top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

GSX統合SOCサービス

GSX統合SOCサービス - 統合型セキュリティ運用サービス -

サービス概要

GSXの提供する、セキュリティ・オペレーション・センター(GSX-SOC)は、マネージド・セキュリティ・サービス(MSS)を含めた統合型のサービス型SOCです。

サイバー攻撃などの攻撃時の一般的なレスポンス・フローとGSX-SOCの違い

サイバー攻撃などの攻撃時の一般的なレスポンス・フローとGSX-SOCの違い イメージ

SOCが必要とされる背景

経産省の策定する ”サイバーセキュリティ経営ガイドライン” にある、『...特定の組織を狙う標的型攻撃を中心としてその手口は巧妙化しており、インシデントの発覚経路の約7割は、外部からの指摘によるもの...』との情報も開示されています。インシデント対応の遅れから、被害が深刻化するケースも少なくないのが現実といえ、適切かつ迅速なインシデント・レスポンスを実現する環境が必要とされます。

企業での課題

自社でのセキュリティ機器の運用には、高度なセキュリティノウハウやナレッジが必要。効果的な運用が困難だと考える企業が多くある。

その要因としては、

適切かつ迅速なインシデント・レスポンスを社内で完結するには、以下の観点での不備不足により、効果的な運用が困難との判断に繋がっていると考えられます。

セキュリティに関する技術|セキュリティ・スキルを持ったリソースの確保

サービス内容(特徴)

サイバーセキュリティ対策向け各センサーの稼働監視、アラート監視、インシデント発生時の対処を24時間×365日実施。

ログを相関分析かつGSXのセキュリティナレッジを付加し、エンドポイントの状況も勘案した結果をフィードバックすることで、マルウェア感染したエンドポイント隔離(遠隔操作)し、感染拡大を未然に防ぐことが可能になります。

サービス概要

GSX-SOCでは4つのサービスをご用意しております。

GSX-SOCセキュリティ監視サービス(24時間運用監視:MSS)
対象機器をGSXが24/365にて監視します。
発生するアラートに対し、本当に対応が必要なものを精査した上で、GSXが対応策をレポートします。
【24/365対応】
  • 自動。全アラートをGSXが監視し、対応が必要な内容を精査のうえ解析
  • 死活監視および機器OS/仮想環境のバージョンアップ対応含
  • クライアントアンチウィルスソフトとの連携
GSX-SOC FEアラート解析(平日営業時間帯解析)
対象機器から発生する検知アラートに対して、重要なアラートをGSXが内容を解析して対応策をレポートします。 【平日営業時間対応】
  • 自動。全アラートをGSXが監視し、対応が必要な内容を精査のうえ解析
  • 内部/外部NOC等との連携にも対応
  • 追加で死活監視オプションも利用可能
GSX-SOC 24/365セキュリティ統合管理セキュリティ総合運用監視サービス
システム全体をGSXが24/365にて監視します。全体からのアラートやLogを専用の分析システムを利用して解析するため、個別のMSSに比べ監視範囲を大きく広げても迅速な判断が可能です。またGW上の監視機器だけでは検知しずらい内部不正や長期潜伏攻撃等の脅威に対しても、より発見しやすくなります。 【24/365対応】
  • 分析システム(SIEM)が対象機器からのアラートやLOGを収集し、アラートを発報
  • GSXがアラート内容や各監視機器のLOG等を解析し、対処方法をレポート
  • 死活監視および機器OS/仮想環境のバージョンアップ対応含
GSX-SOC FEアラート解析(平日営業時間帯解析)
お客様毎のSOCを企画段階から自由設計でデザインできます。セキュリティポリシーから導き出したSOCの役割とCSIRTとの連携など、上流工程からのアセスメントおよびコンサルティングを通じて、全体最適の視点でSOCをデザインできます。
内部チームだけでなく、複数ベンダーに跨るNOCやSOC、CSIRT等の密な連携も実現できます。
【アセスメントおよびコンサルティング対応】
  • ご相談ベースでゼロから企画
  • お客様の要件に応じたコンサルティング提案

GSX-SOC セキュリティ監視サービス 接続イメージ

MSSとして対象機器の監視およびアラートの分析を行います。オペレーターが電子メールまたは電話で24時間365日ご対応致します。

GSX-SOC セキュリティ監視サービス 接続イメージ

GSX-SOC セキュリティ監視サービス 対処イメージ

単純に機器が検知したアラートをGSX-SOCの分析システムで重要度を解析し、重要なアラートのみお客様へ通知し、アラート内容の解析結果をレポートします。

GSX-SOC セキュリティ監視サービス 対処イメージ

GSX-SOC FEアラート解析 接続イメージ

アラートレポートの分析を平日9-17時に限り対応します。

GSX-SOC FEアラート解析 接続イメージ

GSX-SOC FEアラート解析接続(NOC連携)

アラートレポートの分析を平日9-17時に限り対応します。

GSX-SOC FEアラート解析接続(NOC連携)

GSX-SOC 24/365セキュリティ統合管理 接続イメージ

解析、分析に関して、オペレーターが電子メールまたは電話で24時間365日ご対応致します。

GSX-SOC 24/365セキュリティ統合管理 接続イメージ

GSX-SOC 機能表

サービス仕様/レベル GSX SOC
FEアラート解析
GSX SOC
FEセキュリティ監視
GSX SOC
MDRサービス *
GSX SOC
セキュリティ統合管理
対象製品 FireEye NX
EX
CM
HX
アンチウィルス
SIEM
SecureSphere
FortiGate / Palo Alto
FortiWeb
Cb Defense
CrowdStrike Falcon
Cybereason EDR, Cybereason NGAV
サービス提供時間帯 9:00~17:30 or
24時間/365日
24時間/365日 24時間/365日 24時間/365日
参考価格 150,000円~/初期
150,000円~/月額
480,000円~/初期
480,000円~/月額
エンドポイント
台数による課金
個別相談・見積
死活監視、運用管理 ○ (オプション提供)
初期、月額とも
+100,000円
インシデント通知レベル 緊急・重要なもの
(高、中)
インシデント通知 平日営業時間内であれば、30分を目途に解析。
それ以外は翌営業日内。
30分を目途に解析。
高度な解析が求めらる内容の場合は翌営業日内。
1次レポート60分以内。
2次レポート翌営業日内。
30分を目途に解析。
高度な解析が求めらる内容の場合は翌営業日内。
連絡手段 メール 電話、メール
ログの保管 あり(3ヵ月)
レポート 解析レポート 解析レポート、月次レポート
アラート解析 あり
その他費用に含む内容 ※追加オプションとして
機器稼働監視
(別途費用)
・機器稼働監視
・対象機器のバージョンアップ作業
(リモート作業のみ:状況により制限あり)
・障害発生時の機器交換サポート
(機器購入時のオンサイト保守が必須)
- ・機器稼働監視
・対象機器のバージョンアップ作業
(リモート作業のみ:状況により制限あり)
・障害発生時の機器交換サポート
(機器購入時のオンサ イト保守が必須)
導入要件 ・GSX固定IPからのhttpsによるFireEyeへのアクセス(SSL通信)を許可
・対象機器アラートメールの送信先に、GSX-SOCを追加
※機器稼働監視オプションを利用する場合はVPN装置の設置が必要
・VPN装置の設置
・対象機器アラートメールの送信先にGSX-SOCを追加
- ・VPN装置の設置
・対象機器アラートメールの送信先に、GSX-SOCを追加
その他 ・専門エンジニアによる監視・一時対応
・セキュリティアナリストによる二次対応
監視対象アンチウィルス製品 - ・Symantec Endpoint Protection
・Trend Micro ウィルスバスター
備考 対象製品の導入済みユーザ様(他社での導入含め)にもサービス提供。

解析内容(FireEye NX の例)

項目 内容
ログ分析 アラート発生に至るまでの経緯やその内容を、FireEyeの膨大なログの中から分析します。
対象端末の特定 アラート対象の端末情報(IP、ホスト名)を特定します。
防御状況の確認 不正通信に対するFireEyeの防御(リセットパケット送出)状況を確認します。
マルウェアスキャン 数十種類のアンチウイルスソフトによる検体スキャンを実施します。
(マルウェア検体が入手できるアラートの場合のみ)
イベント相関チェック 関連するアラートとの突合を実施します。
(アンチウイルスソフトのアラートを頂戴できる場合のみ)
対応策の検討 対応策を検討し、レポートとして提示します。

※上記の実施内容は導入されたFireEye製品の種類あるいはバージョンにより異なる場合があります。また発生したアラート内容により実施内容も異なります。
※上記の実施内容はFireEyeのログから読み取れる情報を元に可能な限り実施します。

解析レポートサンプル

・解析、分析結果は、レポート(調査報告書)として作成し、電子メールでご報告いたします。
・調査報告書には、具体的対処方法等を報告・提案いたします。

解析レポートサンプル

GSX-SOC 開始までの流れ(セキュリティ監視サービス/アラート解析サービス)

GSX-SOC 開始までの流れ(セキュリティ監視サービス/アラート解析サービス)

約款

GSX-SOC 契約約款 Ver1.1(PDF形式:388KB)2017年2月1日

MDR

セキュリティ脅威の変化

かつては愉快犯が中心であった外部脅威がランサムウェアに代表されるように身代金目的や企業の機密情報の搾取など、仮に被害にあった場合には金銭的実害が出るケースが増加しています。

  セキュリティ脅威 代表的なセキュリティ対策
1990年代前半 愉快犯的なウイルスが発生 トレンドマイクロ社が アンチウイルスソフトを発売
1990年代後半 インターネットウイルスの発生
「メリッサ」「コードレッド」「ニムダ」
アプライアンス型の FireWall
特定の通信を遮断することで防御する
2000年代~ セキュリティ攻撃の高度化
「セキュリティ・ホール」「自動化」「自己増殖」
IDS、IPS、UTMなど侵入攻撃を能動的にブロックする仕組みが必要となる
攻撃のWeb化
HTTP通信を利用したウイルスの感染
被害の拡大スピードと影響範囲の拡大
WebGatewayなど
通信内容と通信先のレピュテーション
2010年代~ 難読化
標的型攻撃など特定の対象に対して周到に準備された攻撃
サンドボックス製品
隔離された環境で実際に実行した結果により攻撃を判定
複雑化
単独ログ(事象)だけでは攻撃の特定が困難
SIEM製品
複数製品のログを組み合わせることで脅威を検知可能とする

攻撃の変化

これまでの脅威対策は特定の原因(例.マルウェアなど)を発見する試み
しかし、近年は特定の原因が存在しない攻撃が増加

攻撃の変化と深化

攻撃の変化と深化

仮に侵入されても発見できる対策が必要

侵入し、調査し、乗っ取り、盗難する。

対処するには、「発見」「対処」できる仕組を 事前に準備する必要があります

※ 一連の攻撃シナリオにおいて、最初期の感染はまだ「調査」「基盤構築」段階となる。
この間に、赤の点線で囲まれている(犯人が盗みたい情報と出口に到達する前)間に攻撃を「検知」し、迅速かつ効果的に「対処」しなければ犯行が遂行されてしまいます。

仮に侵入されても発見できる対策が必要

侵害を早期発見・対処するために必要なこと

  • ・侵害の進行を見つける
  • -ログ記録をシステムとは別に保存している必要がある
    (侵害の過程で自らの痕跡を消すため)
  • -不正な挙動の検知
    -Powershellやエクセルマクロなどによる感染の検知
    -権限昇格や内部侵入拡大の検知
    -システムファイルのシステムデータの改変
    -プロセスの活動ログ(システムデータへのアクセス、ネットワークアクセス、システム制御)
  • ・侵害の範囲を特定する
  • -ログインユーザー/サービス/カスタムIOCによる影響範囲調査
    -端末全体への不正な挙動の調査
    -レジストリ操作ログ、ファイルI/Oログ、プロセス起動ログの調査
  • ・侵害を隔離する
  •  -特定端末のNW隔離(隔離ログ、隔離中端末の確認が可能)

最新の攻撃に対する対策の難易度と課題

攻撃の深化による検知難易度 ◆攻撃された際に、痕跡が残らない場合が多いため、何をされたのかを把握するのに時間や工数がかかる。
 →対応までに時間がかかり被害が拡大する。

ネットワーク型セキュリティの限界 ◆悪意のあるファイルを利用しないため、ユーザーが行う通常のオペレーションと攻撃の差を判断しにくい。
 →センサーでの検知システムでは攻撃を受けていることに気づきにくい

エンドポイントによるログ収集と対処が有効!

エンドポイントセキュリティの種別について

エンドポイントセキュリティの種別について

エンドポイントの情報でインシデントを発見する

エンドポイントの情報でインシデントを発見する

GSX-SOC MDR(Managed Detection & Response)サービスとは

EDR市場の複数エンドポイント・セキュリティ製品に対応した導入後のサポートとして、24時間365日のセキュリティ監視サービスです。エンドポイントでの不正な挙動の検知の通知と、検知後の即時遮断や感染後の対応方法のご助言などを行います。
MDRサービスのインシデント重要度定義については、以下をご覧ください。GSX-SOCではアラート通知の重要度を以下の3種に分類し、重要度に応じて電話やメールにてお客様に通知しております。

重要度 重要度詳細 GSX-SOCでの対応 通知方法 お客様側対応例
セキュリティ侵害によりお客様の資産にとって重大な脅威となり得るイベントが確認されたインシデント ・電話及びメールでご連絡します
・ネットワーク隔離を実施します
・解析レポートをご提出します
※お客様との事前取決により、お客様の確認を待たずに、先行して隔離する事も可能です
アナリストが重要度の判定後、60分以内を目途に速報通知をお送りします。その後、翌営業日以内を目途に詳細な解析レポートをお送りします。 ・当該ホストの調査もしくは再セットアップなどのご対応
・対応完了時の隔離解除連絡
検知時点でセキュリティ侵害活動は防止されているが、マルウェア除去などエンドポイントに残る脅威への対応が必要なインシデント ・メールでご連絡します
・解析レポートをご提出します
アナリストが重要度の判定後、60分以内を目途に速報通知をお送りします。その後、翌営業日以内を目途に詳細な解析レポートをお送りします。 ・解析結果のご確認
・マルウェアの駆除
お客様の資産にほとんど影響がないと思われるインシデント 月次レポートでアラート統計をご連絡します 月次レポートでご連絡します 必要に応じてアラートを確認します

GSX-SOC MDRサービス サンプルレポート

アラート情報の読解にはマルウェアの挙動やサイバー攻撃に関する知識が必要になります。
弊社がご提供するMDRサービスでは、「何が起きているのか?(何の脅威によって感染したのか?)」「どのくらい危険なのか?(何が原因で感染したのか?」」「具体的にどうすればよいのか?(どのような経路で感染に至ったのか?)」といった情報をセキュリティアナリストがわかりやすく、アラートが発せられる都度ご報告します。お客様はEDR製品のログを確認することなく、レポートの指示に従い、対処をしていただくことで実運用の負荷が軽減されます。

MDRサービス サンプルレポート
MDRdetails

GSX-SOC MDRサービス対応製品一覧

GSX-SOC MDRサービスでは以下の製品に対応しています。今後も順次EDR市場製品に対応したMDRサービスのローンチを予定しております。

提供会社名(50音・アルファベット順) 対応製品名称 / シリーズ名称
カーボン・ブラック・ジャパン株式会社 Cb Defense
サイバーリーズン・ジャパン株式会社 Cybereason EDR, Cybereason NGAV
ファイア・アイ株式会社 FireEye Endpoint Security(HXシリーズ)
CrowdStrike, Inc. CrowdStrike Falcon
Pagetop