>>2014年9月1日更新

情報漏洩対策の観点から見るFlowMon ADSによるアノマリー検出機能の有効性(2/4)

先日発生した某社の個人情報漏洩事件で学ぶ必要な情報漏洩対策とは?情報漏洩対策の観点から見る当社の製品FlowMon ADSによるアノマリー検出機能の有効性について検証します。



FlowMon ADSを利用するメリット1:脅威の検出

脅威の検出

それでは、ADSを適用していた場合はどうでしょう。
ADSは、52種類の方法により通信フローを分析し、通常と異なる振る舞い、急に大量のデータをダウンロードする、P2Pなどの危険なプロトコルを使用する、などの事象を検知すると、管理者に通知します。
ADSが提供している検出の種類とその内容については、「FlowMon ADSのセキュリティ検出機能」をご確認ください。

(注)P2Pとは
peer-to-peerの略で、PC等の各ピアがデータを保持し、 他のピアに対して対等にデータのアクセスを行う自律分散型のネットワークモデルで、ノード間で直接情報の転送が可能なことから、データの不正利用に使用されることがある。






先日の事件のような、大量の個人情報をダウンロードする、などの日頃と異なったパターンの通信量があると、FlowMon ADSは何らかの脅威の可能性があるとみなし、報告します。
また、サーバへのアクセスの監視をブラックリストにて監視することも可能で、警戒を要する人物からアクセスが有った場合も報告します。

FlowMonによる振る舞いをネットワーク側で監視をしていれば、ダウンロードなど通常と異なる通信パターンを検知し報告することが可能であり、いつも行動が監視されているということは抑止効果としても有効です。
コレクタ/ADSは全ての通信ログを保持しており、誰が、何時、何処にアクセスしたかの全ての通信ログを記録しています。
従って、犯罪が起きた場合、この通信ログを解析することで、犯罪の解決を速やかに行うことが出来ます。

図1 FlowMon ADSの構成例

図2 FlowMon ADSの構成例
(注)本構成では、TAPを使用した構成について示しましたが、TAPを使用しない構成、スイッチのSPANポート(コピーポート)を使用する構成も可能です。
また、ルータ/スイッチがNetFlowを送出する機能を有する場合は、その機能を有効にして、プローブを使用せず直接コレクタ/ADSに送る方法もあります。