Flowmon

ロードバランサー「LoadMaster」の取り扱いを開始

ロードバランサー「LoadMaster」の取り扱いを開始

2021年10月22日
オリゾンシステムズ株式会社

トラフィック可視化・分析アプライアンス「Flowmon」と連携 ロードバランサーを通過するトラフィックも加えて可視化・分析し、より付加価値の高いソリューションを提供

オリゾンシステムズ株式会社(本社:東京都新宿区、代表取締役 菅 健一)は、米Kemp Technologies(本社:ニューヨーク州、以下Kemp社)と国内総代理店契約を締結し、同社の高性能・低価格ロードバランサー「LoadMaster」を販売開始することを発表します。 Kemp社はオリゾンシステムズが国内総代理店を務めるFlowmon Networks社(本社:チェコ)を、2020年11月に買収し、トラフィック可視化・分析アプライアンス「Flowmon」と連携させるため、2021年4月NetFlow情報を生成・出力するエクスポート機能を「LoadMaster」に搭載しております。 これにより、「Flowmon」は、ロードバランサー「LoadMaster」を通過するトラフィックも分析対象に加えることが可能となり、より多角的なトラフィック可視化・分析が実現できるようになりました。 ロードバランサーはITサービスを安定させるために重要な役割を果たしますが、「Flowmon」と連携させることで、何か問題が発生した場合に、それがアプリケーションによるものかネットワークによるものか原因を迅速に特定したり、パフォーマンスの低下となる問題を、早期に的確に把握することが可能となり、サービスの安定性をさらに高めることができます。 オリゾンシステムズは、Kemp社との新たな契約により、「Flowmon」と「LoadMaster」を組み合わせて、ITシステムの可用性向上、パフォーマンス改善や品質向上のために、より付加価値の高いソリューションを提供してまいります。

Kemp LoadMasterの概要

「LoadMaster」は、全世界138カ国25,000を超えるユーザーに導入されている製品で、ハードウェアアプライアンス、仮想アプライアンス、クラウド型の3つの提供形態があります。 SSL処理性能の高い「LMOS (LoadMaster OS)」の優れたアルゴリズムとLSIによるアクセラレーションにより、競合他社の同等価格製品と比較して3~4倍の高い処理性能を提供します。 ホットスタンバイのフェールオーバーメカニズムによって、高可用性を実現。また、アプリケーション・サーバーのヘルスチェックと多様な負荷分散方式により、トラフィックを常に安定したサーバへリダイレクトします。 また、直感的なWebユーザインターフェース、PowerShellからのアクセス用APIのサポート、およびWebサービスモデルの開発を容易にするREST APIを用意しています。アプリケーション・テンプレートの利用によるデプロイの最適化とREST API、PowerShell活用で、DevOPSツールなどの運用フレームワークを使用することなく、システムの構成と管理を自動化します。

※詳細は以下をご参照ください。
http://www.orizon.co.jp/products/loadmaster/

Kemp Flowmonの概要

ネットワークの安定稼働を確保するためには、トラフィックの増大、サイバー攻撃など、トラブルの原因を迅速かつ的確に把握しなければなりません。ネットワークトラフィック監視・分析アプライアンス「Flowmon」は、その中核となる「Flowmonコレクタ」が、NetFlow情報(送信元/送信先IPアドレスやポート番号、プロトコル番号などの通信統計情報)を収集して分析することで、ネットワーク全域や個々の通信をWeb管理コンソールから可視化できるようにします。これにより、トラフィックの詳細を継続的に監視して、迅速なトラブルシューティング、不適切な行為の抑制や社内規律の保持に役立てることができます。また、ネットワークのキャパシティプランニング、事業者間のピアリング状況の分析およびSLA コンプライアンスの維持にも役立ちます。 「Flowmon」のNetFlowを活用したトラフィック解析は、従来のSNMP監視やパケットキャプチャなどの短所を補う技術で、昨今のネットワーク可視化の第一選択肢となりつつあり、ハードウェアアプライアンス、仮想アプライアンス、クラウド向けの3つの提供形態があります。

※詳細は以下をご参照ください。
http://www.orizon.co.jp/products/flowmon/

「Kemp LoadMaster」と「Kemp Flowmon」のソリューション構成図

「Kemp LoadMaster」と「Kemp Flowmon」のソリューション構成図
Kemp Technologiesについて
https://kemp.ax
Kemp Technologies, Inc.は米国ニューヨークに本社を置くグローバル企業で、ヨーロッパはアイルランド、ドイツ、南米はブラジル、アジアではシンガポールに拠点があります。2020年Flowmon Networks a.s.を傘下に収めた後、チェコをその主要開発拠点として事業拡大しています。Kemp Technologiesの主要製品であるLoadMasterを導入している顧客は、全世界138カ国25,000を超え、多くのお客様にご利用いただいております。

なお、Kemp Technologies,Inc.は、「WhatsUp Gold」を提供しているProgress Software Corporationによる買収を発表しています。
https://kemptechnologies.com/news/progress-announces-acquisition-kemp/

オリゾンシステムズ株式会社について
http://www.orizon.co.jp/
オリゾンシステムズ株式会社は、1998年の設立以来、ネットワークインテグレーションビジネスに特化し、システム開発、ITインフラ構築、24時間365日監視・保守サービス、海外製品の販売など、これらを包含したワンストップサービスを提供しています。従業員数は240名(2021年8月現在)で、その内200名が技術者です。

◇ 報道関係者・読者お問い合せ ◇

オリゾンシステムズ株式会社
Flowmon営業部

電話番号:03-6205-6083
E-mail:flowmon-marketing@orizon.co.jp

記載されているロゴ、会社名、製品・サービス名は、各社の登録商標または商標です。


日経xTECH Active Flowmon無料トライアルのご案内

日経xTECH Active Flowmon無料トライアルのご案内



日経 xTECH ActiveにてFlowmonの記事をご覧いただいた皆様用に無料でFlowmonの操作感をお試しいただけるトライアルをご用意いたしました。
ご自身の環境でお試しになりたい方、サンプル環境でお試しになりたい方、とお客様のご希望の方法でご利用いただけます。
お気軽にお客様自身でFlomwnの快適な操作感をお試しください。

お客様の環境でお試しになりたい方

Flowmonでは物理版・仮想版・クラウド版の無料トライアルを行っていただけます。
お客様の環境やご利用用途に合わせてお試しください。
何れのタイプも、正規版と同じすべての機能をお使いいただけます。

仮想版 Flowmonのトライアル

VMware・Hyper-Vの環境でFlowmonをお試しになりたい方は、こちらのフォームよりお申し込みください。
※VMware・Hyper-Vの環境はお客様にてご用意ください。


クラウド版 Flowmonのトライアル

AWS・Azureの環境でFlowmonをお試しになりたい方は、こちらのフォームよりお申し込みください。
※AWS・Azureの環境はお客様にてご用意ください。


物理版 Flowmonのトライアル

物理版Flowmonをお試しになりたい方は、こちらのフォームよりお申し込みください。




サンプル環境でお試しになりたい方

ログインするだけで、こちらでご用意したサンプル環境でのネットワークの可視化を体験していただけます。

オンライントライアル

※オンライントライアルご利用時のご留意

  • 本環境はFlowmonの開発元が提供する、共有の環境です。
  • 時間帯によりアクセスが集中いたしますと、若干動作が重く感じることがございます。ご了承ください。
  • 管理画面機能など、一部の機能を制限させていただいております。



関連ページ

■製品検討情報
Flowmonコレクタ
Flowmonプローブ
Flowmon ADS

■お客様のご利用情報
導入事例

Flowmon 製品に関する
お問い合わせはこちらからどうぞ

 
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6083
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

米国 Kemp Technologies(Flowmon Networks)、米国Progressによる買収を発表

KempandFlowmon


2021年9月23日、Flowmon製品の開発元となる、米国 Kemp Technologies Inc.
Flowmon Networks a.s.を含む)は米国 Progress Software Corporationによる買収を発表いたしました。

Kemp社プレスリリース:
https://kemptechnologies.com/news/progress-announces-acquisition-kemp/
Progress社CEOによる当買収の背景について:
https://www.progress.com/blogs/progress-to-acquire-kemp

ネットワーク管理のマーケットリーダーであるWhatsUp Goldに、
今後KempLoadmasterおよびFlowmon Network Visibility製品が組み合わさる事により、
より付加価値の高いアプリケーションエクスペリエンスソリューションが
提供されてゆく事となります。

詳細は買収手続きが完了し次第、追ってご案内させて頂きますが、
これまで同様にFlowmon製品の国内における販売・サポート体制に変更はございません。
今後とも変わらぬご支援ご鞭撻を賜りますようお願い申し上げます。


本件に関するお問い合わせ先
flowmon-sales@orizon.co.jp

オリゾンシステムズ株式会社
代表取締役
菅 健一

ゼロトラストを支えるFlowmon

ゼロトラストを支えるFlowmon

2021年9月3日



このコラムではNISTよりリリースされている Zero Trust Architecture (SP 800-207)を参照し、ゼロトラストでのFlowmonの位置付けを整理してみたいと思います。なお当該文書の日本語訳版はPwC社によって提供されています。

ゼロトラスト・アーキテクチャーの主要構成要素は、厳密な認証と、その認証に基づいた適切なアクセス制御(ポリシーの適用)の実施となりますが、そこで求められている実現内容は単に認証サーバーや認証を実施する様々なシステムの対応する範囲にとどまりません。その認証やアクセス制御の正当性を担保する全体の仕組みとともに、システム・運用がデザインされている必要があります。

ゼロトラストの考え方として、以下が7大原則としてあげられています。

  1. データソースとコンピュータサービスは、全てリソースと見なす
  2. 「ネットワークの場所」に関係なく、通信は全て保護される
  3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
  4. リソースへのアクセスは動的なポリシーによって決定される
  5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
  6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
  7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

※ これら各項目概要は簡略化しているため厳密には原文をご参照ください。

これらの項目の中で特に4、5、6および7について、その時点のネットワーク含めた環境の安全度合いを踏まえ、リソースへのアクセスポリシーは決定されなければならないことが示されています。

図2:多様なリスク検知機能

図1:求められるリアルタイム・リスク検知とアクセスポリシーへの連携


例えば、利用中のネットワークセグメント内で、外部からの侵入および攻撃を疑われる兆候が発見された場合、迅速にポリシーを変更し、より厳密な認証の実施を行わなわなければなりません。また同様にそのリスクの高い状態が解除された場合、通常のポリシーに速やかに戻すなどの運用が求められます。

これを実現するためには、的確なリスク事象の把握とそのシステム連携機能が必要となります。Flowmonはこの点で、ゼロトラストの実現に対し大きな役割を担うこととなります。

脅威検知機能

一般的に認証は複雑化すればするほど認証強度は高まりますが、同時にシステム全体としての「使いやすさ」や「業務効率」の観点からは負担の増大となります。そこで各リソースごとに適切なポリシーを定義し、必要最小限の権限を付与するための、適切な認証強度を適用する必要があります。ここでこの認証強度の「適切さ」は、その状況により変化する可能性があることを留意しなければなりません。それは構成の変更によりもたらされる中長期的要因もあれば、外部攻撃・内部犯罪などのセキュリティーリスクのような緊急性のあるものなどもあります。

Flowmonはネットワークフロー情報からリスク要因となる様々な兆候を炙り出すことができ、その問題事象の状況の早期把握や未然防止に役立てることが可能です。いくつかの問題事象シナリオに対する実際のFlowmonでの可視化事例(模擬攻撃とFlowmonでの可視化事例 および ランサムウエア検知でのADSのシナリオ) は別コラム記事にてご参照ください。

以下のような事象に対する検知機能をFlowmonでは実装しています。

図2:多様なリスク検知機能

図2:多様なリスク検知機能
シャドーIT
会社組織のセキュリティーポリシーで許可されていない外部クラウドサービスが使用されてしまうケースがあり、それによる情報漏洩やマルウエア感染などのリスクが増大します。
ネットワーク・スキャン
攻撃対象のネットワーク内にあるシステムとそこで有効となっているサービスを見つけ出すために、ネットワーク・スキャンが行われます。一般的には攻撃活動の初期段階で行われる調査活動ですが、通常のルーター機器などでも機能として行うこともあるため、その問題のないものか否かについての確認も必要ですが、注意を払うべき事象となります。
DNSスプーフィング
社内ネットワークに第三者が接続し、DNSサーバーとしてのなりすましを行います。ユーザーの端末がこのネットワーク接続時などに正しいDNSとして認識してしまうと、それ以降利用するサービスサイトの虚偽のIPアドレスを受け取ってしまい、それによりユーザーの認証情報を詐取される可能性があります。
辞書攻撃
攻撃目標となるサービスが特定できると、そのサービスへのログインのために、あらかじめよく利用されやすいパスワードのリストを使用したログインの試行が行われます。
既知の脆弱性
Flowmonは、様々な既知の攻撃手法またはゼロデイ攻撃に対して、振る舞い検知機構などによりそれらを捕捉し、被害の未然防止に貢献します。対応の一部事例として SIGRed(Windows DNS サーバの脆弱性)SUNBURST(トロイの木馬型マルウエア)のFlowmon社各ブログをご参照ください。
データの持ち出し
データ転送時の大量データ移動の検知のほか、データ転送には通常利用されない通信プロトコルを利用したデータ搭載の検知など、様々な攻撃に関わる疑うべきデータ転送を洗い出します。
ブラックリストとMISPサポート
Flowmonでは複数のソースから最大毎6時間ごとに更新された独自のブラックリストを提供しています。またオープンソースの脅威情報プラットフォーム MISPとの連携もサポートしており、脅威情報の範囲を広げることでより多角的な分析を期待することが可能となっています。

図3:Flowmonの多様な解析アルゴリズムとブラックリスト

図3:Flowmonの多様な解析アルゴリズムとブラックリスト

ネットワークフロー情報を元に搭載された二百以上のアルゴリズムを使用して、以上を含めた様々な脅威を検知することが可能となっています。これら検知した脅威への対処としては、Flowmonとゼロトラスト基盤で利用している認証認可システムなどをそれぞれAPI経由で連携し、ポリシー適用時の判断の自動化などが想定されます。

システム連携機能

Flowmonの実装しているREST APIやSyslogなどのインターフェイスを利用し、ネットワーク監視ソリューション(PRTGやZabbix)や SIEM(QRadarFortiSIEM)との連携など、多くのインテグレーション展開実績を有しています。

各ソリューションでのログとADSでのイベントとの相関関係からより詳細な事象分析を可能とし、その状況判断の正確性を高めることができます。これによりゼロトラスト環境でより適切なポリシー適用を実現できます。

図4:QRadarとの連携アプリケーション(Flowmon App)の実装

図4:QRadarとの連携アプリケーション(Flowmon App)の実装

また認証後のユーザーのリスクのある活動が検知された場合、速やかにそのユーザーのアクセスを排除する必要があります。個々のシステムでその対応を行うのは複雑なため、ネットワークレベルでアクセスを遮断するなどが現実的な実装の一つとなります。 Flowmonでは各社SDNコントローラー(Cisco社、アライドテレシス社、アラクサラネットワークス社など)、 また FortiGate などのセキュリティ製品との連携を行う事が可能です。これにより、初期段階でのアクセス判断後、リスクのあるユーザーの活動が確認された場合、自動遮断等それを反映した高度なゼロトラスト環境の実現に貢献します。

まとめ

リモートワーク化が進みまたランサムウエアの被害が身近な脅威として認識されつつある状況を受けて、多くのお客様でゼロトラストに取り組む事例が見られています。セキュリティー脅威が刻々と変化するIT基盤では、その検知と迅速なポリシーへの反映は不可欠です。既存のIT基盤にほとんど手を加えることなく実装可能なFlowmonにより、即効性の高いゼロトラストの実現をご検討ください。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

Kemp社ではNPMD/NDR製品のFlowmonのほか、ADC製品となるLoadMasterをご用意しています。LoadMasterではロードバランサー機能の他Webアプリケーションに対する認証認可アクセス制御機能を備え、Zero Trust Access Gateway (ZTAG) として関連機能をソリューション化しご提供しています。

NPMD: Network Performance Management and Diagnostics, NDR: Network Detection and Response, ADC: Application Delivery Controller


Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

Kemp社の製品戦略とブランディング

Kemp社の製品戦略とブランディング

2021年8月6日



昨年のKemp Technologies社(以下Kemp)によるFlowmon Networks社の買収を受けて、これまでの継続的なFlowmon製品の機能強化の他、Kempの主要製品であるLoadMasterとのシナジーが今後期待されています。このコラムでは、そのような期待されるKempの目指す戦略とブランディングの方向性についてまとめてみました。

ポートフォリオの拡張

Kemp LoadMasterは、アプリケーションなどへの通信負荷を複数インスタンスに分散するためのロードバランサー製品ですが、WebアプリケーションへのHTTP(S)リクエストをフィルタリングして脅威となるものを検知・防御するWAF (Web Application Firewall)機能、アプリケーションへの認証をシームレスに行うためのSSO(シングルサインオン)機能など、さまざまなセキュリティー機能を合わせて装備しています。ロードバランシング及びこれらの機能を合わせ、Kempでは「Always On, Applicaton Experience」として、可用性の高い、セキュアなアプリケーション利用環境を実現するためのソリューション提供を行ってきました。


図1:LoadMasterのセキュリティー機能

図1:LoadMasterのセキュリティー機能

Flowmonを新たに製品ポートフォリオに加えることで、Kempはこの「Always On, Application Experience」のより網羅的な展開が可能となりました。LoadMasterは上のように、アプリケーションとユーザーからのアクセスの境界を管理する製品となりますが、Flowmonによってその実効範囲がネットワーク全体に拡張されます。Flowmonのネットワークのパフォーマンス可視化によって、アプリケーション利用の障害となるパフォーマンス劣化の原因が特定可能となり、また問題箇所の把握が容易になりました。セキュリティー視点では、境界内外における脅威の可能性を振る舞い検知により洗い出し、システム全体のセキュリティーを担保します。

ブランディングの融合

Kempではこの製品の方向性を踏まえ、FlowmonおよびLoadMaster両製品ポートフォリオのブランディング融合を徐々に開始しています。すでにグローバル版Flowmon製品の最新リリース(v11.01.07以降)では、Kempカンパニーロゴやイエローを基調としたKempのカンパニーカラーへと製品画面デザイン等が変更されています。以下がすでに実装された画面例となります。

図2:更新される製品ロゴと基調色

図2:更新される製品ロゴと基調色

弊社のWebサイトにおいても、今後は徐々にこのブランディング融合に追随し、適宜刷新された製品紹介ページをご覧いただく予定です。

Kemp社のプロファイル

ここで改めてKemp社についてのご紹介です。Kemp Technologies, Inc.は米国ニューヨークに本社を置くグローバル企業で、ヨーロッパはアイルランド・ドイツ、南米はブラジル、アジアではシンガポールに主要拠点を置き、昨年Flowmon Networks a.s.を傘下に収めチェコをその主要開発拠点とする事業拡大を実現しています。その主要製品となるLoadMasterは、これまで既存顧客数は25,000をこえ、全世界138カ国に展開し、多くのお客様にご利用いただいている製品となります。Flowmon社のCTOであったPavel Minarikが新たに Kemp社のCTOに就任していることからも、Flowmon製品の持つテクノロジーを核とした製品開発が今後期待されています。

新ブランド

年初より本格的に進められてきたKemp/Flowmon両社の様々なオペレーションの統合も順調に進み、今後はより付加価値の高いソリューション開発へとフェーズが進んでゆくものと期待されています。

まとめ

このようにグローバルに既に築かれたKemp社のビジネス基盤と、Flowmonの持つテクノロジーが融合し、新たなブランドとして確立してゆく動きが明確になってきました。弊社では今後もお客様の問題解決にお役に立てるソリューションのご提供を目指し、活動を展開してまいります。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

Kemp社によるFlowmon社買収の発表
LoadMasterへのFlowmon Probe機能(Network Telemetry)の移植


Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

ランサムウエア検知でのADSのシナリオ

ランサムウエア検知でのADSのシナリオ

2021年7月8日



本年5月の米国最大の石油パイプライン(コロニアル・パイプライン社運営)の停止は、ランサムウエア攻撃が一企業の被害にとどまらず社会インフラへの多大な影響を及ぼすものという形で、改めてその脅威が認識されました。また国内でも大手企業にとどまらず、セキュリティー対策の未整備な多くの企業へそのリスクは広がってきている状況です。


先のコラム記事「模擬攻撃とFlowmonでの可視化事例」 では、企業ネットワークに侵入したのちの攻撃パターンについて事例をご紹介しましたが、このコラムでは典型的な外部からのランサムウエア攻撃のシナリオに即した、Flowmonの対応についてご説明させていただきたいと思います。Kemp社からはWebセミナーとなる「How to Detect Ransomware in your Network」が、ウェビナー・サービスのBrightTALKからリリースされています。詳細解説につきましては、当該Webセミナーをご覧ください。
※ BrightTALKのウェビナー視聴にはユーザー登録が必要です。また当該セッションは英語で行われています。


このWebセミナーでご説明させていただいている侵入及び攻撃の一連の流れを、各フェーズごとのFlowmonでの対応と合わせて見てゆきます。対応機能となるADS(Anormally Detection System)は、Flowmonのセキュリティー・アドオン コンポーネント名です。このADSの機能により、このシナリオが実現されています。

探索と認証情報アクセス(Discovery/Credential Access)

典型的シナリオとして、まず侵入口となるシステムを特定し、そのシステムにどのように侵入可能かを探索し、その後侵入を試みるステップとなります。まずは侵入口となるシステムを特定するためにARPスキャンを行います。これにより、起動している対象システムの洗い出しが可能となります。候補となる対象システムの洗い出しが終わると、次にその対象システムのアクティブなポートの探索へ、TCP SYNスキャンにより攻撃者は進むこととなります。


これらのネットワーク上の動きに対しては、随時Flowmonはネットワークの解析結果から、スキャン活動を洗い出し、リスクのあるイベントとしてコンソールに表示します。


図1:スキャンイベントの検知

図1:スキャンイベントの検知

またFlowmonはさらにそのスキャンイベントについて、ARPスキャン及びTCP SYNスキャンの詳細を提供します。これにより攻撃者は、どのIPアドレスを持ったシステムで、どのようなサービスが動いているか等を把握することができます。


図2:ARPスキャンとTCPスキャンの詳細

図2:ARPスキャンとTCPスキャンの詳細

これらの探索活動によって対象の絞り込みが完了すると、「パスワード総当たり」攻撃などにより、攻撃者は第一弾の踏み台となるシステムに侵入を試みます。この認証情報アクセスの段階を超えると、次にその周辺のシステムへの侵攻を試みる段階に入ってゆきます。

水平展開(Lateral movement)

この段階では一般的には既にファイアーウォールの内側に侵入が成功しているので、ここからはさまざまなプロトコルを利用することが可能となり、攻撃の選択肢も多岐にわたります。このWebセミナーでは、Windowsリモートデスクトップ(RDP)の脆弱性(BlueKeep等)を利用したシステムへの侵入などを例として解説しています。


RDPの脆弱性については、既知のものに対する修正コードなども提供されていますが、未適用なシステムも依然多く、それによるセキュリティー被害は少なくない現状となっています。このRDPの脆弱性を利用した攻撃に対して、Flowmonでは、ADSアドオンの振る舞い検知機能によって、その兆候を把握することが可能となっています。


図3:RDPプロトコルを使用した侵入の兆候の把握

図3:RDPプロトコルを使用した侵入の兆候の把握

目的とするシステムへの侵入が行われると、ユーザーが入力するキーストロークを盗み見ることを可能とする「キーロガー」を仕込むことで、データベースへアクセスのための認証情報を詐取し、そのデータベース内の機密情報の不正取得が可能となります。

持ち出し(Exfiltration)

ランサムウエア攻撃では攻撃対象となる企業の機密データを詐取し、そのデータを一般公開しないことを代償として身代金を要求するもの、またはそのデータを暗号化し利用不可能な状態にし、業務を妨害し、その復旧(暗号化されたデータの解凍)を代償として身代金を要求するものなどがあります。


機密データの外部への不正送信や、利用不可とするための暗号化処理のため、不正アクセスしたデータベースから一旦データを別の作業域にコピー(転送)する場合があります。Flowmonではこの通常大容量となるこれらのデータ転送を、疑わしい動きとして捉えることができます。


図4:大量のデータ転送を伴う通信の検知

図4:大量のデータ転送を伴う通信の検知

またその外部へのデータ転送で使われる手口として、通常はデータ転送では利用されない管理系のプロトコルが使われる場合があり、Flowmonではそのような異常な利用状況を検知することも可能となっています。


図5:ICMPペイロードを利用したデータ転送の検知

図5:ICMPペイロードを利用したデータ転送の検知

また合わせてこれらの動作指示を遠隔で行なっているサイト(C&Cサイト)の特定では、Flowmonも保有する6時間ごとに更新されているブラックリストを参照し、常にそれらの出現の有無を監視しています。


図6:ブラックリストによるC&Cサイトの検知

図6:ブラックリストによるC&Cサイトの検知

またFlowmonはマルウェア情報共有プラットフォームとなるMISPをサポートしており、グローバルで共有されている新たな脅威情報を随時検知に取り入れることが可能となっています。MISPの利用により、グローバルレベルで刻々と変遷するセキュリティー情報を補強することができ、より網羅性の高いセキュリティー監視基盤を維持することができます。

影響(Impact)

最終段階では、機密データを暗号化するために一旦外部ディスクへのデータの書き出しなどを行う可能性があります。Flowmonではこの段階での外部ディスクへの書き出しに関わる通信を把握し、疑わしいものとして検知することが可能となっています。


図7:疑わしいSAMBA通信の検知

図7:疑わしいSAMBA通信の検知

対策立案

Flowmonではこれらの検知したイベントを、ADS11.3リリースで実装したMITRE ATT&CKフレームワーク対応機能に則り、以下のようなマトリックスで分類する仕組みを提供しています。


MITRE社は米国の非営利団体で、ATT&CKとはAdversarial Tactics, Techniques, and Common Knowledgeの略で、MITRE社の提供するサイバー攻撃の流れと手法を体系化したフレームワークです。


図8:脅威イベントの分類

図8:脅威イベントの分類

ここで例示したランサムウエアのような一連の攻撃活動は、時に数日数週間に渡って実施されてゆく場合があるため、このマトリックス分類により、攻撃状況の把握およびその対策立案などに有効活用することができます。

まとめ

このようにFlowmonではネットワークフロー情報をもとに、さまざまなランサムウエア攻撃にかかわるイベント検知をタイムリーに行うことが可能で、正確な状況の把握と迅速な対処へ結びつけることができます。搭載されている200以上のアルゴリズムを駆使し、ネットワーク情報よりダイナミックにITインフラのリスク状況を可視化することができ、単にブラックリストの参照によるリスク情報の照合に止まらず、振る舞いとして事象を解析し、攻撃者とその動きを継続的に洗い出してゆきます。


既存のネットワーク情報を参照し解析する製品の仕組みから、Flowmonの導入は既存のネットワーク環境にほとんど変更を加えることなく可能なため、高い即効性をご期待いただけます。また中小規模から大規模展開に対応可能なスケーラビリティーを持っているため、様々な業態のITシステムのセキュリティー対策にご活用いただけます。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

オープンソースのThreat Intelligence 共有プラットフォームMISP
米国非営利団体MITRE社のATT&CKフレームワーク
Early Ransomware Detection and Response (YouTube)
Flowmon ADS (Anomaly Detection System)



Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 -第3章-

時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方

2021年5月6日


− 3章 ネットワークの分析+セキュリティの強化を同時に実現する −

Flowmon (フローモン)が解決する課題

フロー分析によりネットワークの可視化とセキュリティ強化を実現し、ネットワーク運⽤管理の悩みを解決するのが「Flowmon (フローモン) 」です。
フロー情報の取得、監視、分析により、ユーザやアプリケーションの利⽤状況及び振る舞いを可視化することで、トータル的なセキュリティソリューションの構築も可能です。

Flowmon (フローモン)のできること

主な課題 Flowmon (フローモン)による解決
ネットワークの可視化 ネットワークの利⽤傾向を知りたい フロー分析により、アプリや端末ベースまでの利⽤状況を把握できる
トラブルをスピーディに解決したい 他製品と比べ、簡単・スピーディーに問題を特定できる
セキュリティの強化 インシデントを早期検知または事前検知したい いつ誰が何をしたのかなどの振る舞いを即座に分析可能で、早期検知につながる
標的型攻撃やゼロデイアタックなどに対するセキュリティを強化したい アンチウイルス対策で検知できなかったウイルスを振る舞いなどから発⾒
その他 ネットワーク内の脅威状況を把握やユーザによるトラブルを防止したい ネットワーク内の脅威状況を可視化可能。また、証跡による社内の規律保持やユーザによる不⽤意な行為を抑止する機能も搭載


Flowmon (フローモン)の特徴

Flowmon (フローモン)の特徴である「分析のしやすさ」、「導入のしやすさ」、「コストの低さ」は多くの企業に選ばれる理由にもなっています。

Flowmon (フローモン)が選ばれる理由


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■コラム
時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 -第1章-
時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 -第2章-  

Flowmon製品に関する
お問い合わせはこちらからどうぞ




Interop Tokyo 2021出展のお知らせ

Interop Tokyo 2021 出展のお知らせ

2021年4月14日(水)~16日(金)に幕張メッセで開催される「Interop Tokyo 2021」に
Flowmonを出展します。 小間番号「4B06(Hall4)」です。
会場へお越しの際は、ぜひFlowmonブースへお立ち寄りください。

Interop2021ロゴ

小間位置:4B06(Hall4)

 

Flowmon製品に関する お問い合わせはこちらからどうぞ

 
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6083
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 2章

時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方

2021年4月7日


− 2章 時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 −

今の時代にあったネットワーク運用の理想形

今の時代にあったネットワーク運用として、「複雑化したネットワークを可視化する点」「セキュリティの強化・補填」を両立させることが重要です。
本章では、具体的にどのような運用を行うことが望ましいのかについて解説していきます。

次項からは今の時代にあったネットワーク運用として「フロー分析」の活用について解説


ネットワークフローを把握するなら「フロー分析」が重要

これからの時代のネットワーク運用として、注目されているのが「ネットワークフロー(トラフィックの流れ)」を把握する監視・分析方法です。端末やアプリ単位での負荷状況を詳細に把握できたり、ネットワーク情報の振る舞いを監視することでセキュリティレベルの向上をさせることが可能です。
詳細な分析が可能と聞くと、通信の実データを分析しているように思われるかもしれませんが、必要な情報のみを収集・分析しているため、データの保存容量も重くなりすぎず、分析結果も短時間で表示させることができます。

トレンドに合わせたトラフィック分析方法「フロー分析」

変化のトレンド 主な課題 「フロー分析」なら
ネットワーク使用的の多様化・複雑化 端末単位での原因箇所の特定が困難 宛先IP等のフローデータから詳細な分析が可能
セキュリティリスクの増加 ネットワークフローから振る舞いを把握することで、社内外のセキュリティの強化や早期のインシデント検知につながる
トラフィック量の増加 分析時間の増加や保存データ量の増加 大規模・大容量のトラフィックにも対応した効率的で高速なトラフィック分析が可能。実データを保存しないため、軽量での運用が可能。

フロー分析なら帯域使用の問題点や改善すべき点をピンポイントで把握することができる


ネットワークフローを把握。トラブルのスピード解決へ。

複雑化・大容量化したネットワークをシンプルに可視化するためには、ネットワークフロー(トラフィックの流れ)を把握することが重要です。
ネットワークフローを見ることで送信元IP や宛先IP などを把握することが可能となり、どの部署の誰が、どのようなアプリでネットワークを占拠しているのかを特定することが可能となります。これにより、ネットワーク障害や高負荷問題の原因特定がスピーディーとなり、解決までの時短につながります。把握するのに多くの時間やコストをかけるのは本末転倒なため、スピーディに状況把握できる体制・ツールを用いることが重要です。

原因特定のプロセス

フローデータを確認し、スピーディにトラフィック状況を可視化することが重要


ファイヤーウォール、エンドポイントだけでは足りない。今の時代に必要なセキュリティ

トラフィックが複雑化したことにより、セキュリティの強化も重要となります。強化の方法としては、エンドポイントセキュリティやゲートウェイセキュリティに加えて、ネットワーク上の防犯カメラ的な役割として、振る舞いを確認する(振る舞い検知)などが挙げられます。
事前の予防・予兆検知のほか、インシデントの早期発見や証跡の確認に用いることができ、被害の最小化や、具体的な被害範囲を早期に把握することなどにつながります。

強化すべきセキュリティポイント

エンドポイント・ゲートウェイだけでなく振る舞いの変化を検知し、セキュリティを強化


ネットワークフローツール選定のポイント

ネットワークフローの分析は、今の時代にあったネットワーク運用方法の一つです。ネットワークフローを分析するためのツールも多く発表されています。
一口にネットワークフロー分析ツールといっても、その内容はさまざまですので、自社に合わせて必要なツールを選定することが重要です。
以下は、ツールを選ぶ際の主なポイントをまとめた内容となっています。

どの企業でも共通してチェックしておきたい選定のポイント


次号へ続く