- NTTソフトウェア・ホーム
- >
- ソリューション・製品
- >
- NIKSUN2005
- >
- NetDetector2005
ソリューション・製品|SOLUTION・PRODUCTS
NetDetector2005
「情報漏えい」 や「不正アクセス」の文字をニュースで毎日のように目にする今日。
“わが社の対策は大丈夫だろうか?”という不安をNetDetectorが解消します。
NetDetectorは、ネットワーク上で通信されるデータをリアルタイムに記録する、いわば、ネットワークの監視カメラです。 Web、送受信メール、Telnet、FTP等の実際の通信を過去にさかのぼって再現*1)することができます。 裁判社会アメリカで実績を積み上げたフォレンジックサーバです。
*1)「再現」とは、ネットワーク利用者の通信を可視化することです。 ネットワーク上を流れるパケットデータから通信の中身を組み立てることで、
・誰がどんなE-Mailを送ったか
・誰がどんなWebサイトを閲覧したか
・誰がどんなチャットをしたか・・・
を可視化します。
“わが社の対策は大丈夫だろうか?”という不安をNetDetectorが解消します。
NetDetectorは、ネットワーク上で通信されるデータをリアルタイムに記録する、いわば、ネットワークの監視カメラです。 Web、送受信メール、Telnet、FTP等の実際の通信を過去にさかのぼって再現*1)することができます。 裁判社会アメリカで実績を積み上げたフォレンジックサーバです。
*1)「再現」とは、ネットワーク利用者の通信を可視化することです。 ネットワーク上を流れるパケットデータから通信の中身を組み立てることで、
・誰がどんなE-Mailを送ったか
・誰がどんなWebサイトを閲覧したか
・誰がどんなチャットをしたか・・・
を可視化します。
SAVVY(R)/MailRetriever for NetDetector
構成イメージ
SAVVY(R)/MailRetriever画面イメージ
構成イメージ
SAVVY(R)/MailRetriever画面イメージ
●SAVVY(R)/MailRetriever for NetDetector
(有償オプション)
本家の米-SOX法では、電子記録や電子メッセージを含むすべての業務記録を「5年間以上」保存しなければならないとされています。現在、日本-SOX法はその内容を策定中(H18.8現在)ですが、米同様に法令化の可能性が指摘されています。また、条文にならないまでもガイドラインで実質的な義務化の可能性も残っています。
さらに、現在の情報漏えい手段のTopがE-Mailであることを考え合わせると、E-Mailの長期保存は必須対策と言えるでしょう。
そこで大切なのは、「E-Mailを年単位で残せる」「E-Mailを簡単/高速に検索できる」2点です。残念ながら、フォレンジックサーバ単体では荷が重い課題です。(1日のメール件数が10万通の企業では、5年でE-Mailだけで数十TB程度のDiskが必要になります。通信をキャプチャーしながら、それだけのDiskを搭載して、検索できるフォレンジックシステムは見当たりません)
弊社では日常のフォレンジックとの共生・法令対策の実現のため、 E-Mailの記録/検索を別システム化することで、この課題を克服しました。
弊社が用意したのは、日本語の文献検索で各種業界で標準ツールとなっている SAVVY(R)の姉妹製品 SAVVY(R)/MailRetriever です。その製品とNetDetectorの連携を実現し、 SAVVY(R)/MailRetriever for NetDetector の名称で、製品化しました。
SAVVY(R)/MailRetriever for NetDetector は、常時NetDetectorからMTAを使ってE-Mailデータを受け取り、メールアーカイブ(DB)化します。そして、NetDetectorと切り離された場所で、日常のインシデント追跡や業務監査の両面でE-Mail対策を可能にします。検索は分散検索(*)を実現しているので、大量のE-Mail検索でも、多数の条件による複合検索でも実用的です。
*分散検索・・・大量のE-Mail DBを数台のPCに分散配置して、各PC上で並列検索ができます。
(有償オプション)
本家の米-SOX法では、電子記録や電子メッセージを含むすべての業務記録を「5年間以上」保存しなければならないとされています。現在、日本-SOX法はその内容を策定中(H18.8現在)ですが、米同様に法令化の可能性が指摘されています。また、条文にならないまでもガイドラインで実質的な義務化の可能性も残っています。
さらに、現在の情報漏えい手段のTopがE-Mailであることを考え合わせると、E-Mailの長期保存は必須対策と言えるでしょう。
そこで大切なのは、「E-Mailを年単位で残せる」「E-Mailを簡単/高速に検索できる」2点です。残念ながら、フォレンジックサーバ単体では荷が重い課題です。(1日のメール件数が10万通の企業では、5年でE-Mailだけで数十TB程度のDiskが必要になります。通信をキャプチャーしながら、それだけのDiskを搭載して、検索できるフォレンジックシステムは見当たりません)
弊社では日常のフォレンジックとの共生・法令対策の実現のため、 E-Mailの記録/検索を別システム化することで、この課題を克服しました。
弊社が用意したのは、日本語の文献検索で各種業界で標準ツールとなっている SAVVY(R)の姉妹製品 SAVVY(R)/MailRetriever です。その製品とNetDetectorの連携を実現し、 SAVVY(R)/MailRetriever for NetDetector の名称で、製品化しました。
SAVVY(R)/MailRetriever for NetDetector は、常時NetDetectorからMTAを使ってE-Mailデータを受け取り、メールアーカイブ(DB)化します。そして、NetDetectorと切り離された場所で、日常のインシデント追跡や業務監査の両面でE-Mail対策を可能にします。検索は分散検索(*)を実現しているので、大量のE-Mail検索でも、多数の条件による複合検索でも実用的です。
*分散検索・・・大量のE-Mail DBを数台のPCに分散配置して、各PC上で並列検索ができます。
E-Mailの再現イメージ
●E-Mailの再現機能
昨年度、ネットワーク経由で起こった情報漏えいの手段はE-MailがTOPでした。(NPO 日本 ネットワークセキュリティ協会が公表した「2005年度 個人情報漏えいインシデント調査結果 <速報>」より)
また、内部犯罪・内部不正行為による情報漏えいは、重要情報を時間をかけて収集できる ため、1件あたりの被害が大きいという傾向も報告されています。
「E-Mailを記録し、いつでも再現できること」、これはネットワーク経由の情報漏えい対策 として最初にすべき対策です。また、悪意ある社員の不正を心理的に抑止する効果が期待できる点でも大切です。
NetDetectorはE-Mail(SMTP/POP3/IMAP4対応)の本文はもちろん、添付ファイルも再現 できます。メールを経由した情報漏えいの調査に効果的です。
調査対象時刻やアドレスを設定して検索実行すると、該当するメールのあて先、タイトル、 添付ファイル名等がリストアップされ、被疑メール(不正の可能性が高いメール)をクリック 1つで再現できます。
再現はGUIベースのため、危険なキーワードを含むE-Mailを常時監視するのは手間が掛かります。弊社のアドオンソフト「Mailメッセージ検索」を併用すると、監視を続けて対象メールを見つけた段階で、E-Mailを取り出して保管してくれます。このため、対象メールの発見の迅速化が図れます。
昨年度、ネットワーク経由で起こった情報漏えいの手段はE-MailがTOPでした。(NPO 日本 ネットワークセキュリティ協会が公表した「2005年度 個人情報漏えいインシデント調査結果 <速報>」より)
また、内部犯罪・内部不正行為による情報漏えいは、重要情報を時間をかけて収集できる ため、1件あたりの被害が大きいという傾向も報告されています。
「E-Mailを記録し、いつでも再現できること」、これはネットワーク経由の情報漏えい対策 として最初にすべき対策です。また、悪意ある社員の不正を心理的に抑止する効果が期待できる点でも大切です。
NetDetectorはE-Mail(SMTP/POP3/IMAP4対応)の本文はもちろん、添付ファイルも再現 できます。メールを経由した情報漏えいの調査に効果的です。
調査対象時刻やアドレスを設定して検索実行すると、該当するメールのあて先、タイトル、 添付ファイル名等がリストアップされ、被疑メール(不正の可能性が高いメール)をクリック 1つで再現できます。
再現はGUIベースのため、危険なキーワードを含むE-Mailを常時監視するのは手間が掛かります。弊社のアドオンソフト「Mailメッセージ検索」を併用すると、監視を続けて対象メールを見つけた段階で、E-Mailを取り出して保管してくれます。このため、対象メールの発見の迅速化が図れます。
HTTPの再現画面イメージ
メッセンジャーの再現画面イメージ
メッセンジャーの再現画面イメージ
●HTTPの再現機能
E-Mailの次に情報漏えいに使われる手段はWebアクセスです。社外へ機密情報を 漏らす手段に使われるだけでなく、掲示板やブログなどで悪評を書き込まれるなどの信用低下を招く事態も心配されます。
また、業務外のインターネット利用(株価サイトやインターネットショッピングサイトへ のアクセスなど)による社内ネットワークリソースの浪費の監視も必要になりつつあ ります。
NetDetectorは、利用者が閲覧したホームページを利用者が見たとおりの形で再現 します。Web-Mail受信やWeb掲示板アクセスも再現可能です。Webを経由した情 報漏えいの追跡、社員のWebアクセス監視に効果的です。
HTTPS通信についても暗号化キーがわかっていれば再現することができます。
調査対象時刻やアドレスを設定して検索実行すると、該当するWebアクセス のURL等がリストアップされ、被疑通信をクリック1つで再現可能です。
・Web-Mailの書込み、Web掲示板の書込みは弊社のアドオンソフト 「“Web行動分析ツール”」を併用する必要があります。
E-Mailの次に情報漏えいに使われる手段はWebアクセスです。社外へ機密情報を 漏らす手段に使われるだけでなく、掲示板やブログなどで悪評を書き込まれるなどの信用低下を招く事態も心配されます。
また、業務外のインターネット利用(株価サイトやインターネットショッピングサイトへ のアクセスなど)による社内ネットワークリソースの浪費の監視も必要になりつつあ ります。
NetDetectorは、利用者が閲覧したホームページを利用者が見たとおりの形で再現 します。Web-Mail受信やWeb掲示板アクセスも再現可能です。Webを経由した情 報漏えいの追跡、社員のWebアクセス監視に効果的です。
HTTPS通信についても暗号化キーがわかっていれば再現することができます。
調査対象時刻やアドレスを設定して検索実行すると、該当するWebアクセス のURL等がリストアップされ、被疑通信をクリック1つで再現可能です。
・Web-Mailの書込み、Web掲示板の書込みは弊社のアドオンソフト 「“Web行動分析ツール”」を併用する必要があります。
FTPの再現画面イメージ
telnetの再現画面イメージ
telnetの再現画面イメージ
●インスタントメッセンジャー、FTP、telnetの再現機能
E-Mail、HTTP以外の情報漏えいルートとして見落とされがちなのがインスタント メッセンジャー、FTP、telnetです。
内部不正を犯す者は、どんな手段で情報の持ち出しを行うかわかりません。
だからこそ、情報漏えい手段として心配されるすべての通信を記録し、いつでも再現できることが重要です。
・インスタントメッセンジャーでのやりとりの中身をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するメッセンジャーのハンドル名やメールアドレスがリストアップされ、被疑通信をクリック1つで調査できます。
・FTPでのファイル送受信をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するFTP通信の 転送ファイル名がリストアップされ、被疑通信をクリック1つで調査できます。
・telnetでのやりとりの中身をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するtelnet通信の送受信IPアドレスがリストアップされ、被疑通信をクリック1つで調査できます。
E-Mail、HTTP以外の情報漏えいルートとして見落とされがちなのがインスタント メッセンジャー、FTP、telnetです。
内部不正を犯す者は、どんな手段で情報の持ち出しを行うかわかりません。
だからこそ、情報漏えい手段として心配されるすべての通信を記録し、いつでも再現できることが重要です。
・インスタントメッセンジャーでのやりとりの中身をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するメッセンジャーのハンドル名やメールアドレスがリストアップされ、被疑通信をクリック1つで調査できます。
・FTPでのファイル送受信をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するFTP通信の 転送ファイル名がリストアップされ、被疑通信をクリック1つで調査できます。
・telnetでのやりとりの中身をチェックできます。
再現は、調査したい時刻とフィルタを設定して実行すると、該当するtelnet通信の送受信IPアドレスがリストアップされ、被疑通信をクリック1つで調査できます。
トラヒック分析機能画面イメージ
●トラヒック分析機能
再現機能を使って犯人を追跡するには、事前に被疑通信(不正の可能性が高い通信)を効率 的に絞り込むことが重要です。被疑通信が絞り込めていないと、すべての通信を再現させる 必要があり、現実的には追跡しきれません。
この被疑通信の絞り込みをサポートするのがトラヒック分析機能です。
いつもと違う通信パターンは不正を示唆します。
例えば、「深夜休日の利用」・「関係ない部署へのアクセス」・「機密情報サーバとの大量の コネクションやデータダウンロード」などは、通常の業務ではあまり発生しないはずです。
このようないつもと違う通信パターンを、トラヒック分析機能でマウスによる簡単操作で発見できます。
NetDetectorは指定した時間帯のトラヒックの変化を、アプリケーションや利用者別に数値と グラフで表示します。全トラヒックに占めるアプリケーションごとの割合や送受信利用者別の割合が 一目瞭然です。グラフ表示は、回線使用率の他、通信量、コネクション数などでも分析表示できるので、“いつもと違う”の発見に効果的です。
さらにTCP通信については、サーバ/クライアント別やサーバクライアントのペアごとに、通信量や コネクション数を分析できます。どのサーバに負荷が集中しているか、機密情報サーバから大量 データをダウンロードしているクライアントなどを調べることができます。
このようなトラヒック分析により、
-利用が許されないアプリケーション
-トラヒック量やコネクション数の急激な増大や大容量転送
-利用者がいないはずの時間帯の通信
の分析を可能にし、被疑通信を絞り込むことができます。
絞り込んだ被疑通信について、再現機能にて本当に不正アクセスであるか、不正アクセスだった場合の情報漏えい・改竄などの被害規模の調査が可能です。
トラヒック分析機能が、フォレンジックサーバ本来の再現機能をより実用的な機能に仕上げています。
さらに、この画面での分析結果はPDF化やCSV化できるので、長期間の傾向分析にも役立ちます。
再現機能を使って犯人を追跡するには、事前に被疑通信(不正の可能性が高い通信)を効率 的に絞り込むことが重要です。被疑通信が絞り込めていないと、すべての通信を再現させる 必要があり、現実的には追跡しきれません。
この被疑通信の絞り込みをサポートするのがトラヒック分析機能です。
いつもと違う通信パターンは不正を示唆します。
例えば、「深夜休日の利用」・「関係ない部署へのアクセス」・「機密情報サーバとの大量の コネクションやデータダウンロード」などは、通常の業務ではあまり発生しないはずです。
このようないつもと違う通信パターンを、トラヒック分析機能でマウスによる簡単操作で発見できます。
NetDetectorは指定した時間帯のトラヒックの変化を、アプリケーションや利用者別に数値と グラフで表示します。全トラヒックに占めるアプリケーションごとの割合や送受信利用者別の割合が 一目瞭然です。グラフ表示は、回線使用率の他、通信量、コネクション数などでも分析表示できるので、“いつもと違う”の発見に効果的です。
さらにTCP通信については、サーバ/クライアント別やサーバクライアントのペアごとに、通信量や コネクション数を分析できます。どのサーバに負荷が集中しているか、機密情報サーバから大量 データをダウンロードしているクライアントなどを調べることができます。
このようなトラヒック分析により、
-利用が許されないアプリケーション
-トラヒック量やコネクション数の急激な増大や大容量転送
-利用者がいないはずの時間帯の通信
の分析を可能にし、被疑通信を絞り込むことができます。
絞り込んだ被疑通信について、再現機能にて本当に不正アクセスであるか、不正アクセスだった場合の情報漏えい・改竄などの被害規模の調査が可能です。
トラヒック分析機能が、フォレンジックサーバ本来の再現機能をより実用的な機能に仕上げています。
さらに、この画面での分析結果はPDF化やCSV化できるので、長期間の傾向分析にも役立ちます。
IDS機能画面イメージ
●IDS機能
ファイアウォール(FW)による受動的な「防御」だけでは、次々と露呈するセキュリティホール、これを利用する新たな侵入手口を防ぎきれません。
NetDetectorは、フリーIDSとして実績のある“Snort”をカスタマイズして搭載し、外部からの不正アクセスの監視を可能にしました。
サマリー表示画面では、IDSで発見した被疑通信を緊急度で分類し、
・度々攻撃してくるのはどのアドレスか
・何度も狙われたのはどのアドレスか
・どのイベント(侵入手法)が多数起こったか
などがわかります。
全イベント表示画面では、IDSで発見した被疑通信リストをすべて表示し、再現機能 やトラヒック分析機能と連携した次の解析が可能です。
・再現機能にて、発見された被疑通信が不正か否かを検証する
・トラヒック分析機能にて、同一発アドレスのネットワーク利用状況をくまなく調べる
リアルタイムな検知はもちろん、新しいシグネチャファイル(不正侵入パターンの 定義ファイル)を使って過去に遡ってデータを調査することも可能です。
ファイアウォール(FW)による受動的な「防御」だけでは、次々と露呈するセキュリティホール、これを利用する新たな侵入手口を防ぎきれません。
NetDetectorは、フリーIDSとして実績のある“Snort”をカスタマイズして搭載し、外部からの不正アクセスの監視を可能にしました。
サマリー表示画面では、IDSで発見した被疑通信を緊急度で分類し、
・度々攻撃してくるのはどのアドレスか
・何度も狙われたのはどのアドレスか
・どのイベント(侵入手法)が多数起こったか
などがわかります。
全イベント表示画面では、IDSで発見した被疑通信リストをすべて表示し、再現機能 やトラヒック分析機能と連携した次の解析が可能です。
・再現機能にて、発見された被疑通信が不正か否かを検証する
・トラヒック分析機能にて、同一発アドレスのネットワーク利用状況をくまなく調べる
リアルタイムな検知はもちろん、新しいシグネチャファイル(不正侵入パターンの 定義ファイル)を使って過去に遡ってデータを調査することも可能です。
View Packets画面イメージ
●View Packets
外部からの攻撃があった場合には、不正アクセスのパケット内部の情報(ペイロード内のボッドへの命令など)を調べることも大切です。また、検知ミスかどうかの判断にも役立ちます。 そのためにはアナライザが不可欠です。
View Packetsでは、パケットごとにヘッダ部やデータ部の中身、各パケット間のデルタ Timeなどを調べることができます。16進/Asciiダンプなども可能です。また、パケッ トをファイルとして取り出して、証拠として直ちに保管したり、別の解析に回すことも可能です。
トラヒック分析機能で絞り込んだトラヒックに対してView Packetsを起動したり、 View Packet画面上で、分析範囲の変更、フィルタリング、キーワード検索が可能です。
外部からの攻撃があった場合には、不正アクセスのパケット内部の情報(ペイロード内のボッドへの命令など)を調べることも大切です。また、検知ミスかどうかの判断にも役立ちます。 そのためにはアナライザが不可欠です。
View Packetsでは、パケットごとにヘッダ部やデータ部の中身、各パケット間のデルタ Timeなどを調べることができます。16進/Asciiダンプなども可能です。また、パケッ トをファイルとして取り出して、証拠として直ちに保管したり、別の解析に回すことも可能です。
トラヒック分析機能で絞り込んだトラヒックに対してView Packetsを起動したり、 View Packet画面上で、分析範囲の変更、フィルタリング、キーワード検索が可能です。
この製品に関する資料請求・お問い合わせ
営業推進本部 法人営業部
ソリューション営業部門
TEL:0120-208-284 FAX:03-5782-7221
お問い合わせはこちら
