「セキュリティログ監視サービス フォレンジック パッケージ」を米国で提供開始 ～ソリトン社のEDR技術と自社のセキュリティ管理サービスを融合～

NRIセキュアテクノロジーズ株式会社（本社：東京都千代田区、代表取締役社長：小田島 潤、以下「NRIセキュア」）は、自社システムがコンピュータウイルスに感染するといったセキュリティインシデント（事案）の発生時に、原因分析と対応（フォレンジック*1）を迅速におこなえる「セキュリティログ監視サービス フォレンジックパッケージ」（以下「本サービス」）を、9月4日から米国で提供開始します。

リンク
（以下、ニュースリリース本文）

本サービスにおいては、ソリトン社*2の持つEDR技術*3 とNRIセキュアの提供する監視サービス*4を融合することにより、本社から離れた拠点で生じたセキュリティインシデントであっても、速やかに的確な対処が可能となります。

マルウェア*5への感染等、セキュリティインシデントの発生が疑われた場合、問題となる端末の隔離と調査、および他の端末への二次被害状況の確認が必要となります。この一連の作業には、フォレンジック技術が有効ですが、自社でその技術を持つ専門性の高い人材を確保することは困難です。さらにインシデントが遠隔地で発生した場合、現地への調査員の派遣、もしくは当該端末の調査部門への輸送に時間を有します。二次感染や情報漏えいなどの被害が拡大してしまう可能性も考えられ、特に世界中に多くの拠点を持つ企業にとって、深刻な問題となっています。

このような課題を解決するため、NRIセキュアは本サービスを開発しました。主な機能と特長は、以下のとおりです。

■ソリトン社のEDR技術を利用して端末情報を常時収集
EDRエージェント*6を企業内の端末にインストールし、端末の操作履歴やネットワーク接続、レジストリ*7更新、ファイル遷移、プロセスなどの詳細ログ情報を、平常時から収集します。

■セキュリティログ監視サービスを24時間365日提供
NRIセキュアの専門スタッフが、24時間365日でログ情報を収集しつつ、セキュリティ攻撃の有無を遠隔地から監視します。収集するログ情報には、上記のEDRエージェントから収集した情報も含みます。

■ログを常時事前取得することにより、迅速なフォレンジックが可能
セキュリティログ監視サービスによって、マルウェア感染の疑いがある端末が発見されると、その端末内で生じたデータの移動やコピーなどの動作情報を、本サービスを導入した企業と共有し、そのデータが機密情報に該当するか、情報漏えいが生じているか、などを明らかにします。さらに、該当端末の感染原因を特定し、再発防止策を導入企業へ提案すると同時に、取得したマルウェアの特性情報を元に、企業内の他の端末への二次感染の有無を迅速に把握し、被害の拡大防止をおこないます。これら一連の作業（フォレンジック）に必要な端末情報は、EDRエージェントからすでに収集済みのログ情報を用いて実施するため、インシデントが発生してから専門家が情報収集をおこなう従来型の作業と比較して、大幅に対応までの時間を短縮できます。

このサービスは、現在NRIセキュアが提供中の、セキュリティログ監視サービスの機能強化版として、まずは遠隔地でのフォレンジック需要の高い米国で提供を開始します。今後、日本や他の地域でのサービス提供も予定しており、グローバル企業の情報セキュリティ対策を支援します。

NRIセキュアは、今後も、グローバル企業の情報セキュリティ対策を支援するさまざまなサービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

*1フォレンジック：セキュリティ事故が起きた際に、端末やネットワーク内の情報を収集し、被害状況の解明や犯罪捜査に必要な法的証拠を明らかにする取り組み。「鑑識」「科学捜査」の意味でも使われる
*2 ソリトン社：株式会社ソリトンシステムズ（本社：東京都新宿区、代表取締役社長：鎌田信夫）。サイバー攻撃対策や認証・アクセス制御ソリューションを始めとするITセキュリティ製品の開発とサービスを提供する独立系ベンダー
*3 EDR（Endpoint Detection and Response）技術：エンドポイント（端末）監視技術。OSに標準的に搭載されているログ取得機能と比較して、より広範囲に、より詳細なログ取得を実現できる特徴がある
*4監視サービス（セキュリティログ監視サービス）： NRIセキュアが2014年11月19日に発表した、企業の情報システムで利用されているさまざまな機器（サーバ、ネットワーク機器、クライアント端末など）が出力するアクセス履歴等のログ情報を、独自の技術で分析し、迅速にセキュリティインシデントを見つけ出すサービス。詳細は、リンク　を参照
*5マルウェア：コンピュータウイルスやワームなど、悪意のある不正なソフトウエアの総称
*6 EDRエージェント：端末上の動作をログとして詳細に記録し、そのログを保管のために外部サーバへ転送するプログラム
*7 レジストリ：OSやソフトなどの各種設定が保管されているデータベース
________________________________________
【ニュースリリースに関するお問い合わせ】
株式会社野村総合研究所　コーポレートコミュニケーション部　潘、十河
TEL：03-6270-8100　E-mail：kouhou@nri.co.jp
【サービスに関するお問い合わせ】
NRIセキュアテクノロジーズ株式会社　北米支社　松下
TEL：+1-949-537-2957（米国）　E-mail：info@nri-secure.co.jp
NRIセキュアテクノロジーズ株式会社　広報担当　根本
TEL：03-6706-0622　E-mail：info@nri-secure.co.jp

　　　　　　　　　　　　　　　　　　　　　　【ご参考】

■サービス概要図
（1） 導入企業内に設置したログ収集アプライアンス（装置）が、EDRエージェントをインストールしたPC端末、およびその他の情報システム機器から出力されるログを自動的に収集し、NRIセキュアデータセンター内のSIEM（セキュリティ情報イベント管理の仕組み）に転送します。

（2） NRIセキュアのデータセンターで、転送されたログに対して、NRIセキュアが独自に設計したロジックによる相関分析をおこないます。

（3） セキュリティ監視センターで、セキュリティアナリストが24時間365日の体制で監視・分析をおこない、セキュリティインシデントを迅速に発見し、必要に応じてEDRエージェントのログとソリトン社のデータ分析の経験を活用することで、端末へのフォレンジックを実施します。

*SIEM（Security Information and Event Management/セキュリティ情報イベント管理）：サーバやネットワーク機器などの各種アプリケーションから集められたログ情報を一元的に蓄積・管理し、異常があった場合いち早く検知・分析をする仕組み