micro focus presentation templatesql server ・db2をはじめすべてのjdbcソースに対応...
TRANSCRIPT
「セキュリティ」+「リスク」+「ガバナンス」による三位一体の分析主導型アプローチ
マイクロフォーカスエンタープライズ株式会社情報セキュリティ&ガバナンス営業本部本部長 小川大輔
EnterpriseDevOps1 Hybrid IT
Management 2 PredictiveAnalytics4Security, Risk
& Governance3
Speed Security InsightsAgility
Customers
マイクロフォーカスの4つの注力領域と本日のテーマ
2
セキュリティ、リスク、ガバナンスのトレンド
1年で大きな変化が起きました
4
セキュリティ リスク ガバナンス
企業のセキュリティリスク全般に対する懸念に対処するため、Micro Focusは3つの領域を融合しました。
5
セキュリティ、リスク、ガバナンス
セキュリティ リスク ガバナンス
セキュリティとリスク今必要なのはセキュリティとデータのライフサイクル管理
6
セキュリティ保護コンテンツマネージャー
削除
バックアップおよび復元
アーカイブ
検索
データポリシー管理
セキュリティ監視された環境
無害化されたデータ
適切に管理されたアクセス
脆弱性のないアプリ
セキュリティとリスク今必要なのはセキュリティとデータのライフサイクル管理
7
セキュリティ監視された環境
無害化されたデータ
適切に管理されたアクセス
脆弱性のないアプリ
セキュアコンテンツマネージャー
削除
バックアップおよび復元
アーカイブ
検索
データポリシー管理
ContentManager
Data Protector
Connected
ControlPoint
Structured Data
Manager
セキュリティに関するMicro Focusのアプローチ
セキュリティのユースケース(製品マッピング)
9
ユースケース 抱えている課題 Micro Focusのソリューション
暗号化および無害化
• 機密データを保護しつつ、ビジネス分析に有効活用するにはどうすればよいか
• データ侵害を無力化して、自社のブランドと評判を守るにはどうすればよいか
• 機密性の高い大量の保管データをどのように管理すればよいか
• Voltage SecureData
侵害の対応および報告
• 侵害されたかどうかを知るにはどうすればよいか• 侵害が発生したことをすばやく把握し、セキュリティチームがそれを阻止して回復し、根本原因を特定するにはどうすればよいか
• ArcSight , User Behavior Analytics
• Voltage SecureData
侵害の予防および無力化
• データ侵害の影響を無力化するにはどうすればよいか• データを保護し、データ侵害を無力化するにはどうすればよいか (侵害の通知を受け取る方法を含む)
• ArcSight • Fortify• Voltage SecureData
適切なアクセスと権限の可視化と管理
• 権限やアクセスを適切に許可するにはどうすればよいか• M & Aに伴う新入社員や退職者をどのように管理すればよいか • NetIQ
NetIQ – 業界標準対応の多要素認証もサポート
10
NetIQ Advanced Authenticationは、各種ログオン機能に対し多要素認証対応を行い、セキュリティ強化を容易に実現するためのフレームワーク機能を提供します。
• FIDOに代表される業界標準の各種認証方式に製品標準で対応• クライアントやアプリケーション等の各種エンドポイントの集中管理が可能• ソフトウェアアプライアンスにより導入が容易• シンプルな単一構成から大規模なサイト構成や負荷分散/冗長構成まで対応可能
NetIQ Advanced Authenticatorディレクトリ-eDirectory-Active Directory-AD LDS-その他(OpenLDAP、OpenDJ等)
認証
ログオン-Windows-Mac OSX-Linux PAM
Self ServicePassword Reset
Access Manager
RADIUS(VPNルータ)サードパーティ
(SSO、Web)
PrivilegedAccount Manager
iPhone Android WindowsPhone
多要素認証
多要素認証 TOTP、スマートフォン認証
ArcSight –リアルタイムセキュリティ監視によるインテリジェントSOCの実現
多くの場合、脅威が侵入してからが攻撃を開始するまでは数分レベルとされており、SIEMにおいて可視化する速度は最重要事項です。また、侵入前の「偵察」行為を早期に捕らえる事で「侵入」させない対応がとれるようになります。 リアルタイムにトリガーし即座に可視化・通知
スケジューリング分析とは異なり、相関漏れのない分析ロジック
分散処理により最大100,000EPSの相関分析能力でイベント増加に対応。
追加コンテンツにより最新の検知ルールが利用可能
ESM独自の脅威計算式で優先度を自動的に決定(ユーザー指定も可能)
GUIによる柔軟で容易なカスタムルール作成
検知速度・タイミングはリスクを最小限にするための最重要事項です
高度なルールもGUIで簡単に実現
相関分析トリガー時に様々なタイミングで任意の命令が自動実行が可能11
Interset –セキュリテイ監視を強靭化するAIエンジン
12
2月15日付でAIエンジン企業Intersetを買収しました。ユーザーの内部不正検知エンジンを皮切りに、ArcSight製品のインテリジェント機能を強化してまいります。
不慮の特権アクセス
アカウントハッキング
アカウントの誤使用
ラテラルムーブメント
内部偵察行為
不正なデータの移動
ルールと閾値ルール違反の検知(SIEM/DLP)
パターンマッチング
特定された脅威をターゲットとする(マルウェア)
外部漏洩
(知的資産やデータ)
ネットワーク侵害
(スパイ活動など)
従来型のセキュリティ監視
+行動
通常と異なるふるまいの検知(内部不正)
450をこえる機械学習モデル
既知の脅威を発見説明するための分析
新しい脅威を検知するための分析
機械学習- 個人ごとのリスクを自動で点数化
- 数学モデルに基づくすぐれた検知ロジック
スケーラビリティ- 大企業での利用を前提としたアーキテクチャ
オープン- ビッグデータとの利活用を想定
RPA
による不正操作
Fortify – DevOpsとアプリケーション脆弱性診断の統合
13
Voltage – 無害化による最強のデータ保護
14
IoTや個人情報、決済などあらゆるデータを保護するトークン化・暗号化ソリューション
技術的な特徴
Secure Stateless Tokenization - SSTクレジットカードの例4171 5678 8765 4321
SST 8736 5533 4678 9453
明白なSST 4171 56AZ UYTZ 4321
Format Preserving Encryption – FPEフォーマットと構文を維持しながらデータを暗号化 氏名:山田 太郎の例
カラム暗号化機密情報や個人情報など、データベースをカラム単位で暗号化
FPE 太石進延
AES(一般的な暗号) U2FsdGVkX1+ybFtu2oLMeyFj76tLbcPGkwEZ9lHmT9…
メリット
• ボルトレス:ボルトDB用のH/W不要
• ボルトDB暗号化や鍵管理の問題を解消
※SSTはクレジットカード番号など、数字のみ対応
• 氏名などの個人情報もフォーマットと構文を維持したまま暗号化
• 桁数やサイズが変わらずDB構造の改変が不要
• クラウドデータも暗号化
• 全体を暗号化しないため性能の低下が少ない
• データ共有/提供が容易
利用シーン
加盟店 決済システム
カード会社
カード番号をトークンで処理して、PCI-DSSのスコープを極小化
グループ企業
委託先企業
IoTデバイスの個人情報や機密情報を暗号化して無害化
NISTに認証を受けた世界唯一の暗号化ソリューション!
情報ガバナンスに関するMicro Focusのアプローチ
セキュリティとリスク今必要なのはセキュリティとデータのライフサイクル管理
16
セキュリティ監視された環境
無害化されたデータ
適切に管理されたアクセス
脆弱性のないアプリ
セキュアコンテンツマネージャー
削除
バックアップおよび復元
アーカイブ
検索
データポリシー管理
ContentManager
Data Protector
Connected
ControlPoint
Structured Data
Manager
情報ガバナンスのユースケース(製品マッピング):
17
ユースケース 抱えている課題 Micro Focusのソリューション
個人データの発見と評価
• 規制の対象となる情報は何か、それらはどこにあるか
• ControlPoint• Structured Data
Manager
防衛的廃棄• 「忘れられる権利」に従って廃棄する情報をどのようにして識別すればよいか
• ControlPoint• Structured Data
Manager
セキュアコンテンツ管理
• ライフサイクル全体を通じて情報を管理するための最適なポリシー適用方法は何か
• 情報保管、アーカイブに必要なシステムリソース、人員、コストの上昇を抑えるにはどうしたらよいか
• ControlPoint• Structured Data
Manager• Content Manager
バックアップとリカバリ
• 機密データのセキュアな保護、保存、バックアップを確実にするにはどうすればよいか
• Data Protector• Connected
Structured Data Manager – 適用例データベースアーカイブソリューション
18
肥大化するデータベースの運用コスト抑制業務上処理の完了したトランザクションデータをアーカイブし、性能劣化を抑制、インフラ増強やチューニングのコストを削減
運用改善、バックアップ・リカバリ時間,DR間同期時間を短縮
別データベースにアーカイブされたデータに透過参照
レガシーデータベースの引退システム更改や統合時の旧データベースのデータをアーカイブ、旧データベースの維持・運用コスト・リスクを削減
監査・法令要件対応のためアーカイブデータは随時参照可能
豊富なDB、アーカイブ先Oracle・SQL Server・DB2をはじめすべてのJDBCソースに対応ファイル(CSV・XML・JSON)Content Manager・Vertica・Hadoopクラウドストレージ(Amazon S3)にアーカイブ管理容易なアーカイブ導入を実現Designer(開発ツール)で複雑なコーディング無しで導入データリネージを管理しながら複雑なETLプロセス、高価なBI・DWHを不要に
監査アクセス
ファイル(圧縮可)
データ量
性能
アーカイブDB
ビジネスアプリケーション
本番DB
アーカイブ運用の開始
参照用DB
このユースケースでは、Oracle EBSのアーカイブ容量増大によるシステムパフォーマンス劣化を防ぐことができます。
ControlPointファイル・コンテンツ分析ソリューション
19
データ抽出とインデックス作成• ファイルシステム・SharePoint・Exchange・Notes・Hadoop・
Content Managerなど一般的な非構造型データソースに接続可能• エージェントレスで接続しデータ抽出
• メタデータ・コンテンツ(テキスト)のインデックスを作成
レポート・可視化• ファイルのメタデータとハッシュ値を用いたROT分析• キーワード・文字パターン・機械学習を用いたデータの特定(個人情報・ビジネスレコード・知的財産)
• パターン・グルーピングを用いたデータクラスタリング表示
カテゴライズとポリシー適用• 分析結果を基にデータを分類
• ポリシーを用いたデータ廃棄、コピー・移動・アーカイブなどの処理を実行
• ポリシー適用の事前承認,ポリシー適用と事前承認の監査証跡
情報ガバナンス実施において情報の価値を見いだすための非構造型データの把握・分類・リスク軽減・活用を支援
機械学習でファイルの中身を「意味」で識別
各国言語や多様なデータに対応するための優れた
コネクタ
SharePoint/Box/OneDriveまで分析できるのは
Control Pointのみ
セキュリティとリスク今必要なのはセキュリティとデータのライフサイクル管理
20
セキュリティ監視された環境
無害化されたデータ
適切に管理されたアクセス
脆弱性のないアプリ
セキュアコンテンツマネージャー
削除
バックアップおよび復元
アーカイブ
検索
データポリシー管理
ContentManager
Data Protector
Connected
ControlPoint
Structured Data
Manager
内部不正検知AIソリューションIntersetのご紹介
外部攻撃と内部不正の検出を分ける意義内部不正を検知する仕組みを一般的にUser & Entity Behaviour Analytics (UEBA)と呼びます。
■外部の攻撃者アカウントのアクセスレベルと対象のデータの位置について最小の理解しかありません。このため、外部の攻撃者は偵察と側面攻撃を試行することとなり、これは通常の社内ユーザーの一般的な挙動とは異なる動きを行います。
■内部の悪意のあるユーザーデータの保管場所を知っており、それにアクセスすることも時には可能になります。しかし、内部ユーザーからの通常の作業における活動とアクセス、移動、およびデータステージングの活動は、社内ユーザーの日常の挙動とは異なるため、その活動は一致しません。
22
SIEMを導入しログを貯め続けた。が、実際に活用することが困難である。
さらにビッグデータを活用するニーズの高まりにより、活用が複雑化し
ている。
日々生成される何百万ものイベントや更新される情報の相関を維持、
チューニングすることは困難で実際には運用が効率よく行えていない。
不正検知に数日から数週間かかってしまう。
不正検出を絞り込むまでの段階で高度なテクニックや、ルール作成、ダッシュボード作成、など肝心の問題に注力すること
ができない。また、規則に合致するかしないかでしか判断でき
ない。
非効率な調査プロセス既存資産の活用ができていない
脅威検出にかかる労力が大きい
お客様の課題
Intersetによる既存の資産活用
既存のセキュリティデータ
を活用
DLP
IAM
SIEM
EDR
ルールと閾値
パターンマッチング
「振る舞い」を加味して既に存在している可能性のある脅威
を検出
統合
自動化
レポート
450+ models
INTERSET異常の検出
+振る舞い
24
Intersetが有効なお客様
•・顧客情報•・金融情報・知的財産•・極めて重要なインフラストラクチャの管理
保護したい対象が定義されている
1
•・人手での従来型の分析•・縦割り(有効でないエコシステム)
•・システムに大きな死角を持つ。または死角が不明。
現在の手法に課題がある
2
•・データ漏洩を起こした•・承認不要のネットワークのアクセスがある…等
継続して対策が必要である
3
25
従来のソリューション(SIEM等)静的な値が割り当てられた“異常”の特徴を持つユーザーの振る舞い 5 点: 事前に定義済みの営業時間外におけるログインイベント
15 点: 250MB 以上のデータを移動するが、事前に定義された“リスクの高い”場所からの500MB以下のデータ
Interset
営業時間 以前にこのユーザーにこの時間中、同じことが発生したことがあるか?
もしあるならば、以前かそれともかなり昔なのか?
以前観測された営業時間外のイベントはどのくらいあったか?
移動されたデータの量 この場所は以前ユーザーがアクセスしたことがある場所か?
以前の本人や同僚やその他のユーザーと比較して移動したデータの量はどのくらいか?
最近この場所にアクセスしたユーザーがいたか?
既存のSIEMや分析手法の課題を解決静的な重み付けを利用しないしくみ
振る舞いのパターンとなるインジケータやチューニングが必須
26
モデルによる効率のよい異常な振る舞い分析
認証
•誰が異常な場所
から認証された
か?
•滅多に使用され
ないアカウント
が有効な時間帯
はいつか?
データストア
•以前に触られた
ことがないデー
タへアクセスし
ているのは誰
か?
•通常行わない新
しい場所への
データの大量移
動が起きるのは
いつか?
エンドポイント
•異常なプロセス
を稼働させてい
るマシンはどれ
か?
•通常利用しない
リモートのスト
レージデバイス
が使用されてい
るのはいつか?
NetFlow
•標準ポートを使
用して標準では
ない通信を行っ
ているのはいつ
か?
•どのマシンが異
常な場所からの
通信を受信して
いるか?
プリンター
•異常な場所で印
刷しているのは
だれか?
•異常なプリン
タージョブが大
量に投入されて
いるのはいつ
か?
ウェブプロキシ
•以前にアクセス
されたことがな
い新しいウェブ
サイトにアクセ
スしているのは
何か?
•どのウェブサイ
トが異常な大容
量データを受信
しているのか?
カスタム
•清算レポート
•休暇中の時間
•その他
450+ を超えるそれぞれのモデルにより、問題となる脅威を見つけるためのコンテキストが利用可能。処理の対象となるデータソースの代表的な例
…自動的に関連する異常を検出27
検出可能な不正の種類と利用例
脅威の検出 データ漏洩検知
先進的な脅威
知的財産の窃取 不正・詐欺の検出
• 危険なアカウント• リスクの高いアカウント
• アカウントの不正利用
• 特権アカウントの不正利用
• 退職済み従業員の活動
• データステージング• データ漏洩• 電子メールでの漏洩• 印刷での漏洩• USBの漏洩• 通常使用されないデータへのアクセス
• 通常行われないアップロード
• 感染したアカウント• C2アクティビティの検知
• 不可能な移動• 内部偵察• 休止しているアカウント
• 不正な通信• パスワード操作• 通常使用されないアプリケーション
• 感染したホスト• 不正なトンネリング• ボットの検出
• ムーチング• スヌーピング
(覗き見)• 休止リソース/ ファイルとの相互作用
• ハイリスクIP / データアクセス
• データの移動
• 不正なトランザクション
• 不正な経費処理
28
Intersetの分析手法
数学モデルによるエンティティのリスクスコア計算
event
event
event
model
model
model
model
modelmodel
modelmodel
model
model
update baseline
update baseline
update baseline
calculate p incorporate w
calculate p incorporate w
calculate p incorporate w
update baseline calculate p incorporate wupdate baseline calculate p incorporate wupdate baseline calculate p incorporate wupdate baseline calculate p incorporate wupdate baseline calculate p incorporate w
update baseline calculate p incorporate w
update baseline calculate p incorporate w
リスクスコア(企業に対する)
データタイプ
データタイプ
データタイプ
100
0
警告ログ30
“作業時間” の例による個別のベースラインとInterset内の確率についての理解
10am は通常 – ほぼ標準的に発生
正午は異例 – ½ 以下の確立で発生
2am は極めて異常 – 以前は発生したことが一度もない
xxx12am 5am 10am 3pm 8pm
確率
31
どのくらい異常か?
確率と重みを組み合わせた警告
自身と比較 ピアと比較 全体と比較
振る舞いの重要性 他の国からのログイン 新規サーバーへのアクセス
豊富なエンティティの種類 ユーザーとパフォーマンスの悪いレビュー ファイル共有の“ハニーポット” データの統合や入手 契約者、派遣での作業 海外への出張が最近あった
確率
重み付け
重要度 Extreme High Medium Low
警告
どのくらい問題か?
32
異常に基づくリスク検出
高い確率で手がかりを素早く提供します。
大量のユーザー
何を疑うべきかの指標
大量のサーバー多数のデバイス
33
エンティティによるグループ化による調査
組織内のユーザー一覧と各リスクスコアを表示
34
©2019 Micro Focus
通常の業務時間帯を教師なしで機械学習
すべてのログを処理し、各マークに対して活動を見ることができます。
…マークの密度が大きいほどカーブがおおきくなります。
たとえば勤務時間は、予測可能な挙動のひとつ
35
時間の経過によるエンティティの調査
エンティティが閲覧された場合(この場合ユーザー)、タイムラインビュー内で時間の経過とともに現れるリスクスコアを表示。
この観点ではリスクスコアの遷移だけではなく、広範囲な振る舞いの種類と特徴が調査できます。
36
業務時間帯における各人の振る舞い
朝早く作業を開始 昼休みを早くとる 深夜時々作業を行う
従業員1より少ない作業時間 従来型 “9時から5時” の作業者 通常 20時以降に多少作業
従業員 2従業員 1
37
Interset による従来型セキュリティの改善
1.数学的な論拠に基づく検知• 厳格なデータサイエンス• 教師なし機械学習を通じた例外検知
2.数万人規模を想定したシステム• ネイティブな”ビッグデータソリューション• 数百から数千ものユニークなエンティティと日々発生する数十憶ものイベントを監視するよう
垂直に拡張が可能
3.セキュリティエコシステムとの統合• Interset は単一の役割として動作するよう設計• 顧客がすでに持っているツールやデータをもとに動作するよう設計されている
38
