Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
会社概要
Decision Group Inc.(以下DG)は、1986年からIT業界で27年歴史と様々なビジネス上の経験を持ち、ネットワーク・フォレンジックビジネスと産業オートメーションの2つの事業分野で活動しています DGは、企業、政府部門、警察等執行機関、通信サービスプロバイダーに強力なサイバー·セキュリティ·ソリューションを提供する会社です。 DGは、サイバーセキュリティの世界マーケットにおいて、DGの性能と独自性は、機能性と効率性において非常に重要な要件となっています。 DGは、有線、無線、解読センター、データ管理、HTTPS/SSLとVoIPセキュリティ、これらを利用するためのトレーニング、及び自社製品への組込みのための開発ツールキットをカバーしていて、完全な製品ポートフォリオがあります。
2
1986 創業
CEO: Casper Kan Chang 張 侃 Staff: 45 Formal and 11 Contracted employees
Core Business: Software and Hardware R&D with Development and Manufacturing
Strong R&D Capability : 45 professional engineers with 3 Ph D. & 7 Masters
2012 売上 7億円
2012 売上地域別のシェア Asia
35%
Europe
20%
America
25%
Africa
15%
Oceania
5%
Asia 35% Europe 20%,
America 25%, Oceania 5%,
Africa 15%
会社情報
3
ネットワーク見える化の市場性:パソコン操作ログの限界
PC操作ログ(クライアント側のソリューション)では、 WEBアプリケーションには対応できない 自分以外のPCからの操作は、知ることができない
PCのログでは無くネットワークを流れるパケットを記録する アクセス(get/postの両方)、内容も含め全てを記録できる 各アプリケーション毎のリアルタイムに監視できる ネットワークへの負荷は基本ない ネットワークデータ(メール・ファイル)を記録・アーカイブできる クライアントPCにエージェントの導入が必要ない 「誰が行ったのか」を特定できる
PCにAgentソフトを インストール PC操作を全て記録
デジタルフォレンジック(PC操作ログ)
クラウドシステム・WEBアプリケーションがシステムが大部分をしめる現在では、インターネットのセキュリティ(情報漏洩、サイバー犯罪等)のソリューションとはなっていない。
ネットワークデータ・キャプチャ
ミラーポートから ネットワークパケット をキャプチャ
システムが高価で、データ解析が難しいという課題があった。
6
2000 ~ 2010
1010101010
1001100111
1011011101
1100011011
Email Webmail Facebook Twitter VoIP
IM/Chat HTTP
File Transfer Telnet
1010101010 10100101010
Using port-mirroring or SPAN port
E-Detectiveのシステムアーキテクチャ
Display Reports
Capture Packets
Reassemble & Decode
Reconstruct Back to Actual
Content Store Save
Archive
E-Detective
Architecture
Maximum System Throughput: 594Mbps
7
IM/Chat (Yahoo,
MSN, ICQ, QQ, IRC,
Google Talk Etc.)
Email Webmail
HTTP (Link, Content, Reconstruct,
Upload Download)
File Transfer FTP, P2P
Others Social Media Telnet etc.
180種類のプロトコルの解析
More than 180+ Protocols/Services
8
E-DETECTIVE の優位性
1. 汎用IAサーバベースのアプライアンス システムHWは汎用IAサーバを利用し顧客規模や配置に適合したシステムを構成します。購入価格と導入後のサ
ポート費用を低減しています。
2. 多種のプロトコルに対応
通常業務で使われるほとんどのプロトコル(現在180種類以上プロトコル)に対応済みです。 このことで、デー
タを様々な角度から分析することができます。 HTTP/SSL等の暗号が通信にも対応 業務で使われるSNS、WEBアプリケーションや、WEBメールの暗号化通信も対応が出来ます。
3. 自動監視に対応 通知サービス(Conditioning Alert)機能を使うことによって、自動の常時監視
を実現できます。 重要なファイルを登録しておくことで、ファイルが移動(ファイル名を変更しても) された場合には、管理者に警告がされます。 権限管理機能と組合わせることで、コンテンツを見ること無しに、ネットワーク監視が可能.
4. 分散された拠点のシステム管理・データのリモート監視に対応 CMS(Central management System)で分散環境のモニタリングの一元管理ができます 多くの拠点をリモートからシステムの管理/リモート監視が可能。
5.価格競争力 3-4人のスモールオフィス~導入可能な価格帯
柔軟なカスタム(サービス提供型)ライセンスで、WWに展開する超大規模ユーザのへの価格対応
9
HTTPS Capture Mode
To view encrypted content, a key is a needed
Focus on specific target web server
Require web server’s key
Solution for : Web Auditing, Law
Enforcement ..etc
11
E-Detective+HTTPS/SSL 解析 Option
HTTPS Module is a part of E-Detective function, and turns on by license key
Transparence MITM Mode can Intercept standard HTTPS/SSL traffic without additional security
Non-transparence mode required the target users’ Web Browser to be pre-configured to use the Proxy service. (Forward mode)
Capture Mode can Directly decrypt HTTPS connections with web server’s key
Username and password can also be obtained for Web Login.
HTTPS web pages on targeted user can be decrypted, decoded and reconstructed.
Solution for: Law Enforcement Agencies (Police Intelligence, Military Intelligence, National Security, Counter Terrorism, etc) and corporate organizations.
HTTPS/SSL Interception Appliance (Software + Hardware) User can opt to purchase only software from us and use their
own hardware/server.
12
リモートモニタリングに必要なこと
○インシデントが発生した直後に知ることができること。 ○24時間x365日、自動運転で監視ができること。 ○コンテンツ(例:メールの内容等)を見ること無しに監視ができる。 ○複数拠点、複数システムを一元管理のできること。
13
警告通知(リアルタイムアラート)機能
WEB/mail/IM/SNS 様々なインターネットサービス
internet
キーワード テロ・爆弾・デモ.. ストライキ 等で 常時自動監視
キーワード等に 抵触した場合に 管理者にメール
警告通知(リアルタイムアラート)機能
プロトコル毎にIPやIDまたはキーワード等を登録しておく。 ネットワークを使ってアクセスをするときに、コンテンツ内(メール アドレス、サブジェクト、本文及び添付ファイル)にキーワード等が 見つかった場合には管理者に通知される。
登録キーワード例
離職、転職、価額、秘密、デモ活動、ストライキ……等 登録できるキーワードの数 制限はないが、数量が多くなると、検索時間が掛かり、パケット ロストが発生する可能性が出てくる。
ユーザ
14
警告通知機能を使ったモニタリング
キーワード等に 抵触した場合に 管理者にメール
情報漏洩・サイバー犯罪の発見 これまでのネットワークフォレンジック・システムは、インシデントが発生して、事件が発覚してから、「誰が」 「何時」「何をした」を調査するためでした。
EDのリアルタイムアラートを使うことで、 EDのリアルタイムモニタリングを利用することで、インシデントが発生した直後、またはインターネット等の操作を行った直後(事件になっていない 時に)発見できるため、 解決を劇的に早めることが可能です。
リモート監視(予防のため 防止のため) EDはネットワークのパケットキャプチャし、指定したキーワードが使われているかどうか自動に探すことができます。
したがって、監視員が、24時間モニタを見ている必要がありません。 メールで状況を管理者に通知をするため、また通知を受けて、リモートから 状況を把握できます。
E-DETECTIVE
管理者
15
CMSの機能と複数台EDの一元管理
CMSの機能
論理上64K台(実際 2576台)のEDを一元管理することができます。 各EDの状態を表示します。 作動中(緑)作動しているがキャプチャをしていない(黄)停止中(赤) データはアップロードしないでEDに残し、管理だけをCMSに集中化するため、モニタリング側のトラフィックは小さい
リアルタイムアラートと組み合わせて 監視は、顧客のオフィスでリアルタイムで、監視を行い、管理は集中化できる。 1人監視担当者で複数の会社や拠点の監視が可能です。
A社
B社
~
zz社
E-DETECTIVE
CMS
管理下のED/DRMSのリストと状態を表示
16
システム構成
オフィスのE-DETECTIVE
ネットワークアクセスのログ及びその内容の (情報漏洩防止/行動監視)の自動監視ができます。 キーワードリストで定期的(1度/週間)チェックとレポート提示
監視センターのCMS 監視センターのCMSを経由して、複数のEDの管理ができます。
17
Fileserver
A社
Z社
E-Dective
E-Dective
CMS
監視センター
定期な監視
権限管理: System Access Authority Assignment
Authority – Visibility and Operation in Group (with User defined)
Authority - Visibility
Authority - Operation
Authority
Groups with
Users
19
関連追跡:Search – Full Text, Condition, Association
Complete Search – Full Text Search, Conditional Search, Similar Search
and Association Search
Conditional
Search Full Text Search
Association
/Link Search
20
まとめ
22
EDのリアルタイムアラート機能によって、リモートのネットワーク・アクセスログ及びそのコンテンツをに含まれるポリシー違反の管理ができます。 CMSとリモートのある複数台EDのリモート監視システムができます。 E-DETECTIVEのReal time Alert機能とCMSで 24時間x週7日、 多くの拠点を一括に監視が可能です。
<提携の具体的な内容>
a. OEM など技術提携(技術研修あり)
b. 台湾本社Decision Group Inc.の資本提携
c.日本国内企業へのネットワークセキュリティ製品の販売、また海外の
日本企業への三倍サービス提供に関しての協業