Comments
Description
Transcript
2. - Decision Japan
Agenda 1.会社 2.市場 3.技術 Decision Group Inc. 2013 会社概要 Decision Group Inc.(以下DG)は、1986年からIT業界で27年歴史と 様々なビジネス上の経験を持ち、ネットワーク・フォレンジックビジネスと産業オート メーションの2つの事業分野で活動しています DGは、企業、政府部門、警察等執行機関、通信サービスプロバイダーに強力な サイバー·セキュリティ·ソリューションを提供する会社です。 DGは、サイバーセキュリティの世界マーケットにおいて、DGの性能と独自性は、機 能性と効率性において非常に重要な要件となっています。 DGは、有線、無線、解読センター、データ管理、HTTPS/SSLとVoIPセキュリ ティ、これらを利用するためのトレーニング、及び自社製品への組込みのための開 発ツールキットをカバーしていて、完全な製品ポートフォリオがあります。 2 会社情報 1986 創業 CEO: Casper Kan Chang 張侃 Staff: 45 Formal and 11 Contracted employees Core Business: Software and Hardware R&D with Development and Manufacturing Strong R&D Capability : 45 professional engineers with 3 Ph D. & 7 Masters 2012 売上 7億円 2012 売上地域別のシェア Asia 35% Europe America 25%, Africa 15% 20%, Oceania Africa 15% Asia 35% 5%, America 25% 3 Oceania 5% Europe 20% 会社沿革 年 4 沿革 市場と技術 E-Detective(リアルタイムアラート)とCMSを 利用したリモートモニタリング・サービス ネットワーク見える化の市場性:パソコン操作ログの限界 2000 ~ 2010 デジタルフォレンジック(PC操作ログ) PC操作ログ(クライアント側のソリューション)では、 WEBアプリケーションには対応できない 自分以外のPCからの操作は、知ることができない PCにAgentソフトを インストール PC操作を全て記録 クラウドシステム・WEBアプリケーションがシステムが大部分をしめる 現在では、インターネットのセキュリティ(情報漏洩、サイバー犯罪等) のソリューションとはなっていない。 ネットワークデータ・キャプチャ ミラーポートから ネットワークパケット をキャプチャ PCのログでは無くネットワークを流れるパケットを記録する アクセス(get/postの両方)、内容も含め全てを記録できる 各アプリケーション毎のリアルタイムに監視できる ネットワークへの負荷は基本ない ネットワークデータ(メール・ファイル)を記録・アーカイブできる クライアントPCにエージェントの導入が必要ない 「誰が行ったのか」を特定できる システムが高価で、データ解析が難しいという課題があった。 6 E-Detectiveのシステムアーキテクチャ 1010101010 10100101010 Using port-mirroring or SPAN port Capture Packets Display Reports Store Save Archive Reassemble & Decode E-Detective Architecture Reconstruct Back to Actual Content Maximum System Throughput: 594Mbps 7 1010101010 1001100111 1011011101 1100011011 Email Webmail Facebook Twitter VoIP IM/Chat HTTP File Transfer Telnet 180種類のプロトコルの解析 Email Webmail IM/Chat (Yahoo, MSN, ICQ, QQ, IRC, Google Talk Others Etc.) Social Media Telnet etc. More than 180+ Protocols/Services 8 HTTP (Link, Content, Reconstruct, Upload Download) File Transfer FTP, P2P E-DETECTIVE の優位性 1. 汎用IAサーバベースのアプライアンス システムHWは汎用IAサーバを利用し顧客規模や配置に適合したシステムを構成します。購入価格と導入後のサ ポート費用を低減しています。 2. 多種のプロトコルに対応 通常業務で使われるほとんどのプロトコル(現在180種類以上プロトコル)に対応済みです。 このことで、デー タを様々な角度から分析することができます。 HTTP/SSL等の暗号が通信にも対応 業務で使われるSNS、WEBアプリケーションや、WEBメールの暗号化通信も対応が出来ます。 3. 自動監視に対応 通知サービス(Conditioning Alert)機能を使うことによって、自動の常時監視 を実現できます。 重要なファイルを登録しておくことで、ファイルが移動(ファイル名を変更しても) された場合には、管理者に警告がされます。 権限管理機能と組合わせることで、コンテンツを見ること無しに、ネットワーク監視が可能. 4. 分散された拠点のシステム管理・データのリモート監視に対応 CMS(Central management System)で分散環境のモニタリングの一元管理ができます 多くの拠点をリモートからシステムの管理/リモート監視が可能。 5.価格競争力 3-4人のスモールオフィス~導入可能な価格帯 柔軟なカスタム(サービス提供型)ライセンスで、WWに展開する超大規模ユーザのへの価格対応 9 SSL / TLS in the Real World 10 HTTPS Capture Mode Focus on specific target web server Require web server’s key Solution for : Web Auditing, Law Enforcement ..etc To view encrypted content, a key is a needed 11 E-Detective+HTTPS/SSL 解析 Option HTTPS/SSL Interception Appliance (Software + Hardware) User can opt to purchase only software from us and use their own hardware/server. HTTPS Module is a part of E-Detective function, and turns on by license key Transparence MITM Mode can Intercept standard HTTPS/SSL traffic without additional security Non-transparence mode required the target users’ Web Browser to be preconfigured to use the Proxy service. (Forward mode) Capture Mode can Directly decrypt HTTPS connections with web server’s key Username and password can also be obtained for Web Login. HTTPS web pages on targeted user can be decrypted, decoded and reconstructed. Solution for: Law Enforcement Agencies (Police Intelligence, Military Intelligence, National Security, Counter Terrorism, etc) and corporate organizations. 12 リモートモニタリングに必要なこと ○インシデントが発生した直後に知ることができること。 ○24時間x365日、自動運転で監視ができること。 ○コンテンツ(例:メールの内容等)を見ること無しに監視ができる。 ○複数拠点、複数システムを一元管理のできること。 13 警告通知(リアルタイムアラート)機能 WEB/mail/IM/SNS 様々なインターネットサービス 警告通知(リアルタイムアラート)機能 プロトコル毎にIPやIDまたはキーワード等を登録しておく。 ネットワークを使ってアクセスをするときに、コンテンツ内(メール アドレス、サブジェクト、本文及び添付ファイル)にキーワード等が 見つかった場合には管理者に通知される。 登録キーワード例 internet キーワード等に 抵触した場合に 管理者にメール キーワード テロ・爆弾・デモ.. ストライキ 等で 常時自動監視 ユーザ 14 離職、転職、価額、秘密、デモ活動、ストライキ……等 登録できるキーワードの数 制限はないが、数量が多くなると、検索時間が掛かり、パケット ロストが発生する可能性が出てくる。 警告通知機能を使ったモニタリング 管理者 情報漏洩・サイバー犯罪の発見 これまでのネットワークフォレンジック・システムは、インシデントが発生 して、事件が発覚してから、「誰が」 「何時」「何をした」を調査するた めでした。 EDのリアルタイムアラートを使うことで、 キーワード等に 抵触した場合に 管理者にメール EDのリアルタイムモニタリングを利用することで、インシデントが発生し た直後、またはインターネット等の操作を行った直後(事件になっていない 時に)発見できるため、 解決を劇的に早めることが可能です。 リモート監視(予防のため 防止のため) E-DETECTIVE EDはネットワークのパケットキャプチャし、指定したキーワードが使われ ているかどうか自動に探すことができます。 したがって、監視員が、24時間モニタを見ている必要がありません。 メールで状況を管理者に通知をするため、また通知を受けて、リモートから 状況を把握できます。 15 CMSの機能と複数台EDの一元管理 CMSの機能 論理上64K台(実際 2576台)のEDを一元管理することができます。 各EDの状態を表示します。 作動中(緑)作動しているがキャプチャをしていない(黄)停止中(赤) データはアップロードしないでEDに残し、管理だけをCMSに集中化するため、モニタリング側のトラフィックは小さい リアルタイムアラートと組み合わせて 監視は、顧客のオフィスでリアルタイムで、監視を行い、管理は集中化できる。 1人監視担当者で複数の会社や拠点の監視が可能です。 A社 管理下のED/DRMSのリストと状態を表示 B社 ~ zz社 E-DETECTIVE 16 CMS システム構成 オフィスのE-DETECTIVE ネットワークアクセスのログ及びその内容の (情報漏洩防止/行動監視)の自動監視ができます。 キーワードリストで定期的(1度/週間)チェックとレポート提示 監視センターのCMS 監視センターのCMSを経由して、複数のEDの管理ができます。 A社 E-Dective 監視センター CMS Z社 Fileserver 定期な監視 E-Dective 17 E-Detective Sample Screenshots - Reports Homepage – Top-Down Drill to Details Reporting 18 権限管理: System Access Authority Assignment Authority – Visibility and Operation in Group (with User defined) Authority - Visibility Authority - Operation Authority Groups with Users 19 関連追跡:Search – Full Text, Condition, Association Complete Search – Full Text Search, Conditional Search, Similar Search and Association Search Conditional Search Full Text Search Association /Link Search 20 Reporting – Network Service Usage - Daily Drill Down Reporting Capabilities 21 まとめ EDのリアルタイムアラート機能によって、リモートのネットワーク・アクセ スログ及びそのコンテンツをに含まれるポリシー違反の管理ができます。 CMSとリモートのある複数台EDのリモート監視システムができます。 E-DETECTIVEのReal time Alert機能とCMSで 24時間x週7日、 多くの拠点を一括に監視が可能です。 <提携の具体的な内容> a. OEM など技術提携(技術研修あり) b. 台湾本社Decision Group Inc.の資本提携 c.日本国内企業へのネットワークセキュリティ製品の販売、また海外の 日本企業への三倍サービス提供に関しての協業 22 ご清聴ありがとうございます Decision Japan www.decisionjapan.com [email protected]