緊急対応窓口お問い合わせ
CLOSE
SERVICE
インシデント(情報セキュリティ事故)対応

インシデント調査

早期の事業復旧を目的とした的確なアドバイス

緊急対応窓口はこちら

インシデント対応経験を踏まえて自社開発したファストフォレンジックツール『K9』をはじめ、ネットワークフォレンジック、AD診断など複合的にインシデント調査を実施します。早期の事業復旧を目的とした的確なアドバイスをいたします。

S&Jのインシデント調査の強み

事業リスクの最小化や早期の事業復旧が行うことができます

インシデント発生時によく行われるのが、被害にあった端末のフォレンジックのみで、そのフォレンジックにも1ヶ月以上かかってしまい、調査することが目的化しているケースが多く見られます。
当社のインシデント調査は「お客様の事業リスクの最小化」、「早期の事業復旧」を目的として、その目的を達成するための調査を実施いたします。

ファストフォレンジック(検体解析含む)

お客様の業務環境(Windowsパソコンやサーバー)でインシデントと思われる事象が発生した際、迅速な情報収集活動を支援し、収集された情報に対してアナリスト が分析を行い、対応策を緊急立案することでインシデントの影響を最小化することを目的としています。

独自情報収集ツール「IRCollector(略称:IRC)」もしくは自社開発ファストフォレンジックツール『K9』をご提供するため、分析に必要な情報が容易に取得可能です。
取得された情報は専門家が分析し、随時検出状況を共有、簡易報告書を提出いたします。
インシデントが発生した後、保全活動を行ってから分析活動を開始するデジタルフォレンジックスとは異なり、スピーディーな状況把握・対策立案が可能です。

IRCollector(IRC)とは

IRCとは、インシデントの初動対応に必要となる情報、Windows OS情報(システム情報)、 Windowsネットワーク情報、ネットワーク情報、設定情報、ファイルシステムなどを自動で取得するツールです。
IRCの実行ファイルを調査したい情報資産にコピーし、実行するだけで初動対応に必要な情報が取得されます。
取得した情報は自動的にパスワード付き暗号化ファイルとして保存されます。

『K9』とは

自社開発ファストフォレンジックツール『K9』は、データ取得と同時に一部の分析が行われるためスピーディーに結果を出せるパワーを持っています。
取得した情報は自動的にパスワード付き暗号化ファイルとして保存される他、弊社管理のクラウドへも送信できます。
100台以上のPCの情報を一度に取得する必要があるような局面で威力を発揮します。

ファストフォレンジックの流れと役割分担

IRC/K9の結果データと併せてインシデント発生時の状況やデータを可能な限りご提供ください。

  • 発生・検出時刻(必須)
  • 発生・検出直前の操作(メール・Webの閲覧など)
  • 検出ソフトウェアのログなど(検出のきっかけがアンチウイルスソフトなどの場合を想定)

環境によってアンチウイルスソフトがIRC/K9を不正プログラムとして検出する場合がありますので、その場合はホワイトリストに設定するなどの対応をお願いいたします。

デジタルフォレンジックサービス(マルウェア感染・内部不正・情報漏洩調査)

パソコンや記録媒体(ハードディスク、USBメモリ等)に対して調査を行い、事件・事故の解決や原因の究明に繋がり得るものを見つけ出すサービスです。
マルウェア感染の原因調査・内部不正の証跡調査・情報漏洩調査などが可能です。
社内報告・裁判証拠等にご活用いただけます。

デジタルフォレンジック対応の流れ

特徴

  • 削除されたデータの復元、デバイスの接続履歴、操作履歴などから、詳細な調査が可能

調査日数(調査目的や台数によって変動)

  • 約1ヵ月

収集対象データ

  • 原則すべてのデータを専用ソフトを使用して収集

推奨するケース​

  • 親会社や管轄官庁等に詳細な報告が必要なインシデント
  • 内部不正や情報漏洩など詳細なデータの流れの把握が必要なインシデント
  • ハラスメント問題等の内部調査

対象機器

  • パソコン、サーバー、ハードディスク、USBメモリ

ログ診断(ネットワーク機器・ソフトウェアのログ等)

ログ診断(ネットワーク機器・ソフトウェアのログ等)では、インシデントが確認された端末と関連する機器・ソフトウェアのログを分析することにより、被害範囲の特定やどのようなリスクが発生していたのかを調査することができます。
しかし、ログは機器・ソフトウェアごとにフォーマットや表現が異なるのに加え、大量に出力されるため確認は困難であることが多く、セキュリティに関する知見を備えていなければ意義のあるものになりません。

本サービスでは、インシデント対応の経験が豊富な当社アナリスト が迅速かつ高度に分析を行い、被害範囲の特定やどういったリスクが発生していたのかを報告いたします。

ログ診断(ネットワーク機器・ソフトウェアのログ等)の特徴

  • インシデントに関連する脅威を検出できる
    • 当社があたりをつけたログを提供いただくだけで診断が可能です。
  • 内部不正や設定の不備など危険な兆候を検出
    • 不正プログラム感染だけではなく、内部不正が疑われる通信や設定の不備など認識していなかった危険な兆候を検出することができます。
  • ポリシー違反の可能性がある通信を検出できる
    • SNS・オンラインストレージの利用、未承認IoTデバイスの接続、リスクウェアの利用、など発見が難しいポリシー違反の可能性がある通信を検出できます。

インシデント発生時以外にも、このようなリスクの可視化におすすめ

  • 不正プログラムなどによる不審な通信がないか調査したい
    • 数多くの不正プログラム対処実績を基に得た知見と、独自の分析手法により不審な通信を行っている端末を検出します。
  • ネットワーク機器の設定に不備がないか確かめたい
    • 不適切な設定による不要な通信や、必要な通信の遮断なども検出します。
    • ファイアウォールポリシーをご提供いただくことで、不要なルールを検出します。
  • ガバナンスが維持できているか不安
    • SNS・オンラインストレージの利用などポリシー違反となる可能性がある行為を検出します。
    • フリーソフトのダウンロードやソフトウェアからの通信を検出します。
  • ネットワークの健常性を確認したいが分析用の資産は持ちたくない
    • 現状取得されているログをご提供いただければ診断可能です。追加の機器は必要ありません。

調査実施の流れ

Active Directory診断

現在の脅威動向を踏まえて、Active Directoryおよびファイルサーバーを狙った攻撃を診断するサービスになります。
また、脅威を検出するのに必要な監査ログの設定が適切に設定されているかの診断も行います。
本サービスで検出可能な脅威を全て検出するためには、サーバーにて監査ログの設定が必要な場合があります。
お客様にて事前に監査ログの設定を実施した上で脅威診断を行うか、実施しないで行うかはご選択いただけます。

  • 対象機器:Active Directoryサーバー、ファイルサーバー
  • イベントログを分析エージェントおよびアナリストが分析
    • 最新脅威動向を踏まえて、Active Directory、ファイルサーバーを狙った攻撃を診断
    • 脅威を検出、脅威発生時に分析するために必要な監査ログの設定が適切に行えているかを診断

Active Directory脅威診断の詳細はこちらから

本サービスへのお問い合わせ

本サービスへの
お問い合わせはこちら