マネージドIPS

STEP1:初期導入

お客様のネットワーク環境をヒアリングした後、お客様ネットワーク環境にIPSセンサー機器を設置し、収集したログと提示いただくお客様システム情報を分析しながら専用のポリシー・チューニングを実施します。

STEP2:運用サービス

チューニングの結果作成された初期ポリシーをセンサー機器に適用し、実運用を開始します。
※遮断（Block）のポリシーについては、適用前にお客様承認をいただきます。IPSセンサーは24時間365日有人監視され、適用されたルールに従い、IPSセンサー機器にて不正アクセスをBlockします。不正アクセス通信の特性上、誤検知が予測される等の理由でBlockが困難、且つ緊急のイベントが発生した場合は、電話、E-Mailにてご担当者様へ緊急連絡いたします。緊急連絡に係るお問い合わせサポートも実施いたします。

また、万が一お客様環境にて不正侵入の被害や情報漏えい等の被害が発生してしまった場合でも、現場への駆け付けも含めた支援活動を実施します（プロフェッショナルサポートとなり、別途有償となります）。
その他、日次、月次での定期的な検知イベントレポートや、不定期ですがポリシー更新適用（おおよそ1回/月。緊急の場合はその限りではありません。）やIPSセンサー機器のバージョンアップ等のメンテナンス作業もサービス内で行います。

不正侵入検知

お客様のネットワーク上を流れるパケットを、弊社センサー機器により常時監視いたします。
不正アクセスと判断されたパケットは、予め取り決めたポリシーに準じて遮断いたします。 検知結果は、IPSセンサーよりリアルタイムに弊社の監視センターへ自動通報されます。そして、自動通報されてきた不正アクセスの情報は、不正アクセスの重要度により４段階にレベル分けされ、担当者様への通報等、レベルに応じた対応を行います。

ポリシー作成

セコムトラストシステムズの基準によりお客様専用ポリシーを作成します。

【不正アクセスの重要度に関するセコムトラストシステムズの基準】
重要度の分類	内容
Block	予め取り決めたポリシーに従い、パケットの侵入をブロック
High	権限の取得を目的とした不正アクセス （管理者権限やファイルの書き込み権限の取得など） システムの脆弱性の調査を目的とした不正アクセス サービスの停止攻撃 （対策が不可能なもの）
Medium	ネットワークの調査を目的とした不正アクセス （対策が不可能なもの） サービスの停止攻撃 （対策が可能なもの）
Low	ネットワークの調査を目的とした不正アクセス （対策が可能なもの）
Ignore (連絡は実施しない)	クライアントのみ影響がある不正アクセス デコード系・CGI系の不正アクセス

緊急通報

お客様の緊急連絡先につきましては、サービス開始時に運用担当者様を3名様まで選任していただき、その運用担当者様に対して緊急通報を実施いたします。

日次/月次報告書

お客様専用のレポート報告用Webページをご用意いたします。そちらで日次/月次レポートを準備いたします。お客様は、どのような不正アクセスをいつ、どのくらいの頻度で受けているかの統計および傾向を明らにすることができます。これにより、例えば不正アクセスの現状に応じた対策の計画や効果測定に一つの手段としていただく等の活用が期待できます。

また、不正アクセス検知のログは弊社が3か月間確実に保存しており、ご要望に応じて過去にさかのぼってログのご提示が可能です。

センサーの保守

不正アクセスの手法は、日々新しいものが発生します。
その為、パターンマッチ方式の不正侵入検出では、頻繁にパターンマッチのシグネチャがリリースされ、その度にお客様はシグネチャの検証やアップデート作業の実施が不可欠です。セコム不正侵入検知/予防サービスでは、シグネチャの検証・アップデートを全て弊社のノウハウに基づいて実施いたしますので、お客様がシグネチャの検証やアップデート作業を行う必要は一切ありません。また、万が一、センサーが故障した場合は保守コール代行から交換対応調整等も全て弊社にて実施いたします。

お客様専用ポリシーにチューニングし運用

例えば、重要度の高いWindowsの脆弱性を突く攻撃を検知するシグネチャをHighイベントとして設定し、検知した場合はサービスとしてお客様に緊急通報を実施します。ただし、そのお客様が一切Windowsサーバーを利用していない環境だった場合、Highレベルの検知は不要であるのにも関わらず検知していることとなり、ある意味誤検知と言えます。

また、IPSではBlock（遮断）ポリシーを設定しますが、通常業務で利用する特殊な通信データの一部が、たまたまあるBlock設定のシグネチャのマッチングルールと一致してしまうというケースもありえます。
結果、誤検知によりBlockする悪影響をもたらすこととなり、このような事態は可能な限り避けなければなりません。
特に、Block（遮断）ポリシーが有効なIPSの運用には、上述のような誤検知を限りなくゼロに近づけて運用することが求められるため、お客様監視対象システムの環境に応じたポリシー・チューニングが重要です。

セコム不正侵入検知/予防サービスでは、サービス導入時の初期ポリシー作成から、事前提示いただくお客様システム情報、実際にセンサー機器を導入してモニタリング、ログ情報の収集（標準2～3週間）を経てお客様専用のポリシーとしてチューニングし、運用いたします。

複数のセンサー機器選定が可能

2011年5月現在、下記センサー機器を利用したサービス提供が可能です。複数社のセンサー機器に対応することにより、他社製品との機能比較の視点を常に持ち、より良いサービスの提供を目指しております。

• IBM社製 IBM Security Network IPS　(旧製品名 Proventia GX Series)
• McAfee社製 Network Security Platform(旧製品名 IntruShield)

上記センサー機器であれば、既存お客様資産の機器でもサービス提供が可能です。

ただし、メーカーサポートが受けられる製品であることが前提で、保守契約が必須条件となります。保守契約に関しては、弊社指定のベンダ様への保守契約に切替えをお願いすることとなります。