、データベース

情報系システム

その他のインターフェースへの対応も簡単に実現可能

ssh

SNMP

ユーザープログラム

16

連携製品


• 検知製品、SIEM製品からのアラートを受信するテンプレートを装備• ネットワーク製品の通信ポリシーを変更するテンプレートを装備• 情報管理製品から情報を取得し連絡先を特定するテンプレートを装備

検知製品

SIEM製品

ネットワーク製品FireEye NXシリーズ

FireEye EXシリーズ

CheckPoint SB

PaloAlto PAシリーズ

iNetSec Intra Wall

McAfee SIEM

Squid

情報管理製品

Exchange Server

Active Directory

SystemwalkerSecurity Control

Splunk

FFR Yarai

17

【ご参考】関連ミドルウェア製品ご紹介


内部侵入を前提とした対応が求められる


サイバー攻撃は巧妙化し、マルウェアの潜入を前提とした対策が必要とされている

Step1メール添付ファイル等でマルウェア感染

Step3感染端末を踏み台に内部を調査し感染拡大

Step2 感染したマルウェアがバックドアを開設

Step4 目的の遂行

初期潜入基盤構築

攻撃者

攻撃者

機密情報アクセス可能端末（標的）

脆弱性を突いて踏み台を作成

基盤端末（踏み台端末）

アクセス可能端末の調査・乗っ取り

業務セグメント機密情報セグメント

別セグメントへの侵攻

機密情報保持端末への到達

攻撃者による内部侵入の状況を把握するため、端末をまたがる操作に着目

内部侵入・調査

機密情報サーバ

情報の窃取サービスの妨害

システムやデータの破壊・改ざん

19

攻撃者による攻撃の内部侵攻状況を可視化～標的型攻撃影響調査基盤～※1 攻撃者による攻撃の内部侵攻状況を可視化することで、迅速な影響判断を実現標的型攻撃の内部侵攻の手法に基づき端末をまたがるログを自動で解析踏み台端末を起点に、攻撃者が行った可能性のある攻撃の痕跡を俯瞰的に可視化可視化された俯瞰図から、各端末の対処のために必要な情報を閲覧／対処隔離が必要と判断した端末をリモートでネットワークから隔離


※1 標的型攻撃影響調査基盤 (導入には、標的型攻撃影響調査基盤構築サービスが必要となります)※2 別途Systemwalker Desktop Patrolが必要です。

分析システム

攻撃者にアクセスされた可能性あり

攻撃者にシステム変更された可能性あり

端末の資産情報※2

端末の操作ログ

・ユーザー情報・セキュリティパッチ適用状況・導入されたソフトウェアなど

・Webアクセスログ・アプリケーション起動ログ・ファイル操作ログ・メール受信ログなど

攻撃範囲を一目で把握可能

対処のための調査に必要な情報を閲覧可能

俯瞰図

20

（補足）内部侵攻の痕跡検出技術富士通グループ約300社を対象とした社内のセキュリティ運用で実践マルウェア感染させた端末を踏み台に、攻撃範囲を広げる活動に着目 1,000種類以上のイベントが記録されるOSログから端末をまたがる攻

撃の痕跡を抽出


個々のイベントを見ても通常業務との見分けがつかない

イベントの発生順序・期間、各サーバ・PC間での関連性から攻撃痕跡を抽出

OSログポリシーの変更

プロセスの生成

ポリシーの変更

ログオン

状態の変更更新

特権の割当て


システム起動

時間の同期

電力状態の変更

サービスの登録

自動更新

ファイルアクセス

システムのスリープ

ログオン

自動更新

特権の割当て


電源状態の変更






ログオン

状態の変更更新

特権の割当て


システム起動

時間の同期



自動更新

ファイルアクセス

システムのスリープ

OSログ


リモートアクセス



状態の更新

特権の割当て


ログオン

特権の割当て

プロセスの生成期間

リモートアクセス

特権の割当て

他のサーバ・PCとの関連性

期間

サービスの登録感染拡大時に特有のイベントの組合せを抽出

感染拡大時に記録されるイベント

21

Copyright 2010 FUJITSU LIMITED

サイバー攻撃への対処負荷の軽減と�確実な運用を実現�「FUJITSU Software� Systemwalker Security Control」ご紹介目次1. 標的型サイバー攻撃に対する�　　富士通の取り組み巧妙化する標的型サイバー攻撃への対応の考え方基盤構築時のマルウェア対策は時間との勝負富士通グループ内ICTインフラにおける取組み実践から見えたセキュリティ運用の課題運用課題に対するアプローチ標準化・自動化の効果(富士通社内実践)3. ミドルウェアの紹介�　　FUJITSU Software�　　　　 Systemwalker Security ControlFUJITSU Software�Systemwalker Security Control運用対応者の負荷を軽減運用シナリオ運用シナリオ外部通信遮断のパターンの例運用対応者の対応品質を平準化外部システムと連携した対処運用連携製品【ご参考】関連ミドルウェア製品ご紹介内部侵入を前提とした対応が求められる攻撃者による攻撃の内部侵攻状況を可視化�～標的型攻撃影響調査基盤～※1（補足）内部侵攻の痕跡検出技術スライド番号 23

FUJITSU Software Systemwalker Security Control...FUJITSU Software Systemwalker Security Control...

Documents

Transcript of FUJITSU Software Systemwalker Security Control...FUJITSU Software Systemwalker Security Control...