Firewall Analyzer

Firewall Analyzerは、ファイアウォール・UTM・プロキシに対応した、Webベースのログ管理ソフトす。ファイアウォールやプロキシサーバーのトラフィックログを解析し、帯域使用状況やユーザーのサイトアクセス状況の把握や、ネットワークへの侵入検知、異常の検出が容易になり、セキュリティ対策に役立ちます。 Visit:

今こそルールの見直しを!サイバー犯罪時代のファイアウォール設定攻略方法

Reading Time: 1 minutesこの記事の所要時間: 約 4分 こんにちは、ManageEngineエンジニアの園部です。 近年、企業の情報資産を狙ったサイバー犯罪が増加しています。 2017年にはIoT機器への攻撃が600%、暗号解読が8500%急増したといいます。 ランサムウェアの標的は、大企業から中小企業にも広がっています。 ファイアウォールは、これらのサイバー攻撃に対する防御の最前線です。適切な通信の規則やポリシーを設定することで、会社をサイバー攻撃から保護できます。多くの企業で、ファイアウォールの設置が当たり前になっているのではないでしょうか。 ところで、ファイアウォールに設定されたルールは、すべて把握できていますか? 作成してから何年も放置され、ルールを作成した人はいなくなり、全貌は誰にも分からない……なんてことになっていませんか? 適切に設定されているように見えて、実は抜け穴があった……といった事象を防ぐため、本ブログでは、 ★ ファイアウォール設定見直しの必要性 ★ ファイアウォール設定の見直しで確認するべきポイント を解説します。 目次 なぜ今「ファイアウォール設定の見直し」なのか 今こそルールの見直しを!確認ポイント5選 使用されていないルールを削除する ルールの異常を見つける ルールを最適化する 許容的なルールを制限する ルールの使用警告を設定する まとめ なぜ今「ファイアウォール設定の見直し」なのか...

Firewall Analyzer 1 min read

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

Reading Time: 1 minutesこの記事の所要時間: 約 3分 2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。 ■報道発表:サイバーセキュリティ対策促進助成金 当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。 弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。 以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。 【助成対象「中小企業」とは?】 助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。 ・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人 ・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人 ・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人 ・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人 ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。 (1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している (2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している (3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。 【対象製品・サービスは?】 助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。 (1) UTM...

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read

SIEMが高い!でもログは管理してセキュリティレベルを向上させたい。

Reading Time: 1 minutesこの記事の所要時間: 約 2分 【SIEM”以外”の選択肢!ManageEngineが提案するログ管理ソリューション】 近年では、外部攻撃への備えを意識して、SIEM(Security Information and Event Management)導入によるログ解析の実施検討を進める企業様も増えています。一方で、SIEMの高額さやメンテナンスの大変さに圧倒され、早々に導入を諦めるケースも珍しくないようです。 「SIEMを使いこなしている」or「ログ管理をほとんどしていない」 上記のような2極化が進まないよう、ManageEngineでは「SIEM”以外”の選択肢」としてのソリューションをご提案中です。 ■SIEM”以外”の選択肢!ログの「長期保管」と「可視化」をリーズナブルに 具体的には、「SIEMを使いこなしている」状態と「ログ管理をほとんどしていない」状態の間に レベル1:ログの長期保管 レベル2:ログの可視化 という中間レベルを設け、それぞれに対応するManageEngine製品をご提案しています。 なお、「レベル2」への対応製品としては、Firewall/UTM/プロキシのログ監査に特化したツール「Firewall Analyzer」とActive Directoryのログ監査に特化したツール「ADAudit Plus」をご提供しています。 Firewall、プロキシ、Active Directoryについては、攻撃の兆候が表れやすいと言われています。ツールを活用してこれらログの可視性を高めれば、高度な専門知識がなくとも、必要最小限のログ検知が可能となるため、「企業のセキュリティレベル底上げ」「現場の負荷軽減」双方に寄与します。 なお、製品内からレポートを見る作業はとても簡単です。参考として、ADAudit Plusの「ログオン監査」レポートについて収録した、以下の動画をご参照ください。  ...

ADAudit Plus , EventLog Analyzer , Firewall Analyzer , セキュリティ 1 min read

2018年3月末の対応期限迫る! PCI DSS対応ソリューション

Reading Time: 1 minutesこの記事の所要時間: 約 1分 2017年3月8日、経済産業省から「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(2016年版の改定)」が新たに策定されました。 実行計画の中で、EC加盟店は2018年3月末までに以下のいずれかの対応を実施することが求められています。 ・クレジットカード情報の非保持化 ・PCI DSS準拠(クレジットカード情報を保持する場合) ※カード会社およびPSPについては一律でPCI DSSの準拠が必要。 実行計画が公開されたのは2016年2月ですので、既に対応を完了しているケースも多々あるかと思いますが、一方で予算の確保や社内の調整に時間がかかり、駆け込みの対応を進めている企業様もいらっしゃるようです。 弊社が提供するIT運用管理ソフト「ManageEngine」では、PCI DSS準拠に活用できる7種類の製品情報をまとめてご紹介しています。PCI DSSの全要件と、それらに対応する製品機能をまとめた対応表も公開中ですので、ぜひご参照ください。 >>ManageEngineのPCI DSS対応ソリューション なお、クレジットカード情報を非保持化する場合でも、「きちんと情報が非保持化されているか」の確認や、継続的に情報を保護するための「従業員教育」「ウイルス対策」「デバイス管理」等、種々のセキュリティ対策が求められます。 ManageEngineが提供するセキュリティソリューションについては、下記のコンテンツもご参照ください。 ■標的型攻撃の内部対策ソリューション ■SIEM”以外”の選択肢!ログの「長期保管」と「可視化」をリーズナブルに(統合ログ管理にも!) ■Active Directoryのセキュリティ対策ソリューション 【セキュリティ関連セミナー】 ■Active Directoryセキュリティセミナー:ADの攻撃検知対策と対応製品を紹介...

ADAudit Plus , Desktop Central , DeviceExpert , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , ServiceDesk Plus , セキュリティ , 一般 1 min read

セキュリティ強化のためのパケットフィルタリングと不要ルールの棚卸

Reading Time: 1 minutesこの記事の所要時間: 約 3分   ファイアウォールのもつ基本機能として「パケットフィルタリング」が挙げられます。これは、あらかじめファイアウォールの管理者が定めたルールに基づいて必要なパケットのみを通過させ、それ以外を遮断する機能であり、最も一般的なセキュリティ対策の一つです。 ファイアウォールの最もシンプルな構図として、イントラネット(内部ネットワーク)とインターネット(外部ネットワーク)の出入り口に設置し、その間を通過する通信を制御します。また、イントラネットからインターネットへの通信の制御には「情報漏えい防止」、逆にインターネットからイントラネットへの通信の制御には「不正アクセス防止」が目的として挙げられ、誰もが気軽にインターネットに接続できる現代だからこそ、悪意ある内部ユーザーによる情報漏えいや、高い技術を持つハッカーやクラッカーによる不正アクセスを防ぐための対策が必要なのです。そして、その最初の砦として、ファイアウォールの設置は効果的といえます。 では、パケットを振り分けるパケットフィルタリングとは、実際どのような機能なのか。それをご説明するため、以下ではパケットフィルタリングのルール設定について、もう少し具体的にご紹介したいと思います。 ファイアウォールのルールを設定   パケットフィルタリングで使用されるルールは「ポリシー」と呼ばれており、以下の4つの構成要素から成り立っています。 送信元・宛先のIPアドレス 送信元・宛先のポート番号 プロトコル 方向 アクション そして、上記の条件に対して通過を許可するのか、あるいは禁止するかというアクションを設定していきます。 また、ポリシーの運用方法としては、大きく以下の2つが挙げられます。 基本的にはすべての通信を遮断し、必要最低限の通信のみを通過させる方法 基本的にはすべての通信を通過させ、遮断するものを個別に指定する方法 セキュリティ対策としては、一つ目の運用方法の方が強固であり、推奨されている方法となりますが、きちんと考えて設定しないと、必要な通信まで遮断してしまう可能性があります。さらに、ファイアウォールは、ルール番号 1から下へ順に処理され、一度適用されたら残りのルールは適用されないという特徴があります。そのため、どのような順番で設定するかを検討することも、大切なポイントとなるのです。 なお、このルール設定ですが、シンプルかつパフォーマンスに優れるというメリットがある一方、ルールの管理が煩雑であり、いつの間にか使われていない通信ルールをそのままにしていたり、不要かどうかの判断がつかないといった管理が適切に行われていないと、セキュリティホールを発生させる危険もあります。そこで、最後に弊社製品であるFirewall Analyzerの「上位未使用ルール」レポートを紹介させていただきます。 セキュリティの穴となる不要ルールを棚卸  ...

Firewall Analyzer 1 min read

i-FILTER ver.9に対応!プロキシ/ファイアウォールログの解析ツールFirewall Analyzer新版登場

Reading Time: 1 minutesこの記事の所要時間: 約 2分 多くの企業で、ネットワークの境界にファイアウォールとプロキシを設置して通信の出入りを管理することは、常識となっています。 標的型攻撃が横行する昨今では、これらのログを長期的に保管し、定期的に監視していなければ、怪しい兆候が発生していたとしても気づけず、また、事件が起きたときの原因調査ができません。 例えば、あなたの企業で外部攻撃による情報漏えいの可能性が発覚したとき、ログの保管を1ヶ月しか実施していなかったとすれば、どうでしょう。 最近の標的型攻撃は、侵入後に数ヶ月から(ひどい時には)数年に渡って攻撃者が潜伏しているケースがあります。 メールのアーカイブ情報などを辿り、発覚時点から1年以上前に遡ってウイルス侵入の形跡を確認した場合、直近1カ月のログでは侵入から情報持ち出しに至るまでの詳細な調査が不可能です。 弊社の営業担当者が、つい先日お客様から頂いたご相談も、前述のようなケースでした。 このような場合、「ログの記録が不十分のため漏洩の痕跡をたどれなかった」として公表するしかありませんが、これでは企業としての説明責任を果たしているとは言えません。 こういった事態を防ぐため、独立行政法人情報処理推進機構(IPA)やJPCERTコーディネーショセンター(JPCERT/CC)が発行しているセキュリティガイドラインでも、ファイアウォール/プロキシのログを長期保管することが推奨されています(JPCERT/CCでは、ひとつの目安として1年分のログ保管を推奨)。 ・高度サイバー攻撃への対処におけるログの活用と分析方法(JPCERT/CC) ・『高度標的型攻撃』対策に向けたシステム設計ガイド(IPA)   さて、前段が長くなりましたが、ファイアウォールやプロキシのログを見るとき、生のログを扱うのは非常に大変です。 ManageEngineでは、これらのログをWeb上のインファーフェースで簡単に視覚化できるソフトウェア「Firewall Analyzer(ファイアウォール アナライザー)」を提供しています。 従来、Juniper、Cisco、FortiGate、PaloAlto、Squidなどを含む30以上のベンダー機器に対応していましたが、この度、国内からのニーズを多数受けて、i-FILTER ver.9にも対応しました。 ・i-FILTER対応のログ管理・解析ソフト「Firewall Analyzer」 このFirewall Analyzerは、2016年以降、セキュリティニーズによる導入が増加しています。ご関心がある方は、無料の評価版をぜひお試しください。 【関連情報】...

Firewall Analyzer , 一般 1 min read

ボットネット C&C通信を検出する

Reading Time: 1 minutesこの記事の所要時間: 約 2分 IPレピュテーション機能を搭載したFirewall(UTM)機器では、内部通信から外部への通信をモニタリングし、不正な通信が無いかモニタリングすることができ、不正な宛先への通信が発生した際には、通信を自動でブロックすることができる便利な機能があります。 IPレピュテーション機能とは、悪意のあるサイトやハッキング(クラッキング)を行なった形跡のあるIPアドレスの脅威分析を行い各機器ベンダーあるいはセキュリティベンダーより提供されている情報になりますが、Firewall(UTM)機器へも定期的に情報が配信され最新のIPレピュテーション情報を元に通信先の脅威分析を行なうことができる機能です。 この機能を利用すれば、脅威のあるサイトへアクセスしようとした際に通信を自動的に遮断し、ログとして証跡が残ります。 人(社員)によって起こした不正な通信であれば、対象者に対して注意喚起によって再発防止することが可能ですが、もしマルウェアによる通信であった場合、不正通信は繰り返される可能性があるので、不正な通信をFirewallによって自動的に遮断したからといって、安心してはいけません。不正通信を繰り返す前に、通信元/感染元の端末を検出し、マルウェアを駆除 あるいは OSを初期化する必要がありますが、すぐに通信元/感染元の端末を遮断しなければ、横感染や内部の重要情報が入ったサーバーを完全に乗っ取るなどといった最悪のケースが発生してしまいます。 このような不正な通信があったことをFirewallのログをリアルタイムに監視できるような人的リソースがあればいいのですが、別の業務と兼業であったり十分に人的リソースを割けないようなケースでは、重要イベントが発生した際にアラート通知機能によって把握する仕組みが必要となります。 ManageEngine Firewall Analyzerでは、受信したログが設定したアラート条件にあえばアラートとしてメール通知やプログラム実行を行なうことが可能です。 設定例として、以下のようなログを受信した際にアラートをあげる設定を行います。 Fortigateから出力されたログを例としていますが、actionフィールドの値が blocked 、virusというフィールドが存在し値があった際にアラート通知する設定を行います。 <188>date=2016-10-21 time=21:55:38 devname=FG100Dxxxxx devid=FG100Dxxxxx logid=0202009248 type=utm subtype=virus eventtype=botnet...

Firewall Analyzer 1 min read

その後のPokemon Goの通信量をこっそり見てみた

Reading Time: 1 minutesこの記事の所要時間: 約 1分 前回、「ポケモンGoの通信量を見てみた」というタイトルでポケモンGoの通信量がどのくらいあるのかをFirewall Analyzerを使用してログから通信量を確認してみました。 その後月日は流れ、最初ほどの勢いも無くなり、たまに開くと毎度お馴染みのポケモンだけが近寄ってきてくれます。 その後社内でも「何レベ?」とか「コイキング何体目?」とかの会話も無くなり、アップデート後の「相棒何にした?」の一言で、「あ、そういえばもう一回通信量を見てみよう」 と思って再度通信量を見てみました。 今度は、アプリケーションコントロールを使ってどのくらいあるのか見てみたいと思います。 まずは、ホーム画面の「アプリケーション」をクリック 最初は、上位5件のみ表示していますので、プルダウンメニューより「すべて」を選択し、すべてのアプリケーションを表示します。 上位5件に入っていれば、そこを確認すればいいのですが、自分しかやっていないはずでトラフィック量も少ないので「すべて」を表示します。 レポートを確認する前に自分のiPhoneを、社内のBYODネットワークに接続して、あらかじめポケモン Goを起動し 数回 ポケストップを回しておきました。なので、少しだけトラフィックがある状態にしておきました。 総トラフィックをクリックすると、接続時間や通信量、送信元IPアドレス、宛先IPアドレスなどの詳細情報を確認することができます。 # あれ? 自分以外にも結構いるし.. というか絶対つなぎっぱだし… ※セキュリティ上IPアドレス、ユーザ名は非表示にしています。 (ユーザ名を全世界に向けて晒そうか一瞬企みましたが、やめといてあげます(笑 ) 以上 Firewall Analyzerを使って「その後のPokemon Goの通信量をこっそり見てみた」ですが、今回はアプリケーションレポートを使ってご紹介しました。

Firewall Analyzer 1 min read

Fortigate アプリケーションコントロールのレポート

Reading Time: 1 minutesこの記事の所要時間: 約 2分 Firewallのトラフィックログを管理するFirewall Analyzerの機能の1つにアプリケーションレポートと呼ばれるレポートがあります。このレポートは、UTM機能の1つであるアプリケーションコントロール機能を使用している場合、HTTP/HTTPSが流れるトラフィック上でどのアプリケーションへアクセスしたかを制御することが可能となります。 UTM機能が搭載されていないFirewallを利用している場合は、どの宛先を許可するか禁止するかIPアドレス単位で制御する必要がありましたが、今日においてはデーターセンターの分散化や移転、仮想サーバーの利用などの理由からIPアドレスは頻繁に増えたり変わったりします。 このアプリケーションコントロール機能を利用することにより、例えばTwitter、FacebookといったSNSのアクセスを禁止したり、ゲームサイトへのアクセスを禁止であったりHTTP/HTTPS通信を行なうアプリケーションを制御することが可能となります。 前置きが長くなりましたが、本ブログでは、Firewall Analyzerのアプリケーションコントロールでの表示内容とFortigateのFortiViewで参照できる内容をそれぞれ紹介します。 まずは、FortiViewでのレポートを紹介します。 さすが、Fortigateです! グラフィカルで洗練されており、とても見やすい内容です。 各アプリケーションをクリックしていくと、どのユーザーが利用していたのか確認することが可能です。 図:FortiViewでのアプリケーションレポート 続いて、Firewall Analyzer 8.3でのアプリケーションレポートをご紹介します。 同じように各アプリケーション毎の使用率を表示することが可能です。FortiViewとの違いは、トラフィック量でソートしており、上位5件が表示しています。 プルダウンメニューより上位5件、10件、15件、すべての何れか選択が可能です。 図:Firewall Analyzer アプリケーションレポート FortiViewと同じようにアプリケーション毎に使用者および資料率を確認することが可能です。 ※セキュリティ上の理由により内部のIPアドレスとユーザー名は非表示とさせていただいています。 図:Firewall Analyzer アプリケーションレポート...

Firewall Analyzer 1 min read

ポケモンGoの通信量を見てみた

Reading Time: 1 minutesこの記事の所要時間: 約 1分 みなさんゲットしてますか? 5Kmのタマゴからトサキントが出てきてがっくりです。 というわけで、巷で流行りのポケモンGoを起動させておいたらどのくらいの通信量になるのか知りたくなって、会社のネットワークを使って通信量を調べてみました。 通信量を確認するための条件 社内のBYOD専用 wifi環境に手持ちのiPhoneを接続 業務に影響の無いように5分間だけポケモンGoを起動しておく 最寄りのポケストップで1回だけ回していいことにする (当社の真下のポケストップ) 万が一測定中にレアポケモンが出てきてしまった場合は、捕まえていいことにする データの通信量は、Firewallのログから算出 その為にFirewallのログ解析ツールであるManageEngine Firewall Analyzerを使ってログを確認 結果発表(といっても通信量確認方法ですが) まず、Firewall Analyzerで詳細な通信量を確認する際には、[検索]タブをクリックし検索タイプを「Firewallの生ログ」 を選択、検索する条件として、今回テストで使ったiPhoneのIPアドレスを入力します。(IPアドレスはiPhone側で予め確認しています) 図:検索タブ その結果、以下の通信量になりました! 5分間で13セッション 送信量:約29Kバイト 受信量:約117Kバイト...

Firewall Analyzer 1 min read