セキュリティ

企業のICT環境への巧妙な手法を用いた不正アクセスなど未知のセキュリティ脅威をリアルタイムに検知する

Correlation Log Analysis (CLA)

セキュリティオペレーションセンター

SIEM

ブラックリストとの自動照合

NTT Com独自ブラックリスト

セキュリティ運用基盤

独自分析ロジックによる脅威抽出

詳細分析

検知

リスク分析官

お客さま拠点

インターネットGW

クライアントPC 重要情報・機密データ

セキュリティ機器

IPSFW アンチウイルス

非セキュリティ機器

Proxy DNS

悪性サイト

攻撃者

未知の脅威は通過

既知の脅威を検知

ログ収集

過去に特定されている攻撃やマルウェア（＝　　　　　）はIPSやウイルス対策製品で検知可能

昨今の巧妙化する攻撃では、検知されない新しい攻撃手法やマルウェア（＝　　　　　）が使用されるため、新たな対策が必要

Proxyや DNS などの非セキュリティ機器のログも監視・調査対象とする独自分析ロジックにて、未知の脅威を検知

既知の脅威

未知の脅威

◆

◆

Copyright © 2016 NTT Communications

お問い合わせ先

ホームページ www.ntt.com/business/services/security/security-management/wideangle.html2016.09A1207092メールアドレス gm1-sales-ms@ntt.com

●記載内容は2016年9月現在のものです。●表記のサービス内容は予告なく変更することがありますので、お申し込み時にご確認ください。●記載されている会社名や製品名は、各社の商標または登録商標です。

NTT Comはここが違う！

段階を踏み時間をかけて行われる攻撃を攻撃パターン抽出や長時間監視で見逃しません。（800以上の分析ロジック（2016年9月末時点））

NTT研究所のハニーポットを活用した独自ブラックリストにより、悪性サイトとの通信有無を検知します。

リスク分析官の最新の知見を定期的に分析ロジックに反映させることで、日々巧妙化する攻撃手法を効率的に自動検出でき、リスク分析官個々人のノウハウをGROC全体で共有、安定した分析レベルを実現します。

セキュリティ運用基盤の自動検出とリスク分析官オリエンティッドの詳細分析機能（PCAPデータの呼び出しなど）で迅速な詳細分析報告を実施します。（リスク分析官がインシデントと判断してから目標15分）

グローバル規模の、他の国や地域での流行や新手法の知見を分析に活用し、脅威の見逃しを低減します。

セキュリティ運用基盤および分析ロジックは独自開発であり、市販されていないため、分析ロジックの解析や検出回避行動を防止できます。

(1) IPSのシグネチャにて、通信 ① ② ③ を検知 （それぞれ単独では、誤検知と看過されるアラート　　　　）

(2) SIEMの分析ロジックにより、 の組み合わせを「攻撃 （キルチェーン）」であると判定（　 ）

(3) (2)をトリガーにリスク分析官が分析を開始。Proxyログから 生成されたアラート（　 ）をチェックし、PCAPデータを解析、 ファイルダウンロード ③ を確認し、攻撃を確信

(4) (3)を実施中にProxyログ内のアクセス先URLとNTT Com 独自ブラックリストとの照合をSIEMが行い、C&Cサーバーとの 接続 ③ を検出( )

(5) (3)および(4)の結果を踏まえて、リスク分析官が攻撃の全貌 を把握し、対処方法をお客さまに提案

ドライブ・バイ・ダウンロード攻撃を「セキュリティ機器：IPS」および「非セキュリティ機器：Proxy」のログを相関分析（CLA：Correlation Log Analysis）することで検出した事例

SIEM

セキュリティオペレーションセンター

侵害された一般のWebサイト

脆弱性調査サイト

攻撃サイト

マルウェア配布サイト

C&Cサーバー

ログ／アラート

ログ収集

お客さま拠点

クライアントPC

Proxy

IPS

FW

①～④：通信の順番

①② ③ ④

❶❷❸

❶❷❸

❹

❹

❺

❻

❻

リスク分析官

詳細分析

分析ロジックによる脅威抽出

NTT Com独自ブラックリスト

ブラックリストとの自動照合

リダイレクト

《未知の脅威の検知事例》

1

5

23