EventLog Analyzer

EventLog Analyzerは、WindowsイベントログやSyslogを管理する、Webベースのログ管理ソフトウェアです。Windows、Unix、Linuxホストやネットワーク機器からのログ収集、保管、解析、レポート機能を備え、リアルタイムのアラート生成により、システム障害時の原因究明を支援します。 Visit:

特権ID管理の3つのポイント|ツールとソリューションのススメ

Reading Time: 1 minutesこの記事の所要時間: 約 5分 この記事では「特権IDって何?」や「特権IDを管理することがなぜ大事か」そして「特権IDを安全に効率よく管理するためのツール」のご紹介をさせていただきます。 情報社会の広がりとともに、強い権限を持つユーザーが狙われています。 特権IDが狙われる前に管理を始めて、対策しましょう! 手遅れになる前に特権IDの管理をはじめませんか? 特権ID管理ツール [Password Manager Proについて] 特権ID管理ツールの資料 製品ダウンロードページ 目次 特権IDとは なぜ特権IDの管理が大事? 特権ID管理を行う際の課題 特権ID管理を簡単かつ低コストで実現!Password Manager Pro ログ管理ツールとの併用でより強力な特権ID管理を 1.特権IDとは 「特権ID」とは強い権限を持つアカウントのことで、一般ユーザーが持っていない特別な権限を付与されたアカウントを意味します。例えば UNIX/Linuxシステムでは「root」、Windowsシステムでは「Administrator」が挙げられます。また、別名「 特権ユーザー」と呼ばれたりまもします。...

EventLog Analyzer , Password Manager Pro , セキュリティ 1 min read

ログの相関分析でサイバー攻撃の兆候をいち早く検知

Reading Time: 1 minutesこの記事の所要時間: 約 3分 増えつづけるサイバー攻撃 2017年に世界で猛威を振るった「WannaCry」を代表に、今年12月には実名制Q&Aサイトを運営する米Quoraで約1億人のユーザー情報が漏洩するなど、昨今、サイバー攻撃関連のニュースは注目を集めてきました。 攻撃が成功する要素は、大きく2つ挙げられます。1つはセキュリティホールといわれる抜け穴の存在、そしてもう1つは悪意ある内部関係者の存在です。この2つに対して、企業の大半はなんらかの対策を講じているにも関わらず、被害件数は一向に衰える気配をみせません。 以下は、NICTサイバーセキュリティ研究所がまとめた分析結果です。2017年に観測されたサイバー攻撃関連の通信は計1,504億パケットにも上り、1 IPアドレスあたり、年間約56万パケットが計測されている計算となります。中でも2016年以降から、その量が顕著に増え続けているのがグラフから明らかです。 【ダークネット観測統計 1 IPアドレスあたりの年間総観測パケット数】 出典:NICTER観測レポート2017の公開 組織で導入されているITインフラストラクチャは多岐にわたり、近年はクラウドとオンプレミスが混在した運用も珍しくありません。ITリソースには、スイッチ・ルーター・ファイアウォール・コンピューターなど、多様なネットワークデバイスが含まれます。そのすべてに対して、出力されるログを個々に監視し、攻撃の兆候を検知することは、システム管理者にとって簡単なことではありません。 ログをためて終わり、そんな状況になっていませんか? 「なにか問題が起きたときのため、とりあえずログをためておこう」 そのような考えの元、ひとまずログをためているという企業は少なくないかと思います。実際、有事の際に被害の発生経路や要因を調査するためのトレーサビリティを確保することは重要であり、JPCERT/CCでも最低1年間のログ保管が推奨されています。 【標的型攻撃対策におけるログ保管の種類と推奨期間】 ※ 「ログを活用した高度サイバー攻撃の早期発見と分析 (プレゼンテーション資料)」を参照の上、編集・加筆 しかし、ログの長期保管により攻撃が判明した時に調査を行うことができたとしても、攻撃を未然に、あるいは早期に検知し、被害を最小限に留める「セキュリティ対策面」までは対応できません。そこでSIEMのような相関分析に対応しているツールを使用することで、異なるデバイスのログを一元的に保管するだけでなく、それらのログを相関的に分析して攻撃の兆候を検知することが可能です。 < あわせてCHECK! > SIEMという選択(前編)...

ADAudit Plus , EventLog Analyzer 1 min read

SIEMという選択(後編) – SIEM製品を選択する基準とは?

Reading Time: 1 minutesこの記事の所要時間: 約 3分 記事の前編では、企業がSIEMを選択すべき理由について解説しました。後編となる今回は、SIEM製品を選定する際の基準についてご紹介します。 ■ SIEM製品の選定で重要となる「予算面」 SIEM製品を選定する際、予算というのは非常に重要な検討項目の一つです。SIEM製品によっては、処理するログ流量がライセンスの課金対象となっているものもあれば、監視対象となるデバイス数に基づき課金されるものもあります。デバイス数に基づく価格設定となっており、ログ流量には影響されない場合、生成されるログのボリュームの量にかかわらず金額が一定となるため、コストの見積もりが容易になります。 しかし、予算以外にも重要な事項はもちろん存在します。そのいくつかを、以下でご紹介したいと思います。 ■ SIEM製品を選定する際に考慮すべき4つの事項 1.対応デバイスの範囲:ルーター・スイッチ・ファイアウォール・IDS/IPSなどのネットワークデバイスに加え、アプリケーション、サーバー、ワークステーション、さらにはクラウドサービスなど、様々なデバイス・サービスが企業で利用されています。SIEM製品を導入する際には、監視対象とするデバイスを一つのツールで包括的に管理できるかどうか、さらにデバイスの登録に多くの工数を必要としないかという点も併せて確認することが大切です。 ManageEngine Log360は、750を超えるデバイスからのログ収集に対応しています。また、「追加フィールド機能」を使用することで、正規表現を使用した解析ルールを自由に定義することができ、可視性を高めることが可能です。   2.ログを分析・可視化するレポーティング機能:SIEM製品の特長として、複数ログに対する横断的な分析への対応が挙げられます。ログ管理プロセスを自動化し、重要なメッセージを監視することで、脅威の早期検知に寄与します。そのためには、セキュリティ面だけでなく、対応が必要なコンプライアンスの双方に対して有用なレポートがデフォルトで搭載されており、効率よくログの可視性を高めることができるSIEM製品が推奨されます。また、重要性の高い情報を一画面に集約したダッシュボード画面と、そこから必要な情報を数クリックで掘り下げて確認できるドリルダウン機能が含まれていることで、分析に伴う作業の効率性をさらに高めることが可能です。 ManageEngine Log360には、サポートデバイスを対象とした1,000以上の定義済みレポートが用意されています。また、PCI-DSS・SOX・GDPRをはじめとする各種コンプライアンスに対応したコンプライアンスレポートにより、コンプライアンス対応をスムーズに行うことが可能です。   3.フォレンジック分析:ログ分析にかかる時間は、攻撃を検知するまでにかかる時間と比例します。記事の前編でもご案内しましたが、「攻撃の検知」は「攻撃の遂行」と比べて大幅に時間がかかる傾向にあります。したがってSIEM製品に求められるのは、幅広いデバイスから受信する大量のログを取りこぼしなく収集し、それを相関的に分析するとともに、疑わしいログが発生した際に即座に通知を行うような機能の搭載です。また、インシデントが発生した際に過去のログを遡って調査ができるよう、ログを長期保管できる仕組みも大切です。 ManageEngine Log360のコリレーション機能を使用することで、異なるデバイス、異なるログ種別から発生したログを相関的に分析して、ネットワーク間で発生している不審な動きを検知することが可能です。また、ログの長期保管を行う場合は、アーカイブ化を行うことで圧縮した状態での保存ができ、さらに必要に応じて暗号化や改ざん検知の設定を行うことで、よりセキュアにデータを保持できます。   4.柔軟なカスタマイズ:たとえSIEM製品にセキュリティ(コンプライアンス)レポート、アラートプロファイルや相関分析のルールが豊富に組み込まれていたとしても、それが企業の運用ルールに合致していない、あるいは使いづらいなどで利用が難しい場合、無駄なものとなってしまいます。そこで、アラートプロファイルのしきい値を微調整したり、レポートの項目を変更するなど、企業に合わせた柔軟なカスタマイズが必須です。故にSIEM製品には、「豊富なレポートの提供」と、それに対して簡単に変更を加えられる「カスタマイズ性」の2点が備わっていることが求められます。 ManageEngine Log360のコリレーション機能は、企業の運用に合わせて自由にしきい値を変更したり、ルールの再定義を行うことが可能です。...

ADAudit Plus , EventLog Analyzer , セキュリティ 1 min read

SIEMという選択(前編) – なぜSIEMが選ばれるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 2分 セキュリティの脅威は日々上昇傾向にあり、ハッカーの攻撃方法はさらに洗練されつつあります。 アメリカの通信大手であるVerizon社は、データ侵害に関する調査レポート「Verizon 2018 Data Breach Investigations Report」を発表しました。調査レポートには、5万3000件のサイバー攻撃と2,200件のデータ侵害を分析した統計データや、最新のセキュリティインシデントに関する情報が含まれており、その中に以下の内容が記されています。 データ侵害の被害を受けた際に、87%のケースでは攻撃の数分後、あるいはさらに短い時間で情報が奪取されていたにも関わらず、半数以上の攻撃は発覚までに1か月以上要しています。 これはつまり、攻撃者はSOC (Security Operation Center) も検知できないような手法を使用していることを意味します。 多くのケースにおいて、データ侵害はフォレンジック分析を専門に行うようなサードパーティーにより検知されます。データの窃取に必要な時間はわずか数分である一方、侵害の方法/ネットワーク内での侵害の過程/侵害経路の発覚には、数か月以上かかる場合があります。つまり侵害が判明するころには、すでに重要なデータが盗まれている可能性が高いのです。 出典:Verizon 2018 Data Breach Investigations Report (ゾーホー翻訳) たとえSOCが侵害を検知できなかった場合でも、攻撃の兆候は残ります。昨今、ITセキュリティの現場はGDPRなどの厳格なコンプライアンス規定の登場に伴い、変化を遂げつつあります。企業は、重要なデータが窃取される前に検知・対応できるようなソリューションを探し求めており、SIEMはその最適な方法といえます。...

EventLog Analyzer , セキュリティ 1 min read

Log360がガートナー社のマジック・クアドラント(SIEM部門)に2年連続で掲載!

Reading Time: 1 minutesこの記事の所要時間: 約 2分 ManageEngine Log360は2016年に続き、”2年連続”でガートナー社のマジック・クアドラント(SIEM部門)に掲載されました。 ガートナー社とは、米国に本社をおく業界最大のアドバイザリ企業です。マジック・クアドラントでは、特定のテクノロジー市場における販売会社を、ガートナー社が中立的な立場から「リーダー」・「ビジョナリー」・「ニッチ」・「チャレンジャー」という4つのクアドラントに分類し、その位置づけを公開しています。 なお、Log360は2016年3月に本社リリース、そして2018年9月に日本リリースされた製品で、「ログの統合管理」に特化した簡易SIEMツールとなりますが、リリースの年である2016年、そして2017年と続いて「ニッチ(特定市場志向型)」としての位置づけで掲載されました。 レポートにて、ガートナー社のアナリストはLog360の強みを以下のように述べています: ・ 統合管理ソリューションに関心のあるManageEngineの既存ユーザー、あるいはコストパフォーマンスに優れたシンプルなSIEMツールを探している企業は、Log360やEventLog Analyzerの利用が推奨されます。 ・ Log360には、監査とコンプライアンスに関わる機能が数多く提供されています。複数のコンプライアンスに特化したレポートを含めて、1,200以上の定義済みレポートが存在します。 ・ ADAudit Plusは、単一または複数のActive Directory(ドメインコントローラー)を対象とした、認証・アクセスなどの監査に対応しており、内部統制対策としての機能を提供します。 ・ Log360は他の多くのSIEMツールと比較すると、シンプルな構造になっているため、直感的に使用することが可能です。また、脅威検知を含む、幅広いコリレーションルールがあらかじめ用意されており、特にWindowsを対象とした定義済みレポートや解析ルールが豊富に備わっています。 >> 原文となるマジック・クアドラントレポートはこちらをご参照ください。(英語) ガートナー社の免責事項 ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高の評価を得たベンダーのみを選択するようテクノロジの利用者に助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。   <...

ADAudit Plus , EventLog Analyzer , セキュリティ , 一般 1 min read

UberのセキュリティインシデントからみるGDPR準拠へのポイント

Reading Time: 1 minutesこの記事の所要時間: 約 2分 年々利用者を増やしており、特に海外では多くの人に親しまれているUberですが、昨年、その人気が危ぶまれる出来事が発生しました。 Uberは、欧州連合(EU)の中でその成長率を維持するために、広報、法的課題、マーケティング活動に多くのリソースを費やしてきました。そのような活動の中、2017年11月掲載のUberのブログにて、2016年10月ごろに受けたサイバー攻撃を公開せず、隠ぺいしていたことが明らかとなりました。同社はブログにて、昨年10月に5000万人のユーザー情報と700万人のドライバーの名前、メールアドレス、電話番号、運転免許証の番号が流出し、漏洩した情報に対する一切の黙秘を条件に、ハッカーへ10万ドルを支払っていたことを報告しました。もともとこのようなセキュリティ違反は重大なインシデントとなりますが、EUの一般データ保護規則(GDPR)が施行された今、Uberにとっては、EUで再び信頼を得るための大きな障壁となり得ます。 ● どのようにして攻撃が発生したのか? Uberのエンジニアは、開発のためにGitHubコーディングサイトを使用していましたが、ハッカーはそのサイトの抜け穴を利用してログイン情報を取得後、個人データを抜き出しました。Uberは、すでに今後の攻撃を阻止するための対策を講じていると主張していますが、今回ポイントとなるのは、セキュリティ違反を直ちに公表しなかったという点です。実際、問題が発生したタイミングでは違反を報告する義務はありませんでしたが、GDPRが施行された今、欧州で同様のことが発生した際には、企業にとって深刻な事態となります。 ● GDPR施行後に問題が発生した場合はどうなるのか? 今回の問題では、EU市民の個人データが多数漏洩してしまいましたが、GDPRは、このような問題に対して重いペナルティを課しています。例えば、制裁金として、最大2000万ユーロ(約26億円)、あるいは年間売り上げの4%のいずれかのうち、高額な方を支払う必要があります。また、違反があったことを直ちに公表しなかったという事実は、EU市民の信頼を大きく損なうことにつながるでしょう。 ● GDPRを遵守するために必要なこと 今回のセキュリティ違反を踏まえて、2018年5月25日に施行されたGDPRを遵守するために求められることを、以下に挙げていきたいと思います。 セキュリティ違反が発生した際には、速やかに検知し、被害を最小限に留めるための措置をとること。また、発生72時間以内に、監督機関へ報告をおこなうこと。いずれかを怠った場合、GDPRの違反につながります。 データが保管されている場所(物理、仮想、クラウドなどに関わらず)に対して、企業は不正なアクセスからデータを保護し、安全性を継続的に検証するためのセキュリティ対策を講ずること。 カスタムアプリケーションやサービスを使用している場合は、同様に監査対象とすること。企業はセキュリティの穴を防ぐため、これらのアプリケーションやサービスで起こっている活動を監査し、記録する必要があります。 ● GDPRへの準拠にManageEngineはどのように貢献できるのか? ManageEngineでは、GDPRに準拠するためのツールとして、以下を提供しています。   関連情報をCheck! >> GDPR対応ソリューション

ADAudit Plus , Desktop Central , EventLog Analyzer 1 min read

「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介

Reading Time: 1 minutesこの記事の所要時間: 約 4分   本投稿では、「MS14-068」の脆弱性とはどのようなものなのかを解説後、MS14-068の脆弱性を悪用した攻撃検知のため、JPCERT/CCで監視が推奨されているイベントログをご紹介します。また、最後には、そのイベントログを見逃さないためのツールとして、弊社製品のEventLog Analyzerを使用した場合の監視の流れについて、簡単にご案内させていただきます。 1. 「MS14-068」とはどのような脆弱性なのか   2014年11月、Microsoft WindowsのKerberos認証にて、リモートから特権のないドメインアカウントに対して権限昇格を行うことが可能な脆弱性(CVE-2014-6324)が発見され、サポートされているすべてのエディションに対して、脆弱性の深刻度が4段階中最も高い、「緊急」と評価されました。これは、Kerberos認証のチケット認証に関する脆弱性を突いたものであり、署名に細工をすることでドメインの特権ユーザーへ昇格し、本来はアクセスできないリソースにもアクセスできてしまうものとなります。 「MS14-068」の脆弱性を悪用した攻撃では、以下のような流れが考えられます。 1.(攻撃者) ドメインに所属するクライアントへ侵入 2.(ドメインユーザー) ドメインにアクセスするためKerberosチケットをリクエスト 3.(ドメインユーザー) ドメインコントローラーからチケットを取得する 4.(攻撃者) ドメインユーザーが認証に使用したチケット情報を盗む 5.(攻撃者) 攻撃コードを含むスクリプトを実行して、Kerberosチケットに対して特権を付与する細工を実施 6.(攻撃者) チケットの有効期限を書き換える ※チケットの有効期限は仕様上10時間となっていますが、「100年間有効」というように期限を書き換えることにより、リソースへ半永久的にアクセス可能となったチケットのことを、「Golden Ticket」といいます。...

EventLog Analyzer 1 min read

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

Reading Time: 1 minutesこの記事の所要時間: 約 3分 2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。 ■報道発表:サイバーセキュリティ対策促進助成金 当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。 弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。 以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。 【助成対象「中小企業」とは?】 助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。 ・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人 ・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人 ・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人 ・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人 ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。 (1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している (2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している (3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。 【対象製品・サービスは?】 助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。 (1) UTM...

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read

SIEMが高い!でもログは管理してセキュリティレベルを向上させたい。

Reading Time: 1 minutesこの記事の所要時間: 約 2分 【SIEM”以外”の選択肢!ManageEngineが提案するログ管理ソリューション】 近年では、外部攻撃への備えを意識して、SIEM(Security Information and Event Management)導入によるログ解析の実施検討を進める企業様も増えています。一方で、SIEMの高額さやメンテナンスの大変さに圧倒され、早々に導入を諦めるケースも珍しくないようです。 「SIEMを使いこなしている」or「ログ管理をほとんどしていない」 上記のような2極化が進まないよう、ManageEngineでは「SIEM”以外”の選択肢」としてのソリューションをご提案中です。 ■SIEM”以外”の選択肢!ログの「長期保管」と「可視化」をリーズナブルに 具体的には、「SIEMを使いこなしている」状態と「ログ管理をほとんどしていない」状態の間に レベル1:ログの長期保管 レベル2:ログの可視化 という中間レベルを設け、それぞれに対応するManageEngine製品をご提案しています。 なお、「レベル2」への対応製品としては、Firewall/UTM/プロキシのログ監査に特化したツール「Firewall Analyzer」とActive Directoryのログ監査に特化したツール「ADAudit Plus」をご提供しています。 Firewall、プロキシ、Active Directoryについては、攻撃の兆候が表れやすいと言われています。ツールを活用してこれらログの可視性を高めれば、高度な専門知識がなくとも、必要最小限のログ検知が可能となるため、「企業のセキュリティレベル底上げ」「現場の負荷軽減」双方に寄与します。 なお、製品内からレポートを見る作業はとても簡単です。参考として、ADAudit Plusの「ログオン監査」レポートについて収録した、以下の動画をご参照ください。  ...

ADAudit Plus , EventLog Analyzer , Firewall Analyzer , セキュリティ 1 min read

2018年3月末の対応期限迫る! PCI DSS対応ソリューション

Reading Time: 1 minutesこの記事の所要時間: 約 1分 2017年3月8日、経済産業省から「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(2016年版の改定)」が新たに策定されました。 実行計画の中で、EC加盟店は2018年3月末までに以下のいずれかの対応を実施することが求められています。 ・クレジットカード情報の非保持化 ・PCI DSS準拠(クレジットカード情報を保持する場合) ※カード会社およびPSPについては一律でPCI DSSの準拠が必要。 実行計画が公開されたのは2016年2月ですので、既に対応を完了しているケースも多々あるかと思いますが、一方で予算の確保や社内の調整に時間がかかり、駆け込みの対応を進めている企業様もいらっしゃるようです。 弊社が提供するIT運用管理ソフト「ManageEngine」では、PCI DSS準拠に活用できる7種類の製品情報をまとめてご紹介しています。PCI DSSの全要件と、それらに対応する製品機能をまとめた対応表も公開中ですので、ぜひご参照ください。 >>ManageEngineのPCI DSS対応ソリューション なお、クレジットカード情報を非保持化する場合でも、「きちんと情報が非保持化されているか」の確認や、継続的に情報を保護するための「従業員教育」「ウイルス対策」「デバイス管理」等、種々のセキュリティ対策が求められます。 ManageEngineが提供するセキュリティソリューションについては、下記のコンテンツもご参照ください。 ■標的型攻撃の内部対策ソリューション ■SIEM”以外”の選択肢!ログの「長期保管」と「可視化」をリーズナブルに(統合ログ管理にも!) ■Active Directoryのセキュリティ対策ソリューション 【セキュリティ関連セミナー】 ■Active Directoryセキュリティセミナー:ADの攻撃検知対策と対応製品を紹介...

ADAudit Plus , Desktop Central , DeviceExpert , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , ServiceDesk Plus , セキュリティ , 一般 1 min read