Elastic Cloudを利用したセキュリティ監視の事例

| Document Number | Nov ５, 2020 |
© Yokogawa Electric Corporation
ElasticON Security
Elastic Cloudを利⽤したセキュリティ監視の事例
(YｰSOC︓Yokogawa Security Operation Center)
塩崎哲夫
横河電機株式会社
デジタル戦略本部副本部⻑
Nov.5th 2020

Agenda
1
1. 会社概要
2. SOC開発の背景と歩み
3. YｰSOCの概要
4. トレーニングとコンサルテｰションの事例
5. 外部システムとの連携（ServiceNow)

会社概要 (2019年実績）
- 2 -
横河電機株式会社
Yokogawa Electric Corporation
大正4年（1915年） 9月1日
大正9年（1920年）12月1日
434億105万円
4,044億円（連結）
356億円（連結）
6.8％（連結）
18,107人（連結）
58.4％（連結）
商号
創⽴
設⽴
資本⾦
売上高
営業利益
経常利益
当期純利益 ※
開発投資⽐率
従業員数
⾃⼰資本⽐率
※親会社株主に帰属する当期純利益
計測6.1%
航機その他2.2%
制御
91.7%
事業別売上高
⽐率
中東・
アフリカ 555
日本 1,265
東南アジア・極東
660
インド 153
ロシア
195
中南米 90
北⽶ 327
地域別売上高
（億円）
（2019年度実績）中国 473
欧州全域
326
横河電機株式会社会社概要
プラント制御のシステムを中心に世界62カ国に拠点を展開。

製品・サービス概要
- 3 -
横河電機 DXへの取り組み
制御システムなどのオペレーショナルテクノロジー（OT）と情報技術（IT）とを融合させ、
インテリジェントな工場を支えるサポートサービス提供をめざす。

SOC自社開発の背景と歩み
 外部にIDSの監視を委託していたが、
IDS監視だけではサイバー攻撃の特
定や検知が難しかった。
 海外の売上⽐率が⾼く、Globalにシ
ステムを展開しているが、各拠点毎
に様々なセキュリティ製品が導入され
ており、監視体制も統一されていな
かった。
 DXサービスの推進において、自社内
でもサイバーセキュリティのノウハウを
蓄積する必要が出てきた。
 しかし、自社でセキュリティ監視基盤
(SEIM)の導入・運用ができるかリ
ソース⾯でも不安もあった。
4
1. 2018年秋から全社統合監視基盤を検討。
2. 2019年1月~3⽉︓東京とシンガポールを対象
に、Elastic CloudのPoCを実施。ログの収集や
転送時間、アラートの分析などSOCの要件の整
理とElastic Cloudの効果測定を実施。
3. 2019年4月~︓ Elastic Cloudとコンサルティン
グサービスを契約。バンガロールでSOC開発体
制を揃え、トレーニングを受講しながら進める。
4. 2019年︓主要拠点(⽇本、欧州、北⽶、シン
ガポール、中東、インド）の監視を⽴ち上げる。
並⾏して、監視・検知アプリの開発改善、他社
Cyber Threat Intelligenceとの連携を図る。
5. 2020年︓監視範囲を合計15箇所に拡大
（中国、ロシア、南米、台湾、フィリピン、インド
ネシアなど）。ServiceNow のITSMとの連携
を⾏う。

横河電機のIT インフラのイベントやセキュリティログを収集.(PCs, IDS, AD / DHCP / DNS, Mail, Cloud)
疑わしい通信やイベントを機械学習のジョブとPython スクリプト, Watcher、そしてCyber threat intelligence
(PA Autofocus / VirusTotal) で検知、分析。
自動検知プログラムを開発し、自動的なアラート通知を実施.
各地域のセキュリティ担当者と対処方法について定期的な会議を実施.
Y-SOC (Yokogawa Security Operation Center) 概要

Monitoring Scope:
ｼｼﾝｶﾞ
ﾎﾟｰﾙ
日本
北⽶欧州中東インド2南米KBC
韓国
インド1
ｲﾝﾄﾞ
ﾈｼｱ
フィリピン中国
ロシア
台湾
Main Functions
- Log Collection & enrichment
- Visualization
- Detection & Analysis
Cyber Threat Intelligence

Y-SOC statistics
7
Security log analytics platform (Firewall, IDS, AD, DNS, DHCP, Email gateway,
Endpoint security, Cloud app security, WAF, O365)
Data Ingestion rate: ~ (500 – 600 million) logs/day
Data Ingestion size: ~ (250 - 300) GB/day
Frequently accessed data: last 7 days
Infrequently accessed: Last 60 days
Uptime SLA: 99.95% (Elastic Cloud)
Data replication: 2 (1 Primary & 1 Replica)
Hot Retention period: 30 days or 40 GB/index (whichever is earlier)
Warm Retention period: 60 days (with potential to increase)

Key points to establish Elastic SEIM
8
1. Log hearing
(Security devices
and data
generation/day)
2. Basic Design
(Elasticsearch
cluster size,
storage capacity
etc)
3. Logstash
server, Beats
agent
deployment
4. Common schema
(ECS)
5. Logstash pipeline
configurations (log
parser)
6. Standard
dashboard design
7. User Role
Privilege Design

System structure - Visualization
Dashboards are layered to subdivide the whole data and identify the cause of anomalies

5. Monitoring enhancement
IOC IP from CTI IOC URL from CTI
+
IOC Domain from CTI
+ +
Compare IOC with logs
Threat feed matching analysis and Detection rules
Matching of Threat Intelligence feeds to log information
Alert
＜JPCERT/CC などの資料を参照に検知ルールを作成＞
 ⾼度サイバー攻撃への対処にログの活用と分析方法
 ログを活用したActive Directoryに対する攻撃の検知と対策
• AD Lockout Events, Multiple failed attempt, Audit poly change, Reply attack, etc.
• PC Script for untreated threat, Credential dumping (MITRE T1003:mimikatz.exe,pwddump.exe)
• DNS Malicious TOR / darkweb access
• IDS Threat event related to spyware, virus and vulnerability

System structure - Detection & Analysis
Alert Index
脅威のカテゴリと脅
威レベルのマトリクス
とから重要度を判断。
設置された分析エ
ンジンが異常を自
動検知。
アラート情報はAlert Indexに収
集され email でY-SOC teamに
通知。
Y-SOC アナリストは個々のア
ラートを分析し誤検知かどう
か判断する。
誤検知ではない場合、Y-SOC
アナリストは、各地域の CSIRT
メンバーに調査を依頼する。
①
②
③
④

Training courses & Elastic consultation
12
• Elasticsearch Engineer 1 (link)
• Elasticsearch Engineer 2 (link)
• Data Analysis with Kibana (link)
• On demand trainings (link)
• Elastic consultation during
• 設計支援（クラスタ設計、ログ収集方式）
• デプロイ支援（Logstash, メッセージ翻訳）
• 自動アラート通知（Watcher, Jenkins, link)
• 運用支援（ストレージ管理、インデックス管理）
松本さんNicholasAsjadSiu

ServiceNow integration: Phase 1
During phase 1 implementation, ServiceNow support
incident workflow of security through its ITSM module.
Incident lifecycle management
ITSM
Y-SOC
SEIM

 ServiceNow ITSMコネクタを利⽤して
Elastic SIEMと統合して、セキュリティインシ
デントのライフサイクル管理を実施。
14
Elastic SIEM and ServiceNow ITSM integration
 この統合により、アナリストはElastic SIEMアプリを使用して脅威や運用上の問題を調査し、
フォレンジック証拠と関連コメントを付記し、ServiceNowインシデントを作成。
 関係するチームに割り当て、対応状況を管理。

今後の強化
15
 脅威分析エンジンの継続的な改善
 ServiceNowとの連携強化（ITOM, SecOps)
 マルチクラウドの監視強化（WAF, K8s, Application Container)
 IT/OTセキュリティ監視の強化(MITRE ATT&CK ICS)
 MS O365セキュリティとの連携（Defender ATP, MCAS)
 Proactive な監視防御
 3極体制での監視

The names of corporations, organizations, products and logos herein are either registered trademarks or
trademarks of Yokogawa Electric Corporation and their respective holders.
他社との情報交換を募集してます。
Tetsuo.Shiozaki@Yokogawa.com
16

Elastic Cloudを利用したセキュリティ監視の事例

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Elastic Cloudを利用したセキュリティ監視の事例

Similar to Elastic Cloudを利用したセキュリティ監視の事例 (20)

More from Elasticsearch

More from Elasticsearch (20)

Recently uploaded

Recently uploaded (9)

Elastic Cloudを利用したセキュリティ監視の事例