標的型攻撃にいかに立ち向かうか～巧妙化する脅威に組織がとるべき対策とは～竹内文孝

Copyright © NTT Communications Corporation. All rights reserved.
標的型攻撃にいかに立ち向かうか
～巧妙化する脅威に組織がとるべき対策とは～
NTTコミュニケーションズ株式会社
NTTコムセキュリティ株式会社
竹内文孝 ,CISSP
2015年9月4日

目次
2
1.プロフィール
2.ICT環境を取り巻くセキュリティ脅威の動向
3.インシデント対応ライフサイクルの強化について
4.WideAngleの紹介

１．プロフィール

NTT Comグループのマネージドセキュリティビジネスの歩み
4
設立：1988年
（事業内容）フルレイヤーセキュリティサービスの構築・運用
（実績）欧米を中心に、業種を問わない豊富な実績
設立：1986年
（事業内容）セキュリティコンサル及び、MSSの提供
（実績）官公庁及び金融業を中心に豊富な実績
2009年
INTEGRALIS 買収
2010年
SECODE 買収
2003年
NTTコミュニケーションズ
セキュリティオペレーションセンタ設立
2011年
INTEGRALIS、SECODE会社統合
2012年
運用基盤統合
2013年
NTTコムセキュリティ設立
NTTセキュア
プラットフォーム
研究所
協力
■ マネージドセキュリティサービスの実績11,000台以上（Global全体）
■ コンサルティングサービスの25年に渡り8,000件以上の案件を実施

セキュリティ分野における第三者評価・アワード
IDC IT MarketScape APAC MSS 2015 日経BP社クラウドランキング
【FireEye社】
Top Partner Performance
Award 2014
⇒ NTT Comは、APACで
マネージドセキュリティ
サービスプロバイダとして
リーダポジションの評価
56
【Fortinet社】
FortiHero Top Global Partner
Award 2014
【PaloAlto社】
Japan Theatre Managed Service
Provider of the Year
Award 2015

2.ICT環境を取り巻く
セキュリティ脅威の動向

サイバー攻撃の変遷
8
将来
主目的手段防御側に求められる対策
愉快犯・Mail添付ウイルス
・USB媒介ウイルス
・サーバ不正アクセス
・バックドア設置
入口対策・Internet GWの不正アクセス対策
(FW/IDS/IPS)
・Internet GW/サーバ/クライアントへのウイ
ルス対策
・DMZ内各種サーバの脆弱性診断、解消
金銭搾取・マルウェア配布サイト
・模倣サイト
・内部者による持ち出し
+
出口対策
・クライアントから有害サイトへのアクセス制
限（URLフィルタリング）
・企業内ネットワーク及び利用アプリ可視化
・個人情報等のアクセス管理強化
テロ活動
軍事活動
示威活動
・ゼロデイ攻撃
・標的型/APT攻撃
・Ransomware
・DDoS・BOTネット
・制御系NWへの侵入
+多層防
御・未知
のリスク
への対応
・企業内LANに潜む未知のマルウエア対策
・機器の異常な振る舞い検知・防御
・アクセスログなどの証跡保存
・CSIRT設立
現在
・サイバー攻撃の目的が変容し、その攻撃手段はより高度化、巧妙化、組織化している
・防御側の対策もより高度な技術が要求され、しかしながらその対策は後手に回っている
のが実情
・防御よりも、侵入を前提としたインシデンスレスポンス重視の傾向

標的型攻撃のパラダイムシフト
8
従来のアプローチ新たなサイバーセキュリティ
考慮するスコープ • 自社および自社グループのみ • 相互接続されたグローバルビジネスエ
コシステムの範囲
誰の責任下で
対応するのか
• IT部門が主導し運営する • ビジネスの責任者：CEOおよび取締役
会の説明責任
攻撃者の特徴 • 偶発的（釣れるのを待つ）
• 便乗型（バックドア再利用）
• 戦略的（組織的な作戦、明確な標的）
情報資産の保護 • 総花的なアプローチ • 「資産価値の高い情報」を優先し、保
護する
防御体制 • 境界線防御：攻撃された際に受動
的に対応
• 攻撃を想定した事前計画、監視および
迅速な対応
セキュリティ
情報共有
• 自社限り • 官民の協力：業界のワーキンググルー
プとの連携
• CSIRT間での連携
攻撃者は企業の古い防御（境界）を迂回し、標的を絞って検知しにくい攻撃を次々
に仕掛けている。企業は、従来のセキュリティに対する考え方を改め、次のような
新たなアプローチをとる必要がある。

標的型攻撃の典型的な手法とは・・・
悪性サイトに誘導する
メールやマルウェアを
添付したメールを送付
ターゲット
攻撃者
URLをクリックしたり、
添付ファイルを開封し、
マルウェアに感染
実在する人物・団体を装ったり、
いかにも開きたくなる文面で送付
社内システム
悪性サイト
/C&Cサーバ
ウイルス対策
ソフトでは検知されない
他端末への感染拡大
標的企業
マルウェアが攻撃者の
C&Cサーバと通信
遠隔操作、情報窃取などが可能に
マルウェア配布サイト
新たなマルウェアを
追加ダウンロード
管理者権限などで
ほしい情報を
探索
情報漏えい
4,906件
356種類
代表的な
AV/ASでは
検知できず
侵入! 10.1%10人に1人は
開いて
しまう!?
【出典】内閣官房平成23年度標的
型不審メール攻撃訓練結果の概要
AV/AS
IPS/Proxy/Sandbox39件
170億件
脅威の発見は
宝くじに
当たるくらい
難しい!!
9

企業に侵入する未知マルウェアの実態
・企業のインターネットGWを通過したマルウェア添付メールをサンドボックスで検知
・当該マルウェア検体をほぼ同時にウイルス対策製品で検査
平均月間メール通数：13,821,493通
平均月間添付ファイル数：422,413件
未知マルウェア添付の
メール通数
(AVメーカ4社でチェッ
ク)
既知マルウェア添付
の
メール通数
：1社以上が検知
：４社とも未検知
Firewall
Anti-Spam
Anti-Virus
社内PC
Sandbox
４社AVの
最新ﾊﾟﾀｰﾝ
で検査
10

現在の標的型攻撃は、狙った情報に対して臨機応変に絶え間なく攻撃を行い、
やがて防衛ラインを突破／侵入し攻撃を達成します。
以前の委託業者
わからない
委託業者
ハッカー
退職者
現行の従業員 27%
11%
18%
5%
8%
43%18%
18%
15%
24%
30%
35%
（出典：PwC「相互につながった世界におけるサイバーリスクマネジメントグローバル情報セキュリティ調査2015」）
日本（n=206）グローバル（n=9,329）
日本企業の43%はインシデント発生要因が不明!?
11

様々な環境変化を踏まえた中期的な展望
12
環境変化対策強化の中期的展望
サイバー空間とリアル空間
の融合/連動（グローバル
化＝ボーダレス化）
CSO体制の整備とそれを支えるインテリジェンス
の整備⇒サイバー空間の出来事が国家テロや企業経
営に多大な影響を与える。火の粉が降りかかった時
の初動や統制が影響範囲のカギを握る。
社会インフラや制御システ
ムのオープン化、IoTの進
展、及びその集中管理によ
る効率化
個別システムのリスクシナリオを把握したインシデ
ント管理体制の整備⇒社会インフラや制御系システ
ムなどログ管理システムやCSIRT体制の導入の他、
物理セキュリティ等との連携も要求される。
また、投資対効果の評価も重要。
サイバーセキュリティに関
する各国の法整備
各国の法律や環境、慣習など配慮したリスクマネジ
メントフレームワークの整備⇒グローバルに精通し
た専門的な支援体制が要求される。
第2インターネットの具現
化？（物理的に？または論
理的に？）
SDN/NFV等を駆使したセキュアなネットワーク環
境の導入⇒キャリアクラウドの活用など

3.インシデント対応ライフサイクルの
強化について

インシデント対応ライフサイクルの強化について
(標的型攻撃の実態）
■ウイルスはGWをすり抜ける
■感染端末は制御される
■攻撃は水面下で達成されている
・侵入／潜伏したウイルスを検知
・インシデントを分析／把握
・被害範囲を最小化
・迅速的確な再発防止策の実行
*出典：NIST (National Institute of Standards and Technology)発行「Guide to Malware Incident Prevention and
Handling」（マルウェアによるインシデントの防止と対応のためのガイド）の「Figure 4-1. Incident Response Life Cycle」
（インシデント対応のライフサイクル）
14
【準備】
・プロセスの整備
・人の体制化
・技術の導入
【事故後の活動】
・事故全容の把握
・コストの把握
・再発防止策の立案
【検知と分析】
・前兆を知る
・兆候を掴む
・攻撃を把握する
【封込、根絶、復旧】
・封じ込めの実行
・感染源の識別と駆除
・封じ込めの解除

トータルセキュリティへの視点
8
◆インシデントレスポンス対応
・役割、体制、一元コントロール
・発生状況の把握～対処までの手
順書化、実施確認
平時のマネジメント有事のマネジメント
PDCAマネジメントサイクルを廻す
◆セキュリティポリシー策定
◆セキュリティに対する文化の醸成
◆推進・管理体制構築
◆ポリシー遵守状況のモニタリング・是正
◆内部監査 ◆第三者認証取得
◆委託先管理 ◆グループ機関との連携
◆外部機関との連携
◆外部情報の収集・活用
◆階層別役割別セキュリティ研修
◆誓約書の取得による意識醸成
◆社員区分ごとに応じた情報取扱
◆罰則の規定による抑止
人的観点
◆業務プロセスの見直し
◆情報アクセスの申請・承認制導入
◆情報のライフサイクル管理
プロセス的観点
◆インターネットGWセキュリティ
FW、IDS、Mail/WWWフィルタリング等
◆フィジカルセキュリティ
入退室管理、監視カメラ、エリア分け等
◆エンドポイントセキュリティ
PC検疫、書出し制御、持出抑制、シンクライアント化
脆弱性診断等
技術的観点
企業の機密情報を守りつつ、業務運営を行なうために
「情報を守る」⇔「情報を使う」
マネジメント的観点
マネジメント的観点を主に技術、人的、プロセスの観点の整合性が取れたセキュリティ導入を目指します。

標的型攻撃の被害を最小化する対応策
社会保険オンラインシステム
そのうち55万件にはパスワードによる
アクセス制限はされていなかった。
約125万件
②5/8以前、第1弾受信
⑦5/18、第2弾を複数受信
⑧5/20、第3弾を複数受信
職員
攻撃者
ファイル共有サーバや
個人の端末にデータを保存
年金加入者
個人情報
厚生労働省などを装った
メールが送信される
作業用に
データを抽出
情報系システム
悪性サイト
/C&Cサーバ
③URLクリック
④悪性サイトに
アクセス
⑤ウイルス感染＆バックドア
⑥機構内情報が流出
⑨被害拡大
⑩個人情報が流出
外部サーバに情報を保存。
一部は、東京都港区の海運事業者やア
メリカのサーバに保存されていた。
①個人情報を作業用にコピー
メールの中から怪しい
ファイルを検出し、イン
ターネットGWをすり抜
けた未知のウイルスを
洗い出す
WideAngle／RTMD
RTMDにて、
悪性サイトやC&C
サーバの評価情報に基
づき、そのサイト向け
の通信を検知、自動的
に遮断
WideAngle／RTMD
未知のウイルスを検知後
15分以内に、当該メー
ルの送付先ユーザーに注
意喚起メールを通知し、
クリック実行を抑制
WideAngle／RTMD
社内に接続されるPCや
サーバの異常な振る舞い
情報を収集し、感染範囲
の確認やリモート隔離を
実行
WideAngle／EPTP
RTMD : Real Time Malware Detection
→WideAngleが提供するネットワーク型の標的型攻撃対策サービス
EPTP : End Point Threat Protection
→WideAngleが提供するエンドポイントの標的型攻撃対策サービス
23

4.WideAngleの紹介

プロフェッショナルサービス
セキュリティ対策機器/ソフトウェアの
導入サービス
マネージドセキュリティサービス
NTTコムの総合リスクマネジメントサービスメニュー
18

◆ ２5年にわたる豊富な経験と実績（8000件以上）
プロフェッショナルサービスのメニュー
19
メニュー対策概要
コンサルティング
総合
グローバル
Global Enterprise Methodology (GEM)に基づくグローバル企業向けコンサルティング
システムリスク
アセスメント
ITシステムセキュリティのベストプラクティスとのギャップ分析によるリスク評価
CSIRT構築支援インシデントレスポンス体制整備支援
エントリー
モデル
バーチャルCSO 時間契約(前払い/80h)で、セキュリティに関する戦略的・実践的な助言を提供
非常勤
エキスパート
時間契約(半年分前払い/9日)で、特定の技術分野における専門家による技術的な助言を
提供
ワークショップ個別テーマに関する教育セッション(1回半日)
レスキュー
サービス
総合インシデントレスポンス
緊急事態にプロフェッショナルエンジニアが
調査・分析を実施初動対応、調査分析、改善提案まで提供
インシデント初動対応パック情報の整理、事象の把握と調査、被害の拡大防止までを実施
脆弱性診断
プラットフォーム脆弱性診断 OSやミドルウェアなどの脆弱性を検出、リスクを可視化
Webアプリケーション脆弱性診断 Webアプリケーションの脆弱性を検出、リスクを可視化
脆弱性マネジメン
ト
セルフ脆弱性診断脆弱性診断～対策管理までを定期的・継続的にお客さま自身で行う環境を提供
総合脆弱性マネジメント
CSIRT向け管理/統制支援
（システム情報管理、脆弱性検出/通知、対策/リスク管理機能をお客様専用基盤として
提供）

20
インフラストラクチャ
プロテクション
リスク
マネジメント
日本個別メニュー（MDM 、PCウイルス対策等）
<セキュリティ対策メニュー>
 様々なセキュリティ機器からのアラートやサーバ等のログを精査、相関分析することで、
真の脅威を検出すると共に、感染端末の特定、攻撃の進展度合いを分析
 入口対策で検出した脅威を内部対策や出口対策に連携し、被害を防止又は極小化
NWセキュリティ Firewall/IPS&IDS
コンテンツセキュリティ
Email/Web-Anti-Virus
URL Filtering
WAF (Web
Application Firewall）
VMセキュリティ VM-Anti-Virus/Firewall
プロファイリング
Application Profiling
Network Profiling
リアルタイムマルウエア
検知
RTMD Web/email
(On site)
Cloud base RTMD
エンドポイントスレットプロテクション
（End Point Threat Protection）
CLA
(非セキュリティ設備との総合ログ相関分析)
インフラストラクチャ
プロテクション
リスクマネージメント＆
スレットプロテクション
A
突発的な脆弱性出現に緊急対応する
カスタムシグニチャの運用
侵入／潜伏した未知の脅威や、内部の異常な振舞
を検知・分析する GROC＋独自SIEMの総合ロ
グ相関分析と重篤度判定、防御のための制御実施
B
F
D
E
C
C
*1 グローバルリスクオペレーションセンタ
*2 セキュリティインフォメーションアンドイベントマネジメント
*3 モバイルデバイスマネジメント
*3
*1 *2
マルウェアの検知～分析～感染端末の特定～隔離
と被害拡大を一連制御するトータルマネジメント
Windows環境に潜伏したマルウェアの振舞を
検知～分析～拡散防止する国内初の独自対策
マルウェアの検知～分析～防御（拡散防止）～駆
除までをクラウド型サービスで一元的に提供
D
1
2
1 2
サイバー攻撃に対する多層防御ソリューション

21
パソコン
既知ウイルス対策ソフト
攻撃サイト
Sandbox
(未知ウイルス検知)
スパムメールを隔離
既知ウイルス付メール排斥
入口
対策
入口
対策
内部
対策
マルウェア振舞検知・防御
攻撃証跡収集・ﾈｯﾄﾜｰｸから隔離
内部
対策
内部
対策
マルウェアと攻撃者間
の通信を即時に遮断
Sandbox(仮想環境)でファ
イル実行→感染可能性検知
メール
サーバ
アンチウイルス
スパムメール
感染による活動
公開Web
サーバ
Webｱﾌﾟﾘｹｰｼｮﾝ
ﾌｧｲｱｳｫｰﾙ
専門分析官
(24時間365日)
脆弱性攻撃・ID/Pass総当
たり攻撃等を検知・遮断
独自開発ログ総合相関分析システムと高度な
分析官による即時検知・防御のための制御
USBメモリ
Sandbox(仮想環境)で分析した
未知ウイルスから、悪性サイトを
検出し、攻撃者との通信を検知
Sandbox(未知ウイル
スによる悪性通信検知)
出口
対策
NTT Com
グローバルリスクオペレーションセンター
入口対策：Webサイトへの攻撃、ウイルスの
社内流入を検知・防御
内部対策：ウイルスがPCの脆弱性を突いた感
染を防止、感染後の行動を検知。感染PCの隔
離、被害範囲確定
出口対策：ウイルス感染しても攻撃が成立し
ないよう攻撃者との通信遮断
お客さま
ICT環境
Webアクセス
フィルタリング
出口
対策
プロキシ
サーバ
C
B
D
E
ログ/アラート
制御
 NTT Com の WideAngle は多層防御のコンセプトにて、入口/内部/出口の各ステージで対策を実施
 グローバルリスクオペレーションセンターで高度分析を行い、各ステージ間を連携、被害防止・極小化
ﾌｧｲｱｳｫｰﾙ／IDS（侵入検知装置）／IPS（侵入防御装置）／ｱﾝﾁｳｨﾙｽA
連携/制御
F
C
サイバー攻撃に対する多層防御ソリューション

・独自開発の新セキュリティ運用基盤と専門アナリストによる運用監視
体制により、サイバー攻撃などのリスクを最小化
・お客様はロケーション（クラウド/コロケーション/お客様拠点）に
関わらずサービスをご利用可能
* SIEM：Security Information and
Event Management
グローバルリスク
オペレーションセンター
新セキュリティ運用基盤
運用監視/ログ収集
お客さま
レポート
イベント通知
改善提案
*
Engine 等
※Bizホスティングエンタープライズクラウドではオプションとしてご提供
お客さま拠点コロケーションクラウド
マネージドセキュリティサービスの提供体制
22

“ShellShock”
0:00
①脆弱性公開
パッチ提供
0-day 20時間
IPS
A製品
B製品
WAF
C製品
D製品
9/25 13:00 作成
9/26 17:30 公式提供
9/29 10:00 公式提供
9/27 10:30 公式提供45.5 時間
87.5 時間
28.5 時間
9/25(木) 26(金) 27(土) 28(日) 29(月)
15:00
②脆弱性公開
(修正もれ)
11:00
②パッチ提供
▲ ▲ ▲
● ●
9/25 13:00 作成
● ●
9/25 18:30 作成
● ●
9/25 22:00 作成
●
9/2? ??:00 公式提供
●
?? 時間
GROCのカスタムシグニチャ緊急対応サービス
23
A B

「RTMD」&「EPTP Validation & Isolation」連携
24
エンドポイント
管理機能
RTMDで検知した
ウイルスの振る舞い情報
社内PC管理社内サーバ管理
・感染範囲・端末の特定
など実態の把握が可能
・感染端末の隔離が可能
リアルタイムマルウェア検知
(RTMD Web/email (On site) )
RTMD Mail
RTMD管理機能
RTMD Web
(仮想実行環境による
メールの解析)
(仮想実行環境による
ウェブトラフィックの解析)
FW
EPTP Validation & Isolation
グローバルリスクオペレーションセンター
・リアルタイム解析
・攻撃内容、重篤度通知
・インシデントレスポンス
・フォレンジック対応
FireEye
サイバー
デフェンス
センター
Internet
Agent AnywhereTM
ウイルスの振る舞い情報を
もとにスキャンの実施
・送受ファイルの感染有無確認（RTMDによる振る舞いでの未知のウィルス検知）情報を活用した網内
全PC/サーバに対する総スキャンでの感染範囲の確認（インシデントレスポンス機能）
・サーバ/PCの感染範囲証跡記録、漏洩情報等攻撃の活動範囲、内容の確認（フォレンジック機能）
・エンドポイント管理機能を活用したリモートによる迅速な感染端末のLANからの隔離、以降の拡散防
止（インシデントレスポンス）
考えうる既知の攻撃防御→未知（APT等標的型攻撃、社内からの漏洩）の攻撃検知
⇒ 検知のみならず以降の攻撃からの防御 ⇒ 攻撃の証跡、影響範囲の把握
⇒ 全般的な影響範囲把握、以降の情報漏洩事故等の阻止 ⇒ 法的対応を可能とする証拠収集
顧客ニーズの変遷
サービス拡大範囲
(EPTP Validation
& Isolation)
お客さまICT
環境
C Ｄ
1 1

Sandbox運用（RTMD）における真の脅威の絞り込み
25
C
機器でマルウェアの可能性があると検知されたイベント/アラート
のうち真に対応が必要となるものは約30％であり
オペレーションの中で仕分けることが必要です
機器で
実施する範囲
NTT Comが
独自ノウハウで
実施する範囲
既存セキュリティ対策を突破したファイル/通信
Sandbox機器で検知したファイル/通信
検知したファイル/通信を分析し、
分析エンジンとアナリストで仕分けを実施
対処すべき
未知のマルウェア
？？
？
約30％に
絞り込まれる
独自開発した
マルウェア判定エンジンで、
効率的＆高精度な検知を実現
数百万台のクライアントウイル
ス対策と約6,000台のセキュリ
ティ機器の運用ノウハウで、更
なる仕分け！
＊
1

RTMDで検出した侵害の兆候を既存セキュリティ機器に連動させて防御する
悪性サイトに誘導する
メールやマルウェアを
添付したメールを送付
ターゲット
攻撃者
URLをクリックしたり、
添付ファイルを開封し、
マルウェアに感染
実在する人物・団体を装ったり、
いかにも開きたくなる文面で送付
社内システム
マルウェア配布サイト
/C&Cサーバ
ウイルス対策
ソフトでは検知されない
標的企業
マルウェアが攻撃者の
C&Cサーバと通信し、
遠隔操作や情報窃取などが可能に。
または、新たなマルウェアを
追加ダウンロード
管理者権限などで
ほしい情報を探索
AV/AS
FW/IPS
/Proxy
RTMDにより検知した未知の脅威(マルウェア・エクスプロイト・悪意あるWEBサイト通信等)情報を検証する複数ベンダのマルウェ
ア検知機能(BeatWash)により、疑わしいURL情報を抽出
危険と判定されたURLについて、機器のURLフィルタリング機能を利用して、危険サイトへの接続を準リアルタイムに暫定的に遮断
アナリストによる詳細分析により危険サイトの真偽判定、恒久遮断・許可判定反映
オンプレミス型RTMDの付加サービスとして、攻撃者との通信を遮断することにより攻撃を防御
Sandbox
①ファイル
をコピー
NTT Com グローバルリスクオペレーションセンター
Reputation DB
リスクアナリスト
③疑わしいURL
情報を抽出
②ファイルの解
析結果を送信
④危険と判定された
URL情報を自動連携
BeatWash⑤Reputation DBの
ブラックリスト情報
により情報精査
（2時間以内）
お客さま
運用担当者
URL情報に関するお
問い合わせへの対応
□次世代ファイアウォール
パロアルトネットワークス社
□プロキシサーバ
ブルーコートシステムズ社
Squid（オープンソース）
□Webフィルタリング製品
デジタルアーツ社（NEW!）
通常の
安全なサイト
②~④平均10分以内
（最大20分以内）
１
２
３
F
26

Cloud base RTMD（リアルタイムマルウェア検知）サービス
Internet
トレンドマイクロ社
アンチウィルス
ゲートウェイ
メールサーバーなど
＜攻撃者＞
お客さまICT環境
Arcstar
Universal One
*本サービスには監視回線が含
まれておりませんので別途契約
が必要です。L3接続、Cloud-
GW接続オプションが必要です。
TrendLabs
NTTコムSOC
Deep Discovery Analyzer
(Sandbox)
本サービスでの提供範囲お客様にご準備いただく範囲
パターンファイル
配信サーバ
既知ウィルスは
パターンファイルで検知
※2トレンドマイクロ社のGW製品で、未知ウイルスの可能性があると判定されたファイル
② Sandbox技術による
未知のウィルス検知
③ トレンドマイクロ社と提携し
パターンファイルの開発
④ パターンファイル
の配信
⑤ パターンファイルの更新
既知ウイルスとして検知・防御
※1 C&Cサーバリストダウンロード機能
サービス提供基盤
①パターンファイルをすり抜けた
未知ウイルスは転送※2
・未知のウイルスの検知、分析、防御の一連のサイクルを自動で行うクラウド型Sandboxサービス
・お客様のアンチウイルスGWと連携し、NW経由で容易にSandbox解析機能を利用可能
・トレンドマイクロ社と協業し、未知ウイルスのパターンファイルを自動生成し、GWへ配信
C
27
2

EPTP Analysis & Blocking
FFR yarai
Windows Error Reporting
EPTPエンジン（MTDS連携・ブロック機能）
MTDS
Analyzer
企業LAN
※必要に応じて
エスカレーション
NTTコム分析センタ
・攻撃元URL
・攻撃コード
・分析レポート
MSS
FFR yarai ヘルプデスク
（お客様CSIRT/SOC連携可能）
セキュリティ監視
yarai管理
MTDSMTDS
アナリスト＠US
・攻撃元URL
・攻撃コード
2
3FFR
EMC
お客様環境
Mail
MTDS
Collector
クラッシュ＆
攻撃発生時の
メモリダンプ
1
MTDS
アナリスト
（SOCメンバー）
FFR yaraiの管理サーバ
・yaraiの検知情報集積
・検知ルールの配布
・FFR yaraiの攻撃検知やWindows異常検知のログを一元的に収集／管理
・Microsoftと連携したログ分析技術により攻撃元URLや攻撃コード等の情報を抽出しブラックリスト化
・ブラックリストをFFR yaraiに反映し、当該攻撃の再発や同手法による未知の攻撃をブロック
D
28
2

SIEM
(Security Information and Event
Management)
セキュリティ機器
非セキュリティ機器
Firewall Proxy
Windows Linux
Apache IIS
IDS IPS
Sandbox
Anti
Virus
UTM
NGFW
総合分析・脅威通知サービスは, さまざまな機器のログを収集し, お客さま
環境に潜在するセキュリティリスクを発見するログ相関分析サービス
ログ収集
（ビッグデータ）
分析エンジン
L3アナリスト
E 侵入／潜伏した未知のリスクも可視化する独自SIEM＋GROCの総合ログ相関分析
29

CLAサービスの検知性能について
＊1 2014年7月7日～8月28日＊2 Real Time Malware Detection
NTT Com グループ独自のSIEMエンジンやブラックリストなどにより、従前の
対策で検知困難な未知の重篤なセキュリティ脅威を発見
<未知の重篤なセキュリティ脅威検知事例>
53日間*1の重篤な脅威検知数導入内容(A社様)
従前の対策による既知の脅威検知に比べ
約10倍のセキュリティ脅威を検知
4件 IPS/IDSによる検知
NTT Comグループ独自セキュリティ
運用基盤による未知の脅威検知
SIEMエンジンによる検知：11件
独自ブラックリストによる検知：2件
従前の対策による既知の脅威検知
Sandbox技術を活用したRTMD*2
による検知
35件
(内訳)
22件
(内訳)
13件
170億件/53日のログを抽出
監視対象：PC約8万台
(ログソース：IPS/IDS, Sandbox, PROXY)
セキュリティ運用基盤による分析
22万件の疑わしい
ログに絞り込み
リスクアナリストによる重篤度判定
39件の重篤な
セキュリティ脅威を検知
30
E

ご清聴ありがとうございました。
総合リスクマネジメントサービス「WideAngle」
http://www.ntt.com/wideangle_security/

標的型攻撃にいかに立ち向かうか～巧妙化する脅威に組織がとるべき対策とは～竹内文孝

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Similar to 標的型攻撃にいかに立ち向かうか～巧妙化する脅威に組織がとるべき対策とは～竹内文孝

Similar to 標的型攻撃にいかに立ち向かうか～巧妙化する脅威に組織がとるべき対策とは～竹内文孝 (20)