コラム

ICS/SCADAネットワークトラフィックの可視性とセキュリティ

ICS/SCADAネットワークトラフィックの
可視性とセキュリティ

2024年4月1日


Flowmonは一般のIT基盤のみならず、産業用制御システムいわゆるOTシステム基盤のネットワークモニタリングおよびセキュリティ機能もご提供しています。このコラムではFlowmon社の Network Traffic Visibility and Security for ICS/SCADA のコラムをベースに、その概要についてご紹介します。

産業用の制御システムが正しく機能することは、エネルギーの配布や機械操作、水の管理など、重要なプロセスの基盤となります。技術の進化により相互接続が進んだことで、外部からの影響に対してより脆弱になりました。ネットワークに変更が加えられると制限や完全なシステムの停止が起こる可能性があり、企業やその顧客に直接的な影響を与えてしまう恐れがあります。Flowmonのネットワーク可視性インテリジェンスによって企業は、このようなリスクを回避し、OT環境においてもセキュリティの脅威に対処しIT運用を強化することができます。

産業ネットワークの信頼性とセキュリティの確保

一時期までは、産業用制御システムは通常、企業のネットワークやインターネットから完全に切り離されていました。そのため、インフラに大幅な変更が行われることはほとんどなく、エンジニアはセキュリティについてあまり心配する必要はありませんでした。しかし、最近では、IoTデバイスや自動化、インダストリー4.0などの台頭により、産業用制御システムの環境は大きく変わりました。

広くITネットワークの可視化にご利用いただいているFlowmonですが、この産業用制御システムの関わるネットワークについても、すでに多くのお客様にご利用いただいています。 早期の異常検出と外部システムとの連携機能に加えて、災害復旧計画やフォレンジック分析のためのデータの取得にFlowmonをご活用いただいています。

Flowmon ADSのICS環境での検証レポート

チェコ共和国ブルノ大学では、FlowmonによるICS基盤の有効性についてこちらの レポート(Behavioral Anomaly Detection in Industrial Control Systems an Evaluation of Flowmon ADS: Technical Report no. FIT-TR-2020-02 Faculty of Information Technology, Brno University of Technology)にまとめられています。

Flowmonは、製造業や公益企業が産業ネットワークの信頼性を確保し、ダウンタイムやサービスの中断を避けるために利用できます。これは、継続的な監視と異常検出によって実現され、サイバースパイ活動やゼロデイ攻撃、マルウェアなどのデバイスの不具合やセキュリティインシデントを早急に報告して修復できるようになります。Flowmonでは現時点で、右の図にあるような関連プロトコル -IEC104, CoAP, Goose, MMS, DLMS- をサポートし、高い費用対効果で、産業用システム分野でも以下のようなエンタープライズクラスの機能セットを利用できるようになりました。

  • リアルタイムでネットワークトラフィックを見ることで、ネットワークの利用状況を把握できます。
  • 個々の環境・場所の特性に応じた、効率的なレポート作成ができます。
  • 脅威やボットネット、ゼロデイ攻撃、パッチ未適用のサービスの悪用など、シグネチャやルールベースのソリューションでは見逃されがちなリスクを、先手で見つけ出します。
  • 自動的に異常を検知し、ネットワークのトラブルや設定の問題に迅速に対処します。

Flowmon を活用するメリット

Flowmonにより、以下のようなシステム運用のメリットを得ることができます。

誤作動を起こしたサービスを修復し通常の業務を回復させるために、広範なネットワークを確実に監視し、信頼できる唯一の情報源とトラブルシューティングの機能をFlowmonは提供します。またトラフィックの特性や接続の信頼性、パフォーマンス、コンテンツ属性の掌握が可能となります。Flowmonの利用するNetFlowに基づく、ネットワーク監視の詳細は ブログ「NetFlowとは」 をご参照ください。

Flowmonは署名やルールベースではなく、高度な分析機能を活用し高いセキュリティを担保することで、ネットワーク全体のセキュリティポリシーに対する適用評価を行います。全てのインフラストラクチャやエンドポイントデバイスを幅広く監視し、多様な実装機能を使って機密データを保護し、APTやゼロデイ脅威、高度なマルウェアを検知します。このFlowmonの異常検出技術はGartnerによっても認められています。

適切に配置されたGUI、わかりやすいダッシュボード、ドリルダウン機能により、トラブルシューティングが効率的に行え、高い操作性を甘受できます。 また安全でないデバイスやセキュリティ設計とプロセスの不備、不規則なパッチ適用、古い機器やOSによる攻撃や侵害などを早期に検知して警告し、EPCIPやNISなどの各指令に対応することが可能です。 その他Flowmonでは、特定のニーズに合わせた正確で詳細な自動レポートを提供します。これにより、定期的またはオンディマンドで業務に求められるレポートの出力要求に対応が可能です。

Flowmon SCADA監視およびセキュリティスキーム

技術的な性質から、ファイアウォールとIPSはネットワーク内の特定ゾーン(L2とL3の間)にしか影響を及ぼしません。これは企業ネットワークには効果的でも、SCADA/ICS環境には十分でないとされています。そのため、ネットワーク内で最も重要な部分が依然として脆弱な状態に置かれています。Flowmonは、従来のセキュリティアプローチを超えて、ゾーン内(L2内)の可視性を提供し、トラフィックに対する完全な理解を提供します。(左図参照)

ファイアウォールは、ネットワークの境界とDMZ間の通信を保護しますが、SCADA環境内の可視性や検出は提供されません。SCADAシステムへの侵入や攻撃は、感染したラップトップを持ち込んでネットワークに接続することなど、比較的容易です。しかし、ファイアウォールでは計画されたメンテナンスや悪意のある活動が表示されない可能性があります。

Flowmonは、IPネットワーク内の通信を監視することに特化しています。これにより、SCADAネットワーク内のすべての通信、サーバーとエンドステーション間の通信、およびSCADAサーバーとHMI(Human Machine Interface)間の通信を深く掌握できます。さらに、包括的なトラブルシューティング機能を提供し、機械学習と異常検出技術を活用して、従来のシグネチャが利用できない場合でも、疑わしい動作を検出します。

終わりに

産業用制御システム(OT)と一般業務ネットワーク(IT)の融合を受けて、統合的なネットワークモニタリングがより重要な位置を占めるようになってまいりました。現在IT環境で高いお客様評価をいただいているFlowmonを、OT環境でも是非ご活用ください。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

富士通ネットワークソリューションズ株式会社様から見るFlowmonの価値とは?

富士通ネットワークソリューションズ株式会社
    様から見るFlowmonの価値とは?

2024年4月1日


オリゾンシステムズでは、高い提案力・技術力を備えたパートナー様と連携し、Flowmonの拡販に努めております。 2016年に日本国内のパートナー制度を開始し、各社パートナー様に拡販をいただきましたおかげで、ユーザ様の拡大とともにFlowmonの良さという部分を広く認知していくことができました。 2024年現在、18社のパートナー様でFlowmonをお取り扱いいただいております。


本記事では、パートナーご担当者様へのインタビューを通して、Flowmonをご存じない方や、お取扱い実績のある企業様・パートナー様へ改めてFlowmonのメリットや魅力/価値をご案内いたします。


今回は、富士通ネットワークソリューションズ株式会社(FNETS) の皆様にお話を伺いました。



御社がパートナーになった経緯について教えてください。

弊社(FNETS)はネットワークとセキュリティを軸にしたトータルソリューションプロバイダーとして、お客様価値/創造を提供しています。FlowmonはNetFlowを採用することで大量のトラフィックを詳細に可視化できる優れたネットワーク可視化製品です。ネットワークトラフィックをリアルタイムで監視し、異常を検知する高度なセキュリティ機能を備えているため、両社の高い技術力を組み合わせることで、お客様に対してより高品質なサービスを提供できると考えパートナーになりました。


Interop Tokyoで知ったことがきっかけでした。それ以前からネットワーク監視製品を探していましたが、当時はSNMP監視のほうが主流でNetFlowは今ほどメジャーではありませんでした。そのような中でFlowmonに巡り合ったのですが、一目で「これだ!」と感じました。今でも私達の業態とマッチしていると思いますし、パートナー契約を推進してよかったです。

御社が思うFlowmonの魅力について教えてください。
大きくは以下の3つのポイントです。 1点目は、高度なネットワーク監視と高い異常監視機能を有している点です。 2点目は、ネットワークのパフォーマンスを最適化できる点です。 3点目は、直感的で使いやすいUIが採用されている点です。 トラフィックを常時リアルタイムで監視することで、ネットワーク異常やセキュリティ侵害を早期に発見でき、迅速な対応を行うことができます。またネットワーク遅延や断続的な接続問題が発生しても、Flowmonは常にデータを取得しており、使いやすいUIにより複雑なネットワーク状況下においても簡潔に運用ができ、結果として業務効率の向上につながっています。

御社内でのFlowmon認知度について教えてください。

社内での認知度は非常に高いです。 弊社(FNETS)では独自に導入事例を中心に社内勉強会を開催しており、 BP(ビジネスプロデューサー)やSEに関わらず幅広く紹介しています。また、スポットNW可視化サービスという独自のサービスを提供していることもあり、社内認知度は非常に高いです。

Flowmon導入後のお客様の反響について教えてください。

某ユーザ様では、Flowmon導入以前からトラフィック解析を行う手法はお客様で確立していましたが、調査に非常に時間がかかっていました。「Flowmonを導入後はどこでどのような通信が影響を及ぼしているのかといったような原因の特定が即座に行えるようになった」というお声をいただいています。この種のフィードバックは複数のお客様からいただいており、NetFlow分析は手軽に原因特定ができるソリューションであることを改めて実感しています。


お客様との定例会でSNMPを取得したトラフィックグラフなどを提出した際に、どのような通信内容かわからないことが多く、「たぶん○○かな・・・」といった推測で終わることがあります。しかし、Flowmonを使用することで、誰がどのような通信を行っていたのかが特定できるため、お客様への説明に重宝しています。 また、パケットキャプチャ製品と比較することもありますが、キャプチャは障害発生時にデータを取得する必要があり、常に全てのデータを取得している場合、障害が発生した際に膨大なデータの中から探る必要があるため、時間と労力がかかります。一方、Flowmonでは障害が起こった時間帯のみデータを切り抜いて分析できるため、非常に効率的です。



御社で得意とする業種において、Flowmon導入に至った経緯を1つ教えてください。

特定の業種への偏りはさほどなく、様々な業種のお客様に幅広く導入いただいています。 事例を一つお話しすると、ネットワークがマルチベンダー機器で構成されているお客様から、トラフィックの遅延や障害が発生した場合、どこに問題解決の糸口があるか不明で困っているとご相談をいただきました。まずはネットワークの見える化から着手するためにFlowmonをご提案いたしました。Flowmonであれば、マルチベンダー環境でもネットワークにも影響を及ぼさず、簡単に帯域を占有する通信の特定ができるとお客様に判断いただけて、導入に至ったケースがございました。

Flowmon提案時の強みや弱みについて教えてください。

強みは、既存のネットワーク構成を大幅に変更せずに導入できる点です。 また、トライアル機器をお貸出しいただけることで、お客様に購入前に使用感を体感いただけることも導入の決め手となっています。 弱みは、10Gモデルのプローブの価格が高額なことです。最近は10G環境が一般的になりつつあり、これに伴い関連製品の価格が比較的安価になってきています。しかし、10Gモデルのプローブは価格が下がらないため、提案しても価格面で検討から外れてしまうことが何度かありました。機会損失を最小限に抑えるため機器の費用を見直していただきたいと考えています。 また、プリセット機能についても改善の余地があると思います。 ユーザ様が既知のクラウドサービスであれば、プロファイルを作成する必要がないため非常に便利な機能です。しかし、情報が更新された際には手動で更新しなくてはならない点や、定義が変わると過去の解析結果が得られない点については改善していただきたいです。

今後、Flowmonに期待する機能等ありましたら教えてください。

現状、NDR面を踏まえてご提案を行う際には、FlowmonADS単体では遮断機能が備わっていないため、他製品と連携してご提案をしています。しかし、単体で遮断可能であれば、よりセールスのハードルが低くなり、販売機会の向上と共にADSの価値を更に高めることができると考えています。また、SOCサービスを立ち上げていただけると、お客様での運用ハードルが下がるため、更に営業しやすいと思います。


基本的なネットワークの可視化だけではなく、更に付加価値をつけてオブザーバビリティを意識した機能を追加していただきたいです。 直近では過去三週間の平均値を取得できるようになりましたが、他にも可視化し提示できる情報はあると考えています。 また、プローブをFlowmon製品として開発している優位性を生かして、一般的なNetFlowでは見ることが出来ない項目を増やし、コレクタとのシナジーを強化していただきたいです。

今後弊社やメーカーに求めることはありますか。

業種毎の導入事例を拡充していただきたいです。営業会議などで導入事例として、お客様の課題に対してどうマッチしてどのような効果があったかを紹介できると、同じような課題を抱えるお客様への横展開がスムーズになると考えています。また、最近では振る舞い検知プラグインであるADSの案件も増加しています。ADSを導入していたことで、セキュリティインシデントが未然に防げた、このような事例があると社内でも展開しやすいです。

最後に、意気込みを一言お願いします。

ネットワークトラブル調査や今後の設備プランニング、そしてセキュリティインシデントへの対応など、様々な課題に対して大いに役立つソリューションだと感じています。こういった課題でお困りのお客様の助けとなるべく、BPやSEが訴求・アプローチしやすくなる仕掛けをこれからも考え、実現していきたいと考えています。

終わりに

この度、Flowmonの販売パートナーである富士通ネットワークソリューションズ株式会社様へインタビューをさせていただきました。お客様とより近い距離で接していただいているパートナー様の生の声を聞かせていただくことで、改めてFlowmonの強みや弱み、要望機能などについて大変有意義なお話をお伺いすることができました。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

取材担当:プリセールス 惣田、営業 渡辺

関連コラム記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

東陽テクニカ様から見るFlowmonの価値とは?

東陽テクニカ様から見るFlowmonの価値とは?

2023年6月1日


オリゾンシステムズでは、高い提案力・技術力を備えたパートナー様と連携し、Flowmonの拡販に努めております。 2016年に日本国内のパートナー制度を開始し、各社パートナー様に拡販をいただきましたおかげで、ユーザ様の拡大とともにFlowmonの良さという部分を広く認知していくことができました。 2023年現在、18社のパートナー様でFlowmonをお取り扱いいただいております。


本記事では、パートナーご担当者様へのインタビューを通して、Flowmonをご存じない方や、お取扱い実績のある企業様・パートナー様へ改めてFlowmonのメリットや魅力/価値をご案内いたします。


今回は、株式会社東陽テクニカ 情報通信システム営業部の斉藤様にお話を伺いました。


東陽テクニカは 1953 年の創立以来、世界最高水準の“はかる”技術の提供をコアコンピタンスとし、最先端の測定機器の輸入販売と自社開発製品の提供によって、官公庁、大学ならびに企業の研究開発を支援してきました。技術分野は、情報通信、自動車計測技術、環境エネルギー、EMC(電磁両立性)試験、海洋調査、ソフトウェア開発支援、ライフサイエンスなど幅広く、米国や中国の現地法人などを通じて世界にも提供しています。



パートナーになった経緯について教えてください。

2014年当時、他社フローコレクタ製品を取り扱っていましたが、NetFlowが今ほど一般的でなく、NW機器からNetFlowを出力できないお客様もいて、提案機会損失につながっていました。そこで、ハードウェアアプライアンス型でパケットからNetFlowを生成できる機器を探していました。実は取り扱い製品の中に、Flow生成機もあったのですが、1Gのモニタリングポートで非常に高額だった為、お客様への提案が難しいというのが実態でした。そのため、代わりとなるようなハードウェアアプライアンス型でパケットからNetFlowを生成できる機器を探していました。そんな時、SIerやDC事業者が集まるFlowops (NetFlowやsFlow、IPFIXといったネットワーク機器を流れるパケットをサンプリングして出力・モニタする仕組みについて議論しているグループ)でFlowmonに出会い、我々のニーズにマッチしていると感じたため、即時コンタクトを取り評価を開始しました。

評価当時、想定していた性能に達しない現象が発生したのですが、オリゾンシステムズの技術支援を受けスムーズに解決することができたことを覚えています。(不要な機能が有効になっていたためでした。)その後、今後需要が高まると思いデモ機を購入しました

製品品質はもちろんですが、オリゾンシステムズの対応や、手厚いサポート支援にも好感を持ちました。まだ販売パートナーがほとんどいない時でしたが、2014年頃からパートナー契約に向けた取引きを進め、代理店となりました。

東陽テクニカ様が思うFlowmonの魅力について教えてください。

非常に動作が安定している点です。

バグも比較的少なく、GUIが直観的でわかりやすい点も魅力に感じます。ダッシュボード画面を大きなモニターに映すことで、常に状況把握するといった使い方もできるので、顧客受けが非常に良いです。

また、ラインナップも多数あり顧客規模に応じた提案をすることが出来る点も魅力だと感じています。弊社では物理アプライアンスをメインに提案しておりますが、顧客要望に応じて仮想版やクラウド版にて切り替えて提案ができることも取り扱いやすさにつながっていますね。

社内でのFlowmon認知度について教えてください。

社内での認知度は非常に高いと思います。

ネットワークにかかわるソリューションを提案する部隊では、NetFlow・sflow・可視化・トラフィック監視というキーワードが上がった際にはFlowmonを提案していると思います。東陽テクニカでは、Flowmon製品以外に自社で設計開発した大容量パケットキャプチャ装置「SYNESIS」やネットワーク監視ソリューション「NetEyez」を取り扱っており、お客様のトラフィック計測・検証など要件に応じてうまく棲み分けて提案させて頂いております。

Flowmon導入後のお客様の反響について教えてください。

GUIが直観的で解析時のドリルダウン操作も簡単に行うことができるので、非常に好評をいただいています。

また、導入時に要件に沿ってプロファイル設定すれば、その後の運用はほぼクリックのみで、さらに顧客側でも自由にカスタマイズできる設計の為、導入時の操作支援で概ねご利用頂けている印象です。販売店としても直観的なGUIが魅力でお客様には重宝頂いていると思います。なお、東陽テクニカではアフターサポートの充実と提案時からのPoC支援を経て顧客には機能面でしっかりとご納得いただいてから購入いただくことを心掛けています。


得意とする業種や、Flowmon導入に至った事例を1つ教えてください。

企業のIT部門が主なターゲットとなりますが、業種・業態には偏りなく多種多様な業種で導入いただいている印象です。

最近の事例で多いパターンとしては、近年コロナ影響やテレワークの増加により、様々なクラウド環境やWeb会議ツールが使用され、それに伴う負荷がトリガーとなり、どこの部門が何のアプリケーションをどれだけ利用しているのか、主に誰が利用しているのかを数値化したいといったご要望が多いですね。Flowを監視する事によりトラフィックの内訳を正しく認識しネットワークの最適化やキャパシティプランニングの基礎資料として役立てていただけます。

また、レポートが自動生成されるので、定例会や障害時の説明にエビデンスとして活用できるというフィードバックをいただくこともあります。

Flowmon提案時の強みや弱みについて教えてください。

強み:コレクタやプローブ、ADSといったラインナップが多いため、お客様の予算感にあった提案をすることができる点、今日においてもプローブ(Flow生成機)はほかのベンダーにはなく、コレクタと併せて提案できることは強みに感じます。また、Flow収集性能が良いので複数のコレクタを必要としないといったところもいいですね。パラメータシートや操作ガイドなどのドキュメントの充実さ、完全日本語表示、開発元とオリゾンシステムズの手厚い提案支援やQAサポート支援といったところもFlowmon販売における強みとして挙げさせていただきます。

弱み: 販売店として強いて挙げるなら、マルチパートナー制で、完全なディールレジストレーション(DR)はなく案件ロックができない点と思います。このあたりは法的な部分もあり難しいことは承知していますが…しかしながら、現状、特に大きな問題になったことはないですし、製品紹介や評価支援などの案件対応度合いに応じて差別化していただいているので、考慮をしてもらっている印象があります。

今後、Flowmonに期待する機能等ありましたら教えてください。

24時間365日の常設機械なので、キャパシティプランニングとして未来予測やトラフィックの増減傾向をサジェストするような機能などが追加されるとより素晴らしい製品になると感じます。その他、最近では色々な製品に導入されているような、音声認識で応答するなんて、少し遊び心ある要素みたいなものもあると面白いかもしれないですね。「Hey Flowmon 今週のトラフィック状況は?」のような感じです。

最後に、意気込みを一言お願いします。

今後もトラフィック可視化のニーズはまだまだ必要とされ続けると思うので、メーカーを交えて、顧客との情報交換などを常に行っていくことがとても大切だと思っています。

イベントや展示会を踏まえて、人と人の対面でのコミュニケーションや情報交換、Webでの情報収集・発信からの反応を把握することで、目先の提案も重要ですが1年先を見据えお客様と日ごろから情報交換を行うことに努めたいです。ニーズがすでにある顧客に対してだけではなく、まだ具体的なイメージを抱いていないお客様に対しても、必要性をアピールし、提案をしてくことで案件につながると考えています。 やはり、生の飾らない声を聴く機会を設けることが大切だと思います。コロナも落ち着いてきたので、顧客と今後より一層このような機会を作っていきたいと考えています。

終わりに

この度、新たな取り組みとして、Flowmonの販売パートナーである東陽テクニカ様にインタビューをさせていただきました。お客様とより近い距離で接していただいているパートナー様の生の声を聞かせていただくことで、改めてFlowmonの強みや弱み、要望機能などについて大変有意義なお話をお伺いすることができました。開発元へのフィードバック等を通じて、これからもFlowmon拡販のフォローアップをさせていただきたいと考えております。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

取材担当:プリセールス 惣田、営業 若月

関連コラム記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

Flowmon ADSポストプロセスの最適化

Flowmon ADSポストプロセスの最適化

2023年4月1日


FlowmonのオプションとなるADS(Annormaly Detection System)により、ネットワークフローから検知される多様なセキュリティーイベントが掌握可能となります。イベントが検知された後は、それに対し解析および対応を取る必要がありますが、このコラムでは弊社の対応手法を例に、その検知後のプロセスについて考察します。

ADSでのサイバー攻撃対応シナリオ

既知のサイバー攻撃に関係する通信先IPアドレスのブラックリストとの照合の他、ADSではネットワークフローから読み取れるマルウエアにより引き起こされる通信状況をパターン化し、さまざまなサイバー攻撃手法を特定することが可能です。これにより管理者にそのイベント通知が送られ、必要な対応をとるための運用を可能としています。ADSにはこのようなサイバー攻撃イベントを検知すると、管理者に通知またはAPI経由で他のシステムへ連携を行う自動機構が装備されています。API連携ではFirewallなどのゲートウエイ製品へ連携し、自動遮断などが一般的な利用シナリオとなっています。

運用の課題

一方管理者へのイベント通知では、その後の対応はセキュリティ対応部門の運用に引き継がれることとなります。あるべき運用フローでは、セキュリティ専門家がそのインシデントの通知を受けると、速やかにそのインパクトの評価を行い、必要な対応を迅速に行うことが想定されています。しかしながら、必要なセキュリティ事象の解析知識を持った専門家がスタンバイし、イベントが発生次第その対応にあたるという体制は、一定規模未満の企業にはかなりハードルが高いという現実があります。弊社の置かれた状況も例外ではありませんでした。


一時期まで弊社では、Flowmonのそれらセキュリティーイベントの発生時の運用は十分なものではなく、イベントの発生から担当者がそのインパクトの調査そして対応にあたるには、かなりのリードタイムを許容せざるを得ませんでした。その結果、Flowmonの蓄積する過去のネットワークフローの調査や、該当事象に関係したユーザーへのヒアリングなども時間を置いてしまったためにやや不確かなものとなり、「単発的な事象であり、クリティカルな問題とはならないと想定されるが、引き続き注視する」など、課題を先送りせざるを得ない結論となった対処事例が少なからずありました。この初動の遅れを回避するための手立てとして、現在社内では以下のようなFlowmon ADSのポストプロセスを実装しています。

初動対応の自動化

サイバー攻撃インシデントの発生した際に、初動の遅れを補うための施策として、まずは問題の発生源となるユーザーへの注意喚起を自動化する仕組みを実装しました。多くの場合「メールのURLを不用意にクリックしてしまう」など、実際の問題発生源となるユーザーのオペレーションに、問題が起因しています。また人に依存する問題の追跡には、そのユーザーの操作記憶に依存度が高いため、時間を空けてしまうことでその問題の追跡も困難となります。これを補う施策として、ユーザーにまず問題状況の通知を速やかに行い、「操作記憶の確保」を求める仕組みが重要となります。


この初動対応の自動化の仕組みでは、その観点から管理者への通知と並行して直接ユーザーへも通知を行い、この「操作記憶の確保」の手当てを行うことが目的となっています。またそれによりユーザーはそれ以降に起こる疑わしい症状に対して、より注意を払うようになり、システムでは証跡の確保が難しい「あれ以降自分のPCのディスクのアクセスランプの点滅が多くなった」などの関連情報の取得も期待されます。

実装概要

現在実装されている弊社のプロセスは、以下のコンセプトを元に設計運用されています。

  • 従来の管理者への通知と合わせ、実際のイベントの発生元(ユーザー)へメールにて対応依頼の行う
  • Flowmonがイベントを検知次第、即座に実際のユーザーに通知する
  • 通知はメールの他、チャットでも警告を行い対応を促す

Flowmonが製品として持つ仕組みにより、当該ユーザーのIPおよびそのイベント詳細が取得されます。そのIPから実際のユーザーを特定し、そのユーザーにメールとチャットによる対応依頼を送るという以下のようなフローになっています。

現実的にはそのようなイベントの発生は稀なため、ガイドなどを作成し常にその対応の必要性を全ユーザーに認識してもらうというアプローチとなると、あまり実践的ではないため、イベントにより送付されるメール自身に必要な指示が明記されている必要があります。またメールだけではタイムリーに注意が払われない場合も想定されるため、業務チャットでもリマインダーが送付されます。

発信されるメールでは、具体的にどのようなサイバー攻撃の疑いがあるのか、どのようなアクションをユーザーにとってもらいたいかを明確に示し、初めて見るそのメールに対してあまり違和感なく対応できる内容を目指しています。

実装時の考慮点と今後の計画

DHCP払い出しの各ユーザーのIPから実際のユーザーへの紐付けは、ユーザーレジストリー(AD)の持つ情報だけでは実現できなかったため、DNSの逆引きで登録されているディバイスホスト名を取得し、そのディバイスホスト名を社内の資産登録情報から所有者個人と関連つける方法がとられています。

個人に紐つかない検証用サーバー機器や事務機器などについては、この登録情報からは個人の紐付けができていないため、現状の仕組みでは管理者扱いのみとなっていますが、これらは固定IPであるため、それぞれの管理部門担当者への直接配信が、今後の拡張項目に含まれます。また社内の資産登録情報に含まれない持ち込みの端末が、一部存在するため、その登録プロセスも含め、その対応が検討されています。

終わりに

イベントに対するシェルスクリプトの起動により、Flowmonではインシデントに対してさまざまな処理が可能となっています。弊社のこの実装ではFlowmon上での負荷を考慮し、外部アプリケーションで必要なロジックを組み処理していますが、その処理内容によりFlowmon上のみでの実装も選択肢となります。サイバー攻撃に対する対処プロセスは、すべての企業で不可避なものとなっていますが、一方それに対する投資はビジネス規模に比例するため、それぞれの企業体制で最適な仕組みを取り入れることが現実的な解となります。

またセキュリティーは全体バランスが重要となり、ユーザーの教育、境界・内部ネットワーク・エンドポイントでの検知防御など、広く対応し平均値を上げることが求められます。 ペネトレーションテストによる基盤のサイバー攻撃への耐性把握や、 GoodAccessなどのアクセス制御システムによる全体的なITセキュリティの担保をご検討ください。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

NDRによるリスク検知の実践

NDRによるリスク検知の実践

2023年5月1日


サイバー攻撃手法は刻々と進化し、それらを活用した攻撃活動を的確に把握することは容易ではありません。ただ外部からのサイバー攻撃は、ネットワーク経由で行われ、そこには何らかの証跡が残ります。一つ一つの証跡は特定のサイバー攻撃に直結するものでなくとも、高い確率でそれらは関連性を持ち、その関連性を見極めることで発生している攻撃を特定することが可能となります。

先に公開されたFlowmon社の解説ビデオ Held for Ransom – Ransomware Detection & Response with Flowmon ADS では、実際の事例からその手法を検証し、そこで使われているサイバー攻撃手法とそれぞれに対するFlowmonでの検知実績について解説がなされています。このコラムでは、NDR製品として高い評価を得ているFlowmon ADSによる、多様な検知シナリオをまとめました。

被害事象概要

ここで例示している実被害事例としては、以下のような経緯と紹介されています。

マルウエアの感染

外出時に被害者のPCが公衆Wifiに接続しマルウエアに感染したことが、発端となっています。

SSL/TLSを使用しない接続は多くはないので、通信の盗聴によるリスクは少ないと予想できますが、DNSスピーフィング(参考コラム記事:模擬攻撃とFlowmonでの可視化事例 )などにより、偽Webサイトへ誘導されマルウエアの感染を許す危険性はあると考えるべきでしょう。

攻撃対象の特定

マルウエア感染したPCを被害者は社内のネットワークに接続すると、マルウエアが社内ネットワーク上の攻撃対象を探索し、RDPを利用している端末と、SAMBAサーバーを特定することになります。

アクセス情報詐取
攻撃対象が特定されると、パスワードスプレー攻撃などでログイン情報を詐取し、端末にキーロガーを仕込み、SAMBAサーバーへのログイン情報(ユーザーIDとパスワード)を詐取する段階へと進みます。RDP端末が、既知の脆弱性BlueKeepへの手当てなどが未対応であったため、コントロールを奪取されてしまいます。
機密情報詐取
詐取した情報によりSAMBAサーバーへのログインが可能となり、サーバーから機密情報を含んだファイルを、被害者のPCへコピーしてゆきます。
情報の持ち出し
SAMBAサーバーから被害者のPCへコピーした対象ファイルを、ファイル転送の検知を困難にする手法で外部への持ち出しを行います。ここではICMPプロトコルを使用し、且つデータを分割し、データをC&Cサーバーへ送り出しています。
身代金の要求
外部へのファイル持ち出しが成功し、最後にそのSAMBAサーバー内の機密情報ファイルを暗号化し、その解凍のための暗号鍵を代償として、身代金を要求するメッセージを表示します。そのファイルの復元(解凍)の重要度に応じ、その脅迫行為への対応を、被害側は判断しなければなりません。

以上の段階を経て、サイバー攻撃が成功したシナリオとなっています。このシナリオを踏まえ、そのそれぞれのステップに対応したFlowmon ADSでの検知状況について、MITRE ATT&CKフレームワークで定義されているフェーズに沿って以降で確認してゆきます。

探索(Discovery)

マルウエアに感染したPCが社内ネットワークに接続されたことで、次のステップに進むマルウエアの動きが開始されます。まずARPスキャンによって、稼働しているホストを洗い出します。次にそれぞれの稼働しているホストに対して、利用しているポートを確認するためにSYNスキャンを実施します。利用しているポートを確認することで、どのようなアプリケーションが稼働しているかの判断が可能となります。この探索活動により、攻撃者はRDPのクライアントとSAMBAサーバーを攻撃対象として確認しています。

これらの活動に対し、Flowmonではそれぞれのスキャンを検知し、イベントとして表示されます。またオープンソースの侵入検知システムIDSとなるSuricataを自身のOS(Flowmon OS)上で稼働させ、インターフェイスを取ることが可能なため、IDSのイベントとしてSAMBAサーバーへのスキャンを検知します。

認証情報へのアクセス(Credential Access)

探索フェーズにより、攻撃対象とするITリソースの特定が完了すると、次にそのシステムへのアクセス情報の詐取に取り掛かります。ここではそれぞれのシステムに特化したログイン情報候補のリストを使用し、パスワードスプレー攻撃が行われます。使用したリストに含まれるログイン情報で、合致するものがあれば攻撃は成功し、そのログイン情報により対象システムへの侵入が可能となります。

パスワードスプレー攻撃は、攻撃者が事前にログイン情報を把握していない場合に、想定されるログインIDおよび想定されるパスワードの組み合わせを、試行錯誤的に試してゆく方法の一つとなります。このパスワードスプレー攻撃もFlowmonにより検知されます。このケースでは、ポート445に対するその攻撃をSAMBAに対するもの、ポート3389に対してのものをRDPへの攻撃として検知しています。

侵入拡大・水平展開(Lateral Movement)

RDPサービスが稼働しているクライアントでは、既知の脆弱性のひとつとなるBlueKeepへ未手当ての場合が想定されるため、その攻撃を試みます。既知の脆弱性への対策が未手当で、攻撃が成功した場合、管理者権限の取得までが可能となります。管理者権限により、ユーザーのキー入力を記録するキーロガーを仕込み、そのユーザーがSAMBAサーバーにログインする際の情報の詐取が実現します。それによりSAMBAサーバーからは、任意の機密情報の取得が可能な状態となります。

またキー入力を盗み取られてしまうことで、様々なシステムやデータベースが情報漏洩などのリスクにさらされることとなります。キーロガー自身はユーザーのPCで稼働するものなので、Flowmonがその動きを把握する対象ではないですが、キーロガーの取得する情報は外部の攻撃者のC&Cサーバーと通信を行うこととなるため、そのC&Cサーバーが既知のものであればブラックリストによりFlowmonの検知対象となります。

入力情報の取得(Input Capture)

一方、Suricata IDSと連携したFlowmonの振る舞い検知機能でも、BlueKeepをターゲットとした攻撃を検知することができるため、これらの活動はFlowmonのイベントとしてレポートされます。

機密情報に該当するデータは、顧客データや製品設計データなど、通常そのサイズも大きなものとなります。そのデータをサーバーから一旦攻撃者がコントロールしている被害者のPCにコピーする段階では、そのデータ通信量も大きなものとなるのが一般的です。Flowmonではこれらを多量のデータ転送として、その異常性を検知することが可能です。単一のIPからの通信量を常にモニタリングし、それにより日常的に妥当な範囲であるかを識別し、その閾値を超えたものについてはイベント通知する仕組みです。

データの持ち出し(Data Exfiltration)

攻撃者がコントロールするPCに機密データをコピーし、最終段階ではそれを外部のC&Cサーバーなどに再度コピーするステップが取られます。この際、データ転送には通常はその目的には使われないICMPなどのプロトコルが使われることがあり、そのような例外的使われ方をFlowmonは検知することが可能です。そのような使われ方では、通常はICMPのペイロードに通常は含まれないデータが搭載されることになります。このペイロードにデータを搭載し、またそれを細分化し複数のICMPに分割して送るなどの状態を、Flowmonは検知しイベント通知を行います。

これと合わせ既知のC&Cサーバーとの通信(ブラックリスト)の把握、およびネットワークセグメント外へのファイル転送(アップロード)を検知します。その後攻撃者はデータの暗号化を行い、身代金の要求の段階に入りますが、その際のSAMBAサーバー上のクリティカルデータの暗号化を “SMBトラフィック振る舞い” により、Flowmonではイベント通知する仕組みを搭載しています。


このようにサイバー攻撃は、さまざまなステージを踏み、そのアプローチ段階から攻撃の目的を達成するまでの一連の流れを形成しています。長い場合は数ヶ月にも及んでこのプロセスは進行してゆくため、その過程で個々のイベントの関連性を認識することが、被害の未然防止の重要なステップとなります。

Flowmonでは、個々の事象に対し様々な検知イベントを提示する機能をご提供していることから、密かに進行する攻撃行動の確実な掌握をご支援することが可能です。

終わりに

ネットワークを経由して進行する外部からの攻撃行動は、何らかの段階を踏み、それぞれについてあるレベルの証跡を残してゆきます。それらの段階の関連性を把握することでその攻撃行動を事前察知できるため、そこに必要な証跡を正確に得ることが重要となり、その観点でFlowmon製品は強力なツールとしてお勧めできる製品と考えています。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

2023年のサイバーセキュリティ展望

2023年のサイバーセキュリティ展望

2023年2月1日


オリゾンシステムズではFlowmonを中心として、さまざまなセキュリティソリューションをご提供しています。刻々と移り変わる世界情勢から、 Flowmon社のホワイトペーパー Cybersecurity Outlook: 2023 を参考に、今後のサイバーセキュリティの展望について考察します。

サイバー攻撃の現状

昨年サイバー攻撃の脅威の増加を経験した組織は、 グローバルで全体の81% となり、 国内でもこの3年間で2.4倍のサイバー攻撃全体の増加が観測されています。また、国内のランサムウエア攻撃に至っては、2020年から2021年で4倍の増加となっています。( ICTサイバーセキュリティ総合対策2022

この背景として、パンデミック以降の在宅ワークの急増で、インターネットへの依存度が飛躍的増加していることが挙げられます。インターネットへの依存度の増大は、クラウドサービスの利用促進を加速させ、さまざまなIaaS/PaaS/SaaSと自社のITインフラも交えたハイブリットIT環境を構成し、それらがインターネット経由でグローバルに無数に接続された世界を作り出しています。

Gartnerによると、パブリッククラウドサービスへの世界的な支出は、 2023年に6,000億ドルに達する と予想されています。

クラウド導入の劇的な増加により、攻撃対象領域が大幅に拡大し、悪意のある攻撃者が侵害するターゲットが増加することで、サイバー攻撃者にとって投資対効果の高いビジネスとして成立する環境が、整ってしまっていると考えられます。

ビジネス化するサイバー犯罪

2020年に発生したSolarWinds製品の自動更新時にマルウエアが仕込まれた 事件 では、 17,000社中実際にバックドアを利用して侵入した組織は、主なアメリカ政府機関を含めて100弱の組織でした。このことから、攻撃者はどこを実際のターゲットにするかを入念に検討し判断していることが推察されます。また一方、17,000社 – 100社 = 16,900社 については、一定期間いつその被害を受けても不思議でない状態だったと言えます。今現在問題が顕在化していないことが安全である保証はない、と言う状態であることは改めてIT担当者のみならず、経営層もそれが企業経営上のリスクとして存在していることを認識しなければなりません。

この事件からも、ランサムウエア攻撃は一時期の愉快犯的なものから、明確な目的を持った犯罪へとフェーズが変わってきていると考えるべきでしょう。日本でも昨年10月に発生した徳島の町立病院に対する ランサムウエア攻撃 では、 攻撃対象が一部の大企業に限らず、データやシステムの継続利用が不可避な企業・団体であれば、その規模や業界を問わない段階に入っていると認識しなければなりません。

ランサムウエア事故に対し対応準備のある大企業をターゲットにすることは、攻撃者にとってはリターンの大きさよりも、そのための折衝などを含めるとあまり効率の良い攻撃活動とは言えません。事故に対する十分な対応が困難な中小企業向けに “高額だが払えないことはない” 金額を要求する手法が、現実的なアプローチとして捉えられていると思われます。

サプライチェーン攻撃事例が増大している現状から、取引先からのセキュリティ施策状況の確認を受けるケースが今後増えてくることが予想されます。また置き換えればそれは単に自社の施策のみならず、自社との取引がある関係先のセキュリティ施策の確認が必要となることを意味します。ビジネス継続性の重要要素として、自社のセキュリティ施策の明確化はより重要度が高くなってくることが予想されます。

セキュリティ人材の欠乏

2025年までに、 推定350万人 分のサイバーセキュリティの未充足の仕事があると見られています。 現在のサイバー人材不足の背後にある要因は多面的且つ多様な背景を持ち、最近のデジタルトランスフォーメーションの流れに乗り、そのスキルリソース不足の問題解決は容易でないものと予想されています。これを補うための施策として、適切なツールとテクノロジーを通じて、限られたスタッフでサイバーリスクを軽減する必要が指摘されています。

セキュリティ対策の実施のきっかけが、USやシンガポールでは経営層のトップダウン指示が50%以上で一位となっている( サイバーセキュリティ体制構築・人材確保の手引き )一方、日本では「自社のセキュリティインシデント」が一位で、”問題が起こってから対策が検討される” というやや文化的な負の側面が窺われます。またセキュリティの人材不足を問題としている割合は、 日本90%、米・豪約10% となっており、かなり以前から見られるこの傾向から、日本のセキュリティ人材不足は改善の見られない状況といえます。

ビジネスの継続性担保

世界経済フォーラムの 2020年グローバルリスクレポート によると、その年の米国でのサイバー攻撃の検出および訴追に至っている割合は、0.05%程度と推測されており、 サイバー攻撃の大部分はその解決に至っていない実態です。このことからも、これらの攻撃自身をビジネスとして支援するCybercrime-as-a-Serviceが広がり、サイバー攻撃のビジネスモデルが成立しやすい環境となっていることが理解できます。企業としては、事後の対応によるリカバリーにかかるコストは、事前の防御のそれを大きく上回ってしまうという構図を認識しなければなりません。 最もサイバー攻撃リスクから保護された企業では、自動監視ツールを展開し、そこで捉えられたイベントに対し迅速にセキュリティスペシャリストが対応できる警戒態勢をとっています。

またロシアのウクライナ侵攻は、サイバー攻撃のさらなる触媒となっており、その事前の防御への備えの重要性は日々高くなっています。 米国とEUの最も重要な今現在の共通の懸念は、親NATOの国や組織に対する継続的な分散型サービス拒否(DDoS)攻撃を展開する親ロシアグループであるKillNetと言われており、 日本もそのターゲット として宣言を受けていることから、 そのリスクへの備えはますます緊急度を増していると言えるでしょう。

2021年には、アメリカ合衆国の576の企業がランサムウェアによって侵害され、損失は2023年までに世界で 300億ドルを超える と予想されています。 ヨーロッパでも 医療関連機関へのサイバー攻撃 は頻発しており、 日本の医療施設へのサイバー攻撃も多く耳にするようになっています。

企業はより優れた予防策と攻撃対応への活動を通じて、サイバーインシデントの影響を低減することに、ビジネスのみならず社会的な責任を負っています。

2021年に米国の36州が新しいサイバーセキュリティ関連の法律を制定しました。中国とロシアでは新しいデータローカリゼーション対策を制定し、インドやEUなどの国々は、インシデント報告要件の詳細レベルを拡大または追加しています。今後様々な取引先と直接・間接に連結されたビジネス環境では、自社努力のみによる安全担保は事実上不可能となり、日本においても、それを踏まえた法整備や規制強化される可能性が考えられます。

急務となる多層防御の展開

一般にシステムのセキュリティレベルは、その接続されたシステム群の最も弱いセキュリティレベルで評価されます。利用するクラウドサービスおよび自社リソースもふくめ、その一部にでも外部からの侵入を許す脆弱点が存在すれば、その企業のセキュリティレベルは、その脆弱点により評価されることとなります。またこの注意すべき脆弱点はIT機器やソフトウエアだけではなく、脆弱点を完全に排除することは実質的に不可能な人間的要素(ユーザー自身)も含まれます。どれほど外部メールに対して警戒しても、メールに含まれるリンクをクリックしてしまう、添付ファイルを開けてしまうというユーザーの行為は、100%排除することは困難です。

また多要素認証(MFA)による認証の強化や、VPNの展開によるネットワーク経路の安全性の確保も、重要なセキュリティ保護施策と言えますが、すでに侵入を許してしまったマルウエアへの対抗手段とはなり得ません。

これら多様なリスクの低減する手段としては、同様に多様なリスク回避の施策が必要となります。外部との境界、ユーザーやアプリケーションの接点となるエンドポイント、そしてそのデータの経路となるネットワーク、それぞれの層においてバランスの取れた防御策の展開が求められることとなります。

終わりに

セキュリティ専門家の育成は、業種に関わらず重要度を増し、またツールなどの面でもより少ない労力で効果的にセキュリティ対策を実施できるための仕組みの整備が、それら専門家の手当てと並行して求められます。また、単に自社での取り組みに括らず、東京都の 中小企業向けサイバーセキュリティ助成金 など、公共の財政支援などもその展開を円滑に進めるために利用されると良いでしょう。

サイバー攻撃への対応がより緊急度を増すと予想される2023年では、取引先からの要求や経営層でのリスク認識の高まりから、正確なリスク評価およびそれを踏まえた対応策など、具体的なセキュリティ施策の明確化が求めらえるものと予想されます。

オリゾンシステムズのソリューションをご検討ください


これら2023年の予想される課題に対し、オリゾンシステムズのご提供するソリューションでは、多角的な課題解決をご支援いたします。

Flowmonでは多層防御が不可避となるIT環境において、 ネットワークレベルでのリスク検知 を実現し、攻撃行動の早期検知を可能とします。また、既知の攻撃手法のみならずセロデイ対応など、専門家による解析が必要となる事象の特定をご支援いたします。セキュリティ人材の欠乏を補う、有効な手段として適用をご検討ください。 また自社のITインフラのセキュリティレベルの掌握をご支援する、 ペネトレーションテスト もサービスとしてご提供させていただいております。現状のリスクを正確に把握することで、セキュリティ投資への最適化を図ることが可能となります。その他、IPレベルでの統合アクセス制御をご提供する GoodAccess など、様々なセキュリティソリューションをご検討いただけます。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

コラム記事:
Flowmon製品のお客様評価
ランサムウエア検知でのADSのシナリオ
ランサムウェア脅威への対策


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

Flowmon製品のお客様評価

Flowmon製品のお客様評価

2022年11月30日


Flowmonはチェコ共和国Brno市マサリク大学のリサーチから商用化された製品で、本国チェコ共和国をはじめ中央ヨーロッパ諸国で特に広く普及しているネットワーク製品となります。チェコ共和国の第二の都市となるBrnoは、IT関連の企業活動が盛んな都市としても知られており、”中央ヨーロッパのシリコンバレー” と称される地域性を持っています。

そのFlowmonの開発販売元となるFlowmon Networks a.s.は、2020年のKemp Technologiesによる買収、翌年の2021年のProgress Softwareによる買収を経て、全世界への販路を拡大してきました。

WhatsUp Gold

製品としてのFlowmonも、よりグローバルにかつ大手のお客様にご利用いただくようになりました。全世界で1,500社・組織を超えるお客様にご利用いただいているこのFlowmonについて、お客様事例 からどのようにお客様にご満足いただいているのかを、見てゆきたいと思います。

高い評価を得ているFlowmonの優位点

掲載されている42件の事例から、まずネットワークの可視化について優位性が挙げられています。KBC社様の以下のコメントが代表的なものとなっています。

”In case of an issue the tool allows very fast and efficient troubleshooting by visualize the traffic that is causing the problem.”

問題発生時の検知及びその原因判別に関して、高い実用性を発揮している点について、一様にご理解いただいていることが事例全体を通して確認できます。

ネットワーク可視化については、オリゾンシステムズのサイトに公開されている日本国内事例でのお客様のコメントからも、等しく伺える内容となっています。 NTTコムウエア様から は、「ネットワークの運⽤時に求められるネットワークの可視化その機能やサポート」に対しご評価をいただいています。 また 理化学研究所様から は、 ネットワーク可視化の優位性により「導入後1カ月で本格稼働を開始」「何かインシデントが起きた時に、事象を特定するのは非常に面倒な作業…Flowmonで収集したネットワーク全体のフロー情報を相関分析的に利用することで、一発で特定できるようになります。」と、その高い投資対効果についてのお話も伺えています。

この「ネットワーク可視化」という基本優位性に加えて、Flowmonサイトの掲載事例で示されている高い評価をいただいてきた点としては、セキュリティオプション(ADS)、スケーラビリティー・処理性能、そして導入・運用が挙げられます。

ADS (Anomaly Detection System)

この事例集の半数以上でADSが使われていることが、まず特色として挙げられます。ADSはFlowmonのネットワーク解析を行う本体への、アドオン・オプションの形で提供されます。通常のセキュリティソリューションの場合、アンチウイルスのようにエンドポイント機器に導入が必要なもの、境界保護としてファイアーウォールや関連ネットワーク脅威検知機器を導入する必要があるものなどとなります。一方、ネットワーク型のFlowmon ADSでは既存の環境のミラーポートより取得したデータを自動的に解析するため、既存の環境にはほとんど手をかけることなく、さまざまなセキュリティイベントを検知し始めます。 Bornego College様より のコメントにあるように、導入直後からセキュリティリスクの検知が実行された、その即効性をご理解いただいています。

“The results showed an alarming number of infected mobile devices, with over 80% infected with malware. The most notifications applied to suspicious connections from BYOD.”

国内のお客様によるPOC(事前導入検証)でも、さまざまなセキュリティイベントの検知から、Flowmonの導入を決断されるケースは多くみられます

WhatsUp Gold

ADS解析画面

ADSでは、問題事象の発生前のさまざまな兆候を検知し、イベントとして通知が可能なため、既知の攻撃手法にとどまらず、リスクのあるネットワーク上の動きを”振る舞い”として捉え、問題発生の事前回避を行うことも可能です。

高いスケーラビリティーと処理性能

Flowmonでは大規模ネットワーク構成に対応すべく、分散構成が用意されています。

Allison Greco社様 では、ネットワークデータを収集しフロー形式に変換するFlowmon Probe、およびそのフロー形式データをもとに解析を行うFlowmon Collectorをそれぞれ10台以上配置し、それらの統合的な管理を可能とするDistributed Architecture (DA)構成をご利用いただいています。

“12 Kemp Flowmon Probes and 10 Kemp Flowmon Collectors of various sizes and roles within a Distributed Architecture

事例として公表されているこれらのお客様以外に、より大規模なシステムをこのDistributed Architecture構成で管理されているお客様もおられます。また日本国内でもこのDistributed Architecture構成をご利用のお客様は多く、大規模構成への対応は昨今では多くのお客様で必須の要件となりつつあるようです。

WhatsUp Gold

Distributed Architecture構成モデル

また、昨今の高速化したネットワークの監視においては、それに対応する十分な処理能力が必須のものとなってきています。膨大なネットワークデータを取りこぼしなく収集し、的確に分析する性能がネットワーク解析製品の重要な選択評価ポイントとなっいます。

ヨーロッパの 大手通信会社Orange社様 の以下のコメントにあるように、複雑なネットワーク環境における高度な要件に対し、必要十分な対応が必須となっています。

“Visualize and analyze network traffic with high intensity (10Gbps or more) observe network traffic characteristics according to particular applications, subnets, communication between servers.”

また研究教育機関となる GÉANT様 では、特に以下のように処理性能の高さについてコメントをいただいています。

“Over 1,000 terabytes are transferred every day… 100 Gbps connectivity services are being operated across the core network that is designed to support up to 8 Tb/s.

Flowmonでは通信業界のお客様のご利用も多く、高負荷なネットワーク要件への対応について、良い評価をいただいている状況がご確認いただけます。

導入の容易性・運用の利便性

Flowmonは既存の環境を変更することなく、スイッチ機器のミラーポートに接続するだけで、データを取得・解析し始めることから、導入が極めて容易な製品と言えます。そのため製品購入判断前の事前検証(POC)も実施しやすく、購入されたお客様の半数以上が、POCを行いその機能を確認したのちに、導入の判断をされています。また導入のみならず、運用の容易さに関わる多くのお客様のコメントも、この事例集からうかがえる特徴の一つといえます。

Flowmon gives KBC with its Flow based Network Performance Monitoring tool a great overview of the dataflow metrics in the network so that the network health can be easily assessed.“(KBC社様)

“I appreciate the ease of deployment in the network, the quick training of our technicians as well as good support.”(VEOLIA社様)

国内でも、販売店に推奨されるままに導入を行ったものの運用難易度が高く、導入製品を有効活用できていないというケースはしばしば耳にするところです。一方Flowmonの既存ユーザー様では、お客様側で諸設定を行い、分析やレポート機能をご活用いただいているケースが多数見られます。直感的なWebインタフェースにも定評があり、多くのお客様が自身で製品を使いこなされていることから、これら多数のお客様の肯定的なご意見に表れているようです。

国内でも 岡三情報システム株式会社様から 「導入後はシステムやサービスの安定運用を支えるツールとして社内で広く利活用することを念頭に置いていましたので、操作のわかりやすさも大切でした。既存のネットワーク環境に組み込む際に影響が少なく、早期に展開できる点もよいですね。」と、その導入の容易性・運用の利便性についてコメントをいただいています。

オリゾンシステムズでは、製品のそれらの特徴も活かしながら、より高いお客様のご満足に向けて、導入・運用に関する様々なご支援をご提供しています。

終わりに

既存のネットワークに実質構成変更なく導入でき、そのままネットワークの可視化が開始できる投資対効果の高さは、すべてのお客様に共通してご認識いただいているFlowmon製品の特徴となっています。事例の内容からも分かるようにセキュリティオプションとなるADSを多くご利用いただいており、Flowmonの有効性は広く多くのお客様に共通してご支持いただけているものと考えられます。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

事例集: 日本国内導入事例
Youtubeビデオ: Find the root cause of slow application experience
Youtubeビデオ: How to stop ransomware attacks

Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

ランサムウェア脅威への対策

ランサムウェア脅威への対策

2022年10月28日

このコラムはFlowmon社ブログ Battle the Ransomware Scourge with Deep Network Insight をもとに構成されています。

ランサムウエアの現状

ランサムウエアは、1989年の世界保健機関AIDS会議の際に、参加者が被害を受けた “AIDS Trojan” により初めてその存在が認識されたと言われています。生物学者である Joseph L. Popp は、同会議の参加者20,000人に「HIVに感染している可能性を判断するためのアンケート」が入っているとして、フロッピーディスクを送りました。そのディスクに組み込まれていたトロイの木馬形式のマルウェアによってハードディスク内のデータが暗号化され、その解除のため189米ドルの支払いが要求されたというサイバー犯罪です。

AIDS Trojanの身代金要求メッセージ

AIDS Trojanの身代金要求メッセージ

このAIDS Trojanは共通鍵暗号を使い、使用されていたプログラムからその暗号鍵を取り出すことができたため、大きな被害とはなりませんでしたが、その後ランサムウエアはC&Cサーバーとの通信や公開鍵暗号の利用などで、より高度なサイバー攻撃へと進化しました。またランサムウェアによる攻撃の仕組みを提供する Ransomware as a Service (RaaS) などの出現により、自身では高度な技術を持たない攻撃者までもがランサムウェア攻撃者となることができます。このRaaSにより任意のターゲットへのランサムウェア攻撃が比較的容易なものとなり、ビジネスモデルも確立されつつあります。

一方、ランサムウェア攻撃への対応もまた、新たなビジネスを確立しています。重要なデータやプログラムが暗号化され、甚大な被害となる場合には、要求された金額を支払うと言う選択肢も検討されますが、これは更なる被害を誘発する危険性があり、また仮に身代金を支払ったとしてもデータやプログラムが復旧されないケースも十分考えられます。例え保険などにより補填可能な金額であったとしても、攻撃者の要求に応じることは賢明ではないでしょう。

増大するランサムウェア被害対応コスト

Sophos社の調査 Sophos State of Ransomware Report 2021によると一件当たりのランサムウェア平均被害額は $1.85 Million(約2億7千万円)と算出されており、それは前年の $761,106(1億円強)から、かなりの増大を示しています。

これらの費用は、復旧のための身代金の支払い、ITシステムが使用できなくなった場合のビジネスの中断に関連するコスト、通常はITシステムによって制御される機械やその他のプラント及びデバイスの運用ダウンタイム、復旧期間中のスタッフの残業代の支払いなど、ランサムウェア攻撃から回復するために必要なすべての活動をカバーしています。また別の2021年の数値では、実際の身代金の平均支払い額はわずか 170,404ドル(約2,400万円)でした。このことから身代金の支払いよりもむしろ、データの復旧や業務停止期間により多大な費用が費やされていることがわかります。

こちらのブログWhat is Ransomware and How Do I Stop It では、ランサムウェアとは何か、それを止めるにはどうすればよいかについてまとめられています。

ランサムウェア被害の事前阻止

警報システムを装備している家を、空き巣や強盗が避けるということは想像できます。同様に、サイバー攻撃においても、高度なセキュリティポリシーで運用されている環境では攻撃の難易度が上がるため、敬遠されることとなります。ソフトウエアは可能な限り最新のバージョンで使用する、侵入検知システムやデータ保護を実装し攻撃難易度の高い環境であることを対外的に示すことが、ランサムウェア被害の事前阻止には有効な方法となります。

ランサムウェア攻撃は、他のサーバー攻撃と異なり、フェーズが進行して初めて発見されるケースが大部分を占めます。よって被害を防ぐために、攻撃段階での検知と対応が重要となります。フェーズが進行するまでの間、及び、検知がなされ、セキュリティ担当者が対策を実施するまでの間は「滞留時間(dwell time)」と呼ばれ、マルウェアの種類によっては数か月かかることもあります。ランサムウェアでは、ブログ What is Ransomware and How Do I Stop Itにあるように、この滞留時間が数週間と言われています。

Flowmonによるランサムウェア対応

その滞留時間で速やかにランサムウエアを検知すべく、Progress Software の Flowmon Anomaly Detection System (ADS) は、データが暗号化されて身代金が要求される前の初期段階で、ネットワーク検出・応答機能を提供し、進行中のランサムウェア攻撃の兆候を特定することができます。様々なトラフィックから検出された異常や、その他のランサムウェア指標を可視化することで、セキュリティ担当者は、ランサムウェアがネットワークに侵入したことを把握することができます。また、イベントを検知した後は、その証跡を辿ることで、感染経路を確認することも可能です。Flowmon ADSでは機械学習、行動パターン、適応ベースライン、シグネチャー等々を複合的に適用し、ランサムウェアの活動を特定する実装がなされています。

Flowmonのお客様からは、このような早い段階での問題事象検知のメリットについて、多くコメントをいただいています。

お客様コメント

お客様コメント

その一つはSIEMとのインテグレーションに関する ブローシャーに掲載されている Vittorio Cimin 氏の「Flowmonにより、内部ネットワーク内の脅威と悪意のある動作を明らかにすることができています。そして最も重要なものとしては、インシデント解決時間が大幅に短縮された点が挙げられます」というものが代表的なコメントとなります。

ランサムウェア防御に向けた基本事項

攻撃を阻止するまたは攻撃を受けても回復可能な手立ての整備が、ランサムウエア対策の重要な基本事項となります。

バックアップの設定

ランサムウェア攻撃では、重要なデータやプログラムを暗号化し利用不可とすることで身代金要求などを行います。そこで重要となるのが、比較的新しく、かつ信頼性を担保したバックアップの確保となります。いかなる時点であっても、データなどが利用不可となった際には、業務を復旧できる状態を担保する必要があるので、その業務に応じたバックアップのスケジューリングとそのバックアップの信頼性の確認が重要です。またバックアップ自身も攻撃者の標的となりうるため、バックアップデータの物理的または認証などによる論理的隔離も重要なポイントとなっています。

境界防御の徹底

サーバー攻撃に対する防御はランサムウェアと同様に、多層防御が基本となります。ファイアーウォール、IDS/IPS、セキュリティ機能を搭載したロードバランサー製品など、境界防御は一次防衛の要であり、外部からの侵入阻止だけでなく内部に侵入したマルウェアの外部通信を阻止する上で重要な役割を果たします。またWebアプリケーションは一般的に更新頻度も多いために、脆弱性を含んでしまう機会が多い点も注意点となります。WAF(Web Application Firewall)により、外部からのWebアプリケーションへの攻撃検知・阻止を実装することができるため、セキュリティ環境整備での優先項目と考えると良いでしょう。

Progress Kemp LoadMaster は、OWASP Top 10をカバーするWAF機能を装備したロードバランサー製品で、ユーザー認証やアクセス制御など広くセキュリティ機能を装備したリバースプロキシ製品としてもご利用いただけます。

ネットワーク検出ツールの利用

昨今のマルウェア防御で重要な役割を果たすものが、ネットワーク層での異常検知です。既知の攻撃パターンであれば境界防御やエンドポイント防御などでの対応も実効性が高いですが、ゼロデイなどその攻撃手法が認知されていないものに対しては、攻撃の初期段階から一連のイベントの繋がりとしてリスク事象を炙り出すアプローチが、有効な手立てとなります。それを実現する為、Flowmon ADSでは、200を超えるアルゴリズムによる分析でネットワークトラフィックに潜むさまざまな攻撃活動を検出します。

振る舞い検知機構

マルウェアは境界防御を回避しセキュアゾーンに構築されたシステムへ侵入が成功すると、C&Cサーバーと通信をしながら、攻撃対象となるシステムを絞り込み侵入を試みます。これは一般的なランサムウェアの侵攻シナリオです。Flowmon ADSでは、その際に検知される様々なネットワーク上の動き(振る舞い)から、攻撃と疑われる兆候を特定します。

一例として、リモートデスクトップでの不正ログインが挙げられます。セキュアゾーンに侵入した後、攻撃者はリモートデスクトップのサービスが有効化されているシステムを発見すると、辞書攻撃によりそのシステムへのログインを試みます。そのシステムが重要なデータを保有しているシステム自身への高いアクセス権限を持つ場合には、そのデータを暗号化し身代金要求へと進むことが可能となります。Flowmon ADSでは、このような攻撃段階で行われるリモートデスクトップのサービスへの辞書攻撃を、検知することが可能となっています。

ADSのシステム検知定義

ADSのシステム検知定義

Flowmon ADSでは様々なネットワーク上の振る舞いに対して、それらを検知する豊富なシステム定義を用意し、新たな手法も含めた攻撃兆候の発見が可能となっています。

終わりに

ランサムウエア攻撃では、通常業務に重大な被害を与えるデータなどを対象とする場合が一般的です。業務の回復を最優先とせざるを得ない状況から、攻撃者の要求を受け入れざるを得なくなり、その結果、事前防御にかかる費用を大きく上回るコスト負担となってしまうのです。ランサムウェア攻撃がビジネスモデルとして成り立つ環境が整いつつあることを認識し、また年々増大するランサムウェア攻撃被害の現実から、ビジネス規模に応じた対策が求められています。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

Youtube動画:How to stop Ransomeware attacks
コラム記事:ランサムウエア検知でのADSのシナリオ
コラム記事:模擬攻撃とFlowmonでの可視化事例

Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

サプライチェーン攻撃とFlowmon ADS

サプライチェーン攻撃とFlowmon ADS

2022年9月30日

サプライチェーン攻撃は、高度なサイバーセキュリティを構築している大企業への直接の攻撃を避け、セキュリティポリシーの比較的低い関連企業から侵入し、最終的に大企業の情報資産を狙うというシナリオが代表的な例となります。自社の被害にとどまらず、取引先の甚大な被害につながることから、ビジネス的インパクトは計り知れません。このコラムではWebセミナー Anatomy of a Supply Chain Attack Detection and Response で説明されているサプライチェーン攻撃とFlowmon ADSによる対応を解説します。

この想定シナリオでは、コールセンターのオペレーター向けのWebUIを提供するアプリケーションがDMZに配置されおり、そのバックエンドアプリケーション(Ubuntuベース)がセキュアゾーンに置かれている想定です。それぞれの攻撃手法のシミュレーションとそれに対するFlowmonの検知について、詳細に解説をしています。

攻撃シナリオ

当シナリオでは、2020年に発生した大きなサーバー攻撃事件を元としたものとなっています。その事件では、ある汎用アプリケーションのソフトウエアが自動更新により、マルウエアの取り込みが可能な状態となり、約17,000社の当該製品ユーザーがその攻撃リスク下に晒されることとなリました。実際にそのマルウエアによるバックドアを利用して侵入被害を受けたのは、米国政府機関など100社弱と言われており、攻撃対象を絞り込んだ巧妙なサイバー攻撃と考えられています。

このWebセミナーでは 攻撃者によって悪意のあるコードを埋め込まれた「汎用アプリケーション」を、コールセンターが広く利用するWebアプリケーションと定義しています。次に、”リバースシェル” の仕組みを利用し攻撃者の端末からの当該Webアプリケーションの稼働するサーバーの遠隔操作を可能とするシナリオとなっています。 まず攻撃者は悪意のあるコードを埋め込んだ汎用アプリケーションが、悪意のあるコードを含んだアップデートが完了されるのを待ちます。その後攻撃対象の絞り込みを行い、機密情報の詐取や業務妨害など、具体的な攻撃行動に移っていきます。

システムへの侵入と遠隔操作

まずオープンソースのネットワークスキャンツールである、 Nmap を利用し、一定のサブネットの範囲で443ポートを解放している、攻撃対象となる企業のWebアプリケーションを突き止めます。ここではURL形式でデータ転送を行うツールとなる cURL で発行した head リクエストへの応答から、対象のWebアプリケーションが、攻撃者が埋め込んだ脆弱性を持ったアプリケーションであることを確認します。次に攻撃者は、外部から特定の httpリクエストを送ることで、当該コードを起動します。その起動されたコードにより、攻撃者の端末から、リバースシェルの仕組みを利用した遠隔操作を可能としています。

Webサーバーの検出

Webサーバーの検出(拡大図

Webアプリケーションの確認

Webアプリケーションの確認(拡大図

ここでFlowmon側の把握状況を確認してみます。Flowmonはこの Nmap によるTCP scanを検知します。TCP scan自身は特にインターネットに開放されたサーバーでは日常的に受ける動きですが、どのIPおよびポートが外部に開放されているかについては、常に把握しておくべきです。また攻撃者の端末と交信が発生した際に、それが既知の攻撃者として認知されているものであれば、Flowmonのブラックリストにおいても検出が可能です。

TCPスキャンの検知

TCPスキャンの検知(拡大図

攻撃者の既知のIPを検知

攻撃者の既知のIPを検知(拡大図

このように被害の発生する前段階の攻撃行動を、Flowmonによって炙り出すことが可能となっています。検出される内容によっては、該当する通信を即座に遮断するなど、自動化ソリューションと組み合わせることが可能です。Flowmonでは様々なインテグレーションを提供しており、様々な機器と連携が可能です。

情報資産の詐取

汎用アプリケーションのサーバーに対する遠隔操作が可能となった後、更なる攻撃を展開するため、攻撃者はさまざまな関連ツールもダウンロードします。その後、ARPスキャンにより企業イントラネット内のアクティブなシステムを確認します。確認されたシステムの中で、侵入できる可能性があるものについては自動試行ツールを利用しよりログインを試みます。また既知の脆弱性への手当てが未完了な可能性を踏まえ、DNS SIGRed脆弱性を利用した攻撃を試みます。この脆弱性により、Active Directoryサーバーのリモート管理者権限が、攻撃者に提供される危険性があります。管理者権限を得た攻撃者はWindows Defenderを停止し、更なる巧妙な攻撃へ攻撃手法を移行していきます。

辞書攻撃の実施

辞書攻撃の実施(拡大図

DNSの脆弱性を利用した攻撃活動

DNSの脆弱性を利用した攻撃活動(拡大図

辞書攻撃はターゲットとするシステムのクレデンシャル情報を特定するため行われます。Flowmonでは、DICATTACKタイプの振る舞いパターンで検出します。またDNS SIGRedの既知の攻撃パターンに対しても、攻撃パターンが登録されている場合、Flowmonに認識され、イベントとしてレポートされます。

辞書攻撃の検知

辞書攻撃の検知(拡大図

既知のDNS脆弱性への攻撃の検知

既知のDNS脆弱性への攻撃の検知(拡大図

これらの攻撃活動によって、重要なシステムの管理権限が奪われてしまい、機密情報の詐取やシステムの運用妨害などの実被害に直結します。

データの持ち出し

企業の機密情報を詐取するために、外部と接続があるWebアプリケーション・サーバーにデータ転送し、通常はファイアーウォールに制限されない(DNSなど)通信プロトコルに偽装し、データを外部に転送する手法をとります。

異常な大量データ転送

異常な大量データ転送(拡大図

DNS通信を偽装したデータ転送

DNS通信を偽装したデータ転送(拡大図

データの大量転送については、通常のトラフィック量から際立って多いデータ量の転送が発生した時、イベントとして、検知が可能です。またペイロードに、大量のデータを搭載することが想定されていないプロトコルを利用してのデータ転送なども、異常な通信として検知します。

異常な大量データ転送の検知

異常な大量データ転送の検知出(拡大図

DNS通信を偽装したデータ転送の検知

DNS通信を偽装したデータ転送の検知(拡大図

データの転送が発生した際、通信データ量を通常データと比較し、プロトコルとしての正常性の評価から、問題となるトラフィックを把握し、警告を発報することがFlowmonでは可能です。

概要の分析と対策

様々なフェーズにおける不正な振る舞いから、攻撃要素を把握することで、情報の詐取や運用妨害などの実被害が及ぶ前に、攻撃を阻止することが可能です。これら一連のイベントを、Flowmonでは体系化されたMITRE ATT&CKフレームワークでの位置付けを明示することができるため、中長期的な防衛戦略の重要な指標として参照することができます。

MITRE ATT&CK

MITRE ATT&CK(拡大図

サイバー攻撃の流れと手法を体系化したフレームワークであるMITRE ATT&CKのモデル分布を利用して、現状のシステム環境の潜在的な盲点を確認できます。このフレームワークを利用することで、攻撃者対策などへの活用が可能です。

終わりに

このようなサプライチェーン攻撃により、情報の詐取にとどまらず、ファイルシステムの破壊や重要データを利用不可能な状態とする業務妨害など、様々な被害が懸念されます。サプライチェーン攻撃では、自社のみならず取引先にも損害を与えかねないため、セキュリティの投資対効果もその規模での評価検討が必要となります。

このコラムでは、攻撃のシミュレーションによるシナリオですが、冒頭にもあるようにこの手法は実際に使われたものであり、技術的にも実行可能な範囲のものとなっています。今後より組織化・巧妙化しつつあるサイバー攻撃に対し、それを検知し阻止する多重の防御体制が求められています。ネットワーク層での様々な分析機能を提供するFlowmonは、網羅的なセキュリティ対策を実現するうえでほかのソリューションではカバーできないネットワークのセキュリティを提供します。高度なセキュリティポリシーを構築する為、ご検討いただきたい製品です。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

コラム記事: ゼロトラストを支えるFlowmon
コラム記事: ランサムウエア検知でのADSのシナリオ
コラム記事: 模擬攻撃とFlowmonでの可視化事例

Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)