S&J

エスアンドジェイ
こちらの製品に関するお問い合わせはこちらから
MENU

S&J

エスアンドジェイ

CSIRT/SOCアウトソーシングサービス

CSIRT/SOCアウトソーシングサービスは企業のCSIRT担当者やセキュリティ担当者のセキュリティ運用を支援するサービスです。

SOCで24時間365日のアラート監視をし、有事にはアナリストが複数のセキュリティ製品やネットワーク機器等からのログの相関分析を実施して事象と対象を絞り込みます。さらにCSIRT事務局からは企業のCSIRT担当者やセキュリティ担当者に具体的な対策をエスカレーションし、対応の支援にあたります。

本サービスは、事前にお客様の環境のセキュリティ評価を行い、また、セキュリティ運用の実態の調査とヒアリング、必要に応じて是正や対策計画を提示し、共同で実施します。

そうすることで、事前にお客様環境をクリーンな状態にし、専門のセキュリティアナリストが継続的に監視することでセキュリティの変化や異常をいち早く発見・対処できるようになります。また、CSIRT事務局はお客様の運用を理解しているので、お客様個別のセキュリティ運用に合わせた適切なアドバイスを行います。

また、CSIRT担当者やセキュリティ担当者はアナリストによって絞り込まれた“ホンモノ”のセキュリティインシデントに対して、具体的な対応を含めたエスカレーションを受けるため、雑務から開放され、セキュリティ計画等により時間を割いていただくことが可能となります。

CSIRT/SOCアウトソーシングサービスの特徴

  • セキュリティインシデントへの対応
  • 複数ベンダーへの対応を一元化
  • 企業の社内ネットワークを理解し、適切なアドバイスを実施
  • 境界防御だけではなく内部拡散の監視もカバー
  • お客様内での高度なセキュリティ人材の育成は不要
  • 機器を限定せずにサービスが提供可能
  • CSIRT要員は、平時はお客様先に常駐せずリモートで社内ネットワークを監視、重大・緊急インシデント発生時や定例会にのみお客様先を訪問

ケース1プロキシで不審な通信を検知

プロキシで、ブラックリストにヒット、または、不審な回数アクセス、大きなPOSTなどを検知した場合、以下のアクションをします。

  • SOC Engine for PC Agentでの通信アプリケーションの確認
  • 通信先をアナリストが分析
  • 前後の通信からバナー広告などの可能性を分析
  • 他の端末の同通信の調査

上記の結果、マルウェアの通信の可能性が高ければ、ベンダーに連絡して端末の隔離、調査する。黒判定の場合には第一報を入れて、影響範囲、時期・漏えい情報などを調査し報告。

ケース2プロキシで不審な通信を検知

ユーザから「不審なメール」として届けられた場合、添付ファイルやURLをアナリストが分析する。サンドボックスなどを活用。マルウェアの場合、同様のメールの他のユーザへの配送をベンダーに確認。

開封したユーザがいた場合には、隔離して調査。CSIRTに第一報を入れて、影響範囲、時期・漏えい情報などを調査し報告。

ケース3ADへの不審なアクセス

ADへ管理者権限の一般ユーザ端末からのログインがあった場合には、成功しても失敗してもユーザ端末を隔離して調査する。

成功していた場合には、ADパスワード変更、外部通信の緊急監視、内部ネットワークログの緊急監視、などと共に、CSIRTに第一報。失敗していた場合には、該当端末の通信先の他の端末での有無を調査。パーソナルファイアウォールがある場合には、ログを調査して影響範囲を調査。

なお、CSIRT/SOCについては弊社の豊富な経験により、CSIRTやSOCの構築をされたいお客様の支援を行い、お客様独自で運用いただくためのお手伝いをすることも可能です。

CSIRT構築支援
SOC構築支援
CSIRTアウトソーシング
SOCアウトソーシング