NetDetector

NetDetectorイメージ

「標的型攻撃」「不正アクセス」「情報漏えい」の文字をニュースで毎日のように目にする今日。

“わが社の対策は大丈夫だろうか?”という不安をNetDetectorが解消します。

NetDetectorは、ネットワーク上で通信されるデータをリアルタイムに記録する、いわば、ネットワークの監視カメラです。
Web、送受信メール、Telnet、FTP等の実際の通信を過去にさかのぼって再現*1)することができ、標的型攻撃などによる情報漏えい発生時の証跡確認として利用できます。

裁判社会アメリカで実績を積み上げたフォレンジックサーバです。


*1)「再現」とは、ネットワーク利用者の通信を可視化することです。
ネットワーク上を流れるパケットデータから通信の中身を組み立てることで、

 ・誰がどんなE-Mailを送ったか
 ・誰がどんなWebサイトを閲覧したか
 ・誰がどんなチャットをしたか・・・

を可視化します。

社員の「メール」や「Webアクセス」を記録して、標的型攻撃などによる漏えい事故発生時に犯人を追跡できます

Mailの再現イメージ

●E-Mailの再現機能

近年、ネットワーク経由で起こった情報漏えいでは、E-Mailが経路となった割合が高くなっています。また、内部犯罪・内部不正行為による情報漏えいは、重要情報を時間をかけて収集できるため、1件あたりの被害が大きいという傾向も報告されています。(※1)

また、2015年度には機密情報漏えいを目的として特定の組織や個人を狙う「標的型メール」による被害が多く発生しました。

「E-Mailを記録し、いつでも再現できること」、これは標的型攻撃を含むネットワーク経由の情報漏えい対策として最初にすべき対策です。また、悪意ある従業員の不正を心理的に抑止する効果が期待できる点でも大切です。

NetDetectorはE-Mail(SMTP/POP3/IMAP4対応)の本文はもちろん、添付ファイルも再現できます。メールを経由した情報漏えいの調査に効果的です。

調査対象時刻やアドレスを設定して検索実行すると、該当するメールのあて先、タイトル、添付ファイル名等がリストアップされ、被疑メール(不正の可能性が高いメール)をクリック1つで再現できます。

再現はGUIベースのため、危険なキーワードを含むE-Mailを常時監視するのは手間が掛かります。弊社のアドオンソフト「Mailメッセージ検索」を併用すると、監視を続けて対象メールを見つけた段階で、E-Mailを取り出して保管してくれます。このため、対象メールの発見の迅速化が図れます。

HTTPの再現画面イメージ
HTTPの再現画面イメージ
機能紹介

メッセンジャーの再現画面イメージ
メッセンジャーの再現画面イメージ
機能紹介

●HTTPの再現機能

E-Mailの次に情報漏えいに使われる手段はWebアクセスです。社外へ機密情報を漏らす手段に使われるだけでなく、掲示板やブログなどで悪評を書き込まれるなどの信用低下を招く事態も心配されます。
また、業務外のインターネット利用(株価サイトやインターネットショッピングサイトへのアクセスなど)による社内ネットワークリソースの浪費の監視も必要になりつつあります。

NetDetectorは、利用者が閲覧したホームページを利用者が見たとおりの形で再現します。Web-Mail受信やWeb掲示板アクセスも再現可能です。Webを経由した情報漏えいの追跡、社員のWebアクセス監視に効果的です。
HTTPS通信についても暗号化キーがわかっていれば再現することができます。

調査対象時刻やアドレスを設定して検索実行すると、該当するWebアクセスのURL等がリストアップされ、被疑通信をクリック1つで再現可能です。

・Web-Mailの書込み、Web掲示板の書込みは弊社のアドオンソフト「“Web行動分析ツール”」を併用する必要があります。


FTPの再現画面イメージ
FTPの再現画面イメージ
機能紹介

telnetの再現画面イメージ
telnetの再現画面イメージ
機能紹介

●インスタントメッセンジャー、FTP、telnetの再現機能


E-Mail、HTTP以外の情報漏えいルートとして見落とされがちなのがインスタントメッセンジャー、FTP、telnetです。
内部不正を犯す者は、どんな手段で情報の持ち出しを行うかわかりません。
だからこそ、情報漏えい手段として心配されるすべての通信を記録し、いつでも再現できることが重要です。

・インスタントメッセンジャーでのやりとりの中身をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するメッセンジャーのハンドル名やメールアドレスがリストアップされ、被疑通信をクリック1つで調査できます。

・FTPでのファイル送受信をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するFTP通信の転送ファイル名がリストアップされ、被疑通信をクリック1つで調査できます。

・telnetでのやりとりの中身をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するtelnet通信の送受信IPアドレスがリストアップされ、被疑通信をクリック1つで調査できます。

 

勤務時間外のネットワーク利用、アクセス禁止サーバへのログインなどの社内での怪しい行動を調査できます

トラヒック分析機能画面イメージ
トラヒック分析機能画面イメージ
機能紹介

●トラヒック分析機能


再現機能を使って犯人を追跡するには、事前に被疑通信(不正の可能性が高い通信)を効率的に絞り込むことが重要です。被疑通信が絞り込めていないと、すべての通信を再現させる必要があり、現実的には追跡しきれません。


この被疑通信の絞り込みをサポートするのがトラヒック分析機能です。
いつもと違う通信パターンは不正を示唆します。
例えば、「深夜休日の利用」・「関係ない部署へのアクセス」・「機密情報サーバとの大量のコネクションやデータダウンロード」などは、通常の業務ではあまり発生しないはずです。
このようないつもと違う通信パターンを、トラヒック分析機能でマウスによる簡単操作で発見できます。

NetDetectorは指定した時間帯のトラヒックの変化を、アプリケーションや利用者別に数値とグラフで表示します。全トラヒックに占めるアプリケーションごとの割合や送受信利用者別の割合が一目瞭然です。グラフ表示は、回線使用率の他、通信量、コネクション数などでも分析表示できるので、“いつもと違う”の発見に効果的です。

さらにTCP通信については、サーバ/クライアント別やサーバクライアントのペアごとに、通信量やコネクション数を分析できます。どのサーバに負荷が集中しているか、機密情報サーバから大量データをダウンロードしているクライアントなどを調べることができます。

このようなトラヒック分析により、
-利用が許されないアプリケーション
-トラヒック量やコネクション数の急激な増大や大容量転送
-利用者がいないはずの時間帯の通信
の分析を可能にし、被疑通信を絞り込むことができます。

絞り込んだ被疑通信について、再現機能にて本当に不正アクセスであるか、不正アクセスだった場合の情報漏えい・改竄などの被害規模の調査が可能です。
トラヒック分析機能が、フォレンジックサーバ本来の再現機能をより実用的な機能に仕上げています。
さらに、この画面での分析結果はPDF化やCSV化できるので、長期間の傾向分析にも役立ちます。

ファイアウォール(FW)をすり抜けた外部からの攻撃を発見します

IDS機能画面イメージ
IDS機能画面イメージ
機能紹介

●IDS機能
ファイアウォール(FW)による受動的な「防御」だけでは、次々と露呈するセキュリティホール、これを利用する新たな侵入手口を防ぎきれません。


NetDetectorは、フリーIDSとして実績のある“Snort”をカスタマイズして搭載し、外部からの不正アクセスの監視を可能にしました。

サマリー表示画面では、IDSで発見した被疑通信を緊急度で分類し、
・度々攻撃してくるのはどのアドレスか
・何度も狙われたのはどのアドレスか
・どのイベント(侵入手法)が多数起こったか
などがわかります。

全イベント表示画面では、IDSで発見した被疑通信リストをすべて表示し、再現機能やトラヒック分析機能と連携した次の解析が可能です。

 ・再現機能にて、発見された被疑通信が不正か否かを検証する
 ・トラヒック分析機能にて、同一発アドレスのネットワーク利用状況をくまなく調べる


  リアルタイムな検知はもちろん、新しいシグネチャファイル(不正侵入パターンの定義ファイル)を使って過去に遡ってデータを調査することも可能です。

攻撃パケットの中身を分析できます

View Packets画面イメージ
View Packets画面イメージ
機能紹介

●View Packets
外部からの攻撃があった場合には、不正アクセスのパケット内部の情報(ペイロード内のボッドへの命令など)を調べることも大切です。また、検知ミスかどうかの判断にも役立ちます。 そのためにはアナライザが不可欠です。

View Packetsでは、パケットごとにヘッダ部やデータ部の中身、各パケット間のデルタTimeなどを調べることができます。16進/Asciiダンプなども可能です。また、パケッ トをファイルとして取り出して、証拠として直ちに保管したり、別の解析に回すことも可能です。

トラヒック分析機能で絞り込んだトラヒックに対してView Packetsを起動したり、 View Packet画面上で、分析範囲の変更、フィルタリグ、キーワード検索が可能です。

(※1:「2013年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~ 第1.2版 :NPO 日本ネットワークセキュリティ協会 2015年2月23日改定)

ソリューション・製品一覧へ