アーキテクチャ概要

サイバーディフェンスプラットフォーム

アクセンチュア・

3

Splunk Enterprise

はじめに

協働が功を奏す

企業は、新しく複雑なセキュリティ上の様々な課題に直面しています。拡大する攻撃対象、高度化する攻撃、爆発的なデータ量の増加および多様な統一されていないセキュリティシステムなどの問題が産業界を悩ませています。攻撃対象が広範であるため、企業は何を保護する必要があるのか、また懸案事項の優先順位をどのように決めるのか、総体的に理解していません。最近では、サイバーセキュリティに関して投資する傾向はみられますが、今日の攻撃の多さやその高度な水準に対処するには十分ではありません。また、圧倒的なデータ量が原因で、従来型のセキュリティ情報イベント管理（SIEM）による対応にでは不十分になっています。そして、データセンターとクラウドの間に非常に多くのテクノロジーが存在するため、それら全てを管理または追跡することは困難です。アクセンチュアは、増大し続ける課題に取り組む企業を支援するため、アクセンチュア・サイバーディフェンスプラットフォームを構築しました。

アクセンチュアは、世界の数多くのトップ企業に信頼されるサイバーセキュリティのアドバイザーとしての経験から、顧客が資産を攻撃から保護するために、セキュリティ・アーキテクチャを定義したり、セキュリティ・ソリューションの最善の組合せを選ぶために格闘していることをよく理解しています。

このような問題に対処するため、Splunk（スプランク社）、Palo Alto Networks（パロアルトネットワークス社）、Tanium（タニウム社）とアクセンチュアが提携し、以下を実現するアクセンチュア・サイバーディフェンスプラットフォームの包括的なソリューションを共同開発しました。

• ポイントプロダクト数の削減

• セキュリティ環境および回復力の強化

• セキュリティ成熟度曲線に応じた事業の展開

このソリューションは、業界トップのアプリケーションであるSplunk® EnterpriseおよびSplunk® Enterprise Security (ES)、Palo Alto Networks® Next-Generation Firewall (NGFW)、Palo Alto Networks® TrapsTM、Palo Alto Networks® WildFireTM、Tanium® PlatformおよびTanium Security Suite®を組み合わせ、カスタマイズされたアクセンチュアのソフトウェアと連携させたものです。

多くの企業が、完璧なセキュリティ環境を達成するということは困難な目標だと考えています。しかし、特定、防御、検知、対応、復旧に対処する包括的なプラットフォームを（エンドポイントやネットワーク上でも同様に）利用することは、リスク軽減における大きな一歩となることを意味します。

本書では、企業が事業を効果的に防御するために、（アクセンチュア・サイバーディフェンスプラットフォームにより実現した）Splunk、Palo Alto Networks、Taniumおよびアクセンチュアが提供する機能の組み合わせを、どのように活用できるかについて説明します。

アクセンチュア・サイバーディフェンスプラットフォームカスタマイズされたソフトウェアとアクセンチュアのノウハウにより業界トップに導く、業界のトップ企業を集約

セキュリティ・アナリティクスと機械学習を活用したSIEMによるセキュリティ・モニタリング

Palo Aalto Networksネットワークの境界、ネットワークの内部およびエンドポイントで脅威を特定、阻止

Tanium最大効果を狙ったエンドポイントでの監視、制御

4

今日の状況クラウド、モバイルおよびソーシャルネットワーキングの各ソリューションは、事業価値の創出に成功したことにより、数多くの企業でその導入の重要性を認められ、多くの基幹システムの「新たな標準」として基盤の構成要素となっています。

エンドポイントと接続性

IaaS

PaaS

SaaS

CASBを通じて クラウドからクラウドへ

隔離されたエンドポイント、POS

ハイブリッド / パブリッククラウド資産 OT資産とIOT資産企業ネットワークを通じて

CASB / 3Pクラウドセキュリティサービス

エンドポイント ネットワーク アプリケーション データ アイデンティティ特定防御検知対応復旧

制御

可視化の手段

監視 解析 インテリジェンス

オーストレーションとワークフロー

チケット 自動化

対応

フォレンジック 修復 継続的改善

直接クライアントから直接クラウドへ

デジタル資産の状況

クラウドサービスの導入は急拡大していますが、クラウド技術を扱うための適切な枠組み、方針、管理の整備という点では多くのセキュリティ部門は後れを取っています。

データセンター、プライベートクラウド、ワークプレース資産（ユーザーエンドポイント）、ホステッドサイト

特定する

資産管理、攻撃対象および共通の課題

共通の課題

企業は、従来型の情報セキュリティ手法に工数、要員をつぎ込んでいるにもかかわらず、今もサイバー攻撃の犠牲になっており、また（クラウドコンピューティングやモバイルデバイスなどの台頭により）急速に曖昧になりつつある企業ネットワークを管理する体制が整っていないと感じています。

• 攻撃対象は、広範囲かつ多様で、正しく理解できていません。

• 資産管理は、引き続き主要な未解決の課題です。企業は、シャドーITを含め、どの資産を保護する必要があるのか、また懸念事項の優先順位をどのように決めるのか、包括的に理解できていません。

防御する• 企業は、検知と修復のテクノロジーに重

点を置いて投資を行っていますが、これだけでは今日大量かつ洗練された攻撃に対処するには十分ではありません。

• 企業のネットワーク上に散在するポイントプロダクトは、コストの増加や非効率性の原因となっています。

• セキュリティに関するコンプライアンスを手動で運用し、監視することは困難です。

対応する• インシデントレスポンダーが行うタスクは、

時間を要します。

- 問題の大きさを調べる

- 関連した情報の収集（可能な限り）

- インシデントがアウトブレイクへと進展するのを阻止する

- フォレンジックを行う

復旧する• インシデントからの復旧には、多くの場合、

システムの全断や許容しがたい中断が必要となります。

• 感染前の状態へのシステム復旧は、実現不可能かもしれません。

• 情報漏えいによる風評や財政面での「後遺症」は、広範囲に影響をもたらす恐れがあります。

検知する• 取り込むデータが大量なため、従来のセ

キュリティ情報イベント管理（SIEM）ツールでは処理が遅すぎて、圧倒的な量の受信データが解析できない結果となっています。

• 未知の脅威は、大半のツールが依存するシグネチャまたは攻撃データベースと一致しない可能性があります。

• 不正行為を検知するには、より熟練したヒューリスティック（経験則）が必要です。

• 機密データにアクセスするインサイダー（部内者）の能力が見過ごされる可能性があります。

5

アクセンチュア・サイバーディフェンスプラットフォーム

（ACDP）

プラットフォーム構成要素

ACDPは、企業のセキュリティ環境の改善、目標達成、最も困難な課題に対処するための効率的かつ効果的な方法を提供します。 Splunkは、構造化、非構造化データのロギ

ングなど、当初はビッグデータの管理用に設計されたプラットフォームでした。その後、セキュリティ解析のためのデータを収集する高品質ソリューションであるSplunk E S と 共 に S I E M 市 場 に 進 出 し ま し た 。Splunk ESは、悪意のある行動を検知（履歴データのマイニングおよびリアルタイム解析）する基礎的なクエリに基づいた多数のダッシュボードを提供します。さらに、Splunk User Behavior Analyticsは、機械学習およびピア・グループ基本解析により既知および未知の脅威の発見をサポートします。

6

Tanium

Taniumにより、セキュリティチームやIT運用チームは、すべてのエンドポイントにクエリを行い、各エンドポイントの現状を即時に把握し、数秒以内に大規模な修復を行うことができます。サイバー脅威情報を集約し、正確で粒度の高いエンドポイント脅威検知、インシデント対応および修復を行うことにより、Taniumは、IT運用プロセスに優れたセキュリティ予防策を構築するとともに、インシデントレスポンダーが新たに発生したサイバー脅威を追跡し、防御するために必要な迅速さ、規模、簡潔さを実現しました。

Splunk

Splunk ESは、ネットワーク、エンドポイント、アクセス、マルウェア、脆弱性、アイデンティティ情報などのセキュリティ・テクノロジーから生成されたマシンデータに対する洞察 を 提 供 す る 高 品 質 の セ キ ュ リティ・ソリューションです。これにより、セキュリティチームは、内部および外部攻撃を迅速に検知して対応し、リスクを最小限に抑え、事業を保護しながら、脅威の管理を容易に実現することができます。Splunk ESは、セキュリティオペレーションのあらゆる作業を合理化できるため、規模や専門性のレベルに関係なく、どのような企業にも適しています。

Palo Alto Networks

Palo Alto Networksは、サイバーセキュリティの新しい時代を先導する次世代のセキュリティ企業で、世界何万社もの企業においてアプリケーシ ョ ン の 安 全 な 運 用 を 実 現 し サ イバー攻撃を防御しています。革新的な 手 法 と 高 度 に 差 別 化 さ れ た サ イバー脅威防御機能を備えた斬新なセキュリティプラットフォームは、過去の技術やポイントプロダクトよりもはるかに優れたセキュリティを実現し、日常業務の安全を確保し、企業の最も貴重な資産を保護します。

複雑化するセキュリティ対策をシンプルにする強力なテクノロジーを集約

Splunk、Splunk ES、Splunk User Behavior Analytics、ACDPのコンテンツパックおよびTaniumとPalo Alto Networksのアドオン・テクノロジー

Splunkとアクセンチュアの知見によるセキュリティ・ビッグデータ解析 Palo Alto Networksは、Panoramaインター

フェースで管理する次世代ファイアウォールを提供し、ネットワークペリメータを保護します。従来のアクセスリストやステートフル・パケット・インスペクションに勝るPalo Alto Networks NGFWは、以下のセキュリティ機能を備えています。

• ユーザーの識別（アイデンティティ管理）

• アプリケーションの識別

• URLフィルタリングおよびプロキシサービス

• 暗号解読

• VPNサービス

• 侵入検知と防御

• ウィルス対策およびマルウェア検出

Next-Generation Firewall (NGFW)、Panorama、WildFire、GlobalProtectおよびAperture

Palo Alto Networksによる境界、内部ネットワークおよびクラウド資産の保護

プラットフォーム・アーキテクチャ

IPアドレスに基づく従来型のファイアウォールのアクセスリストは、扱いにくく静的なものです。ネットワーククレールは、ユーザー認証の制御およびユーザーがどのアプリケーションやURLにアクセスできるかを（既存のアイデンティティおよびアクセス管理システムを活用し）制御します。このテクノロジーにより、アクセスの許可またはブロックを行い、その結果を報告します。トラフィックが暗号化されている場合、NGFWはパケットの暗号解読を行い、そのコンテンツを調べます。VPNサービスは、ACDP Amazon® Web Servicesポータルのような接続先を含め、企業イントラネットからの送受信接続を許可します。

外部インターネットのトラフィックは、ApertureTMおよびWildFireで解析し、制御します。Apertureとは、Palo Alto NetworksのSaaS型アプリケーション監視管理コンソールです。クラウドサービスとして、WildFireは、「未知の」脅威のシグネチャを作成するための仮想サンドボックスによる保護のもと、マルウェア検出を行います。つまり、既知および未知の両方の脅威を検知、ブロック、報告することができます。攻撃シグネチャは、Apertureの脅威情報フィードサービスにより更新されます。マルウェアシグネチャは、WildFireおよびファイアウォール自体に保存されます。

Palo Alto Networks TrapsおよびTanium PlatformによるエンドポイントセキュリティPalo Alto Networksが開発したTrapsは、攻撃実行者が高度なサイバー攻撃のエクスプロイトで利用する際にコアとなる手法に的を絞ったものです。Trapsは、エクスプロイトのシーケンスを解読し、攻撃が試みられた瞬間に阻止することにより、これらの手法を無効にします。

Trapsには、ユーザーインターフェース・アプリケーションを提供するコンソール、エンドポイント（デスクトップやサーバーなど）を保護し、エンドポイント・セキュリティ・マネージャー・サーバーと通信するエージェント、およびフォレンジック・データを収集するサービスが組み込まれています。

7

アクセンチュア

アクセンチュアは、ストラテジー、コンサルティング、デジタル、テクノ ロ ジ ー 、 オ ペ レ ー シ ョ ン ズ 、 セキュリティの領域で、幅広いサービスとソリューションを提供する世界有数のプロフェッショナル・サービス企業です。

ACDPには、ソリューション構成要素であるハードウェアおよびソフトウェアの機能を活用する「コンテンツパック」（特注ソフトウェア）が組み込まれており、前例のないサイバー攻撃への対処情報の管理・集約、可視化および制御を実現します。

Trapsのエージェントは、企業が定義したセキュリティポリシーを実行することでエンドポイントを保護します。また、（既知のエクスプロイト保護モジュールを使用し）認証されていないプロセスをブロックしつつ、認証されたプロセスを保護します。エージェントは、調査用の実行ファイルのハッシュ値を送信することでWildFireと統合されます。不審なファイルは、フォレンジック・フォルダに送られます。ラップトップなどのモバイルホストでは、Palo Alto Networksの仮想プライベートネットワークサービス用GlobalProtectTMのクライアントエージェントが使用できます。

エンドユーザーおよびデータセンターのエンドポイント（ラップトップ、デスクトップ、サーバーなど）の可視化と制御を行うTaniumは、世界の数々のトップ企業に採用されています。全てのエンドポイントにおいて完全で正確な可視化と制御を行うことで、企業は迅速かつ正確に脅威を検知・修正し、インシデント対応力を改善し、システムへのパッチの適用や継続的な資産の可視化の実現など、IT運用に優れたセキュリティ対策を実装することができます。

Tanium Core Platformでは、あらゆるエンドポイントに関する状況を、数秒以内に回答を得ることができます。このように、サイバーハンティングにおいて、企業は脅威の範囲や影響を把握し、（全社内で感染したマシン全てにパッチを適用する、マシンを隔離するなど）大規模な措置を講じるべく迅速に行動することができます。Taniumのリアルタイムのエンドポイントデータにより、ServiceNow、BMC Remedy、Atriumなど、多くの既存IT運用システムを強化することができます。Tanium Security Suiteは、セキュリティの専門家向けの専用の機能を提供することによりプラットフォームを補完するモジュールの集まりで構成されています。Taniumの導入で、企業は以下を実現できます。迅速に管理されていない資産を発見し、それらを保護する、積極的に脅威を検知して修正する、エンドポイントへの攻撃を阻止する、自動化された定期スキャンにより外部の脅威情報を統合し、直ちに汎用できるようにする、最新のパッチの適用により運用システムの更なる安全を大規模に確保する、攻撃を詳しく調査するためのフォレンジック・データを調査員が検索し活用可能とする。

資産状況の可視化と、各ソリューション構成要素の概要を以下に示します。

Palo Alto Networksのファイアウォールは、ネットワークの境界を保護し、IDS / IPS、ウィルス対策、URLフィルタリングおよびマルウェアの攻撃から保護します。

また、Palo Alto NetworksのTrapsとTaniumのエージェントは、エンドポイントの安全を確保します。TrapsはWildFireと連携し、悪意のある実行ファイルがデスクトップやラップトップ、サーバーなどで実行されるのを防御します。Taniumは、非管理のホストがないか継続してネットワークをスキャンし、プロセスの記録、ファイルの変更を監視します。

TaniumおよびPalo AltoによるソリューションネットワークはSplunkにログを集約し、Splunk ESによりリアルタイムでのデータ監視、解析を実施します。アクセンチュアがACDPアプリケーション用にカスタマイズされたSplunkクエリにより、対応と復旧を自動化します。

8

Taniumサーバー

オンサイトのエンドポイント

Taniumサーバー

• Palo AltoNetworks Traps

• Tanium Endpoint• アンチウィルス

エンドポイントの保護

Remote endpoints

• Palo AltoNetworks Traps

• Palo Alto Networks GlobalProtect

• Tanium Endpoint• アンチウィルス

Endpoint remoteprotection

Taniumゾーンサーバー

遠隔エンドポイント

仮想サーバーの保護

• Palo AltoNetworks Traps

• Tanium Endpoint• アンチウィルス• サーバーログ

PANORAMAイントラネット

UBA ISA

ES Custom-ware

SaaS

Aperture

WildFire

インターネット

AutoFocus

SOC

ネットワーク境界

アクセンチュア・サイバーディフェンスプラットフォーム 全体論理構成

エンドポイントの遠隔保護

次世代ファイアウォールは、現在のネットワーク構成では遅延を引き起こしているものに代わり、IDK / IPS、アンチウィルス、マルウェア保護、URLフィルタリング、プロキシおよびDLPの機能を代替します。

Splunkは、他のデータソースだけでなくPalo Alto NetworksとTaniumのプラットフォームからもデータフィードを収集します。Splunk（ES、UBAおよびレスポンス・フレームワーク）、Palo Alto NetworksおよびTaniumからのアドオン・テクノロジー。アクセンチュア・サイバーディフェンスプラットフォームの「コンテンツパック」は、統合されたポータルとして使用されます。

• インシデントレスポンダーが行うタスクは、時間を要します。

- 問題の大きさを調べる

- 関連した情報の収集（可能な限り）

- インシデントがアウトブレイクへと進展するのを阻止する

- フォレンジックを行う

• インシデントからの復旧には、多くの場合、システムの全断や許容しがたい中断が必要となります。

• 感染前の状態へのシステム復旧は、実現不可能かもしれません。

• 情報漏えいによる風評や財政面での「後遺症」は、広範囲に影響をもたらす恐れがあります。

ネットワーク上に現れる未知の新しいデバイスにより、脅威を及ぼす可能性があります。資産管理システムは最新のものではなく、信頼に値しません。

企業データを暗黙のうちに暗号化し、それを復号するための身代金を要求する高度なマルウェアに企業が直面しています。

使用事例1：管理されていない資産

使用事例

ACDPのビジョンを詳細に説明するため、ソリューションがどのように機能するかを示した2つの事例を紹介します。

使用事例1：管理されていない資産

サイバーディフェンスツール対非管理資産

使用事例2：ランサムウェア

Splunkは、このシナリオにおいて「セキュリティ中枢部」としての役割を果たすことができます。また、Taniumのソリューションが発見したイベントを受け取り、イベント自体および環境上の全ての資産に関するデータとの相関関係に基づき、Palo Alto NetworksまたはTaniumのいずれかに対し様々なアクションのインスタンスを作成することもできます。Taniumエージェントのインストールに失敗した場合、Splunkは、エージェントのインストールに成功するまでは隔離のためのルールを適用するようPalo Alto Networksのファイアウォールに指示を送り、インストールが成功した時点でSplunkはデバイスの状態を「Unmanaged」から「ホワイトリスト登録済み」に変更します。

Tan ium プラットフォームと連結したTanium Discover（Tanium Security Suite内のモジュール）は、ネットワーク上で新しいデバイスが発見された場合にネットワーク管理者に警告し、措置を講じる権限を与えます。

また、何十万、何百万ものエンドポイントを有するネットワークを独自の方法でスキャンし、定期的に処理することで環境上の管理されていない資産を発見することができます。Tanium Discoverによって管理されていない資産が検知・識別されると、自動イベントがTaniumに転送されます。その後Taniumは、その情報をSplunkまたは電子メールなどの他のアプリ ケ ー シ ョ ン に 連 絡 し ま す 。 さ ら にTanium Discoverにより、マウスをワンクリックするだけで、Taniumエージェントをインストールしたり、エンドポイントを「ブロック」（Palo Alto Networks NGFWおよびDynamic Address Groupsのサポートにより）することができます。

また、Tanium Discoverは「喪失資産」に対する警告を出すこともできます。これにより、管理対象の資産でもTaniumエージェントの問題により、実際には管理出来ていない資産を識別します。

本事例では、管理対象外のデバイスがネットワーク上に現れます。そのデバイスは、セキュリティプロトコルを迂回するため、適正な処理を破損させたり、適正な処理に便乗するのに使用されるハッカーの不正なエージェントである恐れがあります。

9

Splunk、Splunk ES、Splunk User Behavior Analytics、ACDPのコンテンツパックおよびTaniumとPalo Alto Networksのアドオン・テクノロジー

1 2 3 4 5 6 7 8 9

エン

ドポ

イン

ト

開始 終了+

対

TaniumDiscover

Splunk

Palo AltoNetworks

Palo AltoNetworks

Trapsクライアント

Palo AltoNetworks

Splunk Splunk

SOC SOC

Splunk

Taniumエージェント

使用事例 1：非管理資産

ACDP：ディフェンス1. Tanium Discoverが、定期的にクエリを

実行し、非管理資産を検索します。

2. Tanium Discoverが管理されていない資産を発見すると、インデックスをつけるために新しいデバイスのデータがSplunkに送信します。

3. Splunkが、Palo Alto Networksから（Palo Alto Networksのアドオンを通じて）すでに受信したデータに対し、各非管理資産について判明していることがあるかクエリを行います。Palo Alto Networks NGFWがネットワーク・トラフィックのログを取り、Splunkにシステムログデータを送信します。

4. Splunk内のACDPアプリケーションのダッシュボードには、管理されていない資産に関し現時点で判明している情報が示 さ れ 、 構 成 管 理 デ ー タ ベ ー ス（CMDB）やその他の資産ソースからのデータが関連付けられます。そして、ホス ト を ホ ワ イ ト リ ス ト に 登 録 す る 、TaniumエージェントとPalo Alto Networks Trapsをインストールする、Palo Alto Networks NGFWを用いてホストを隔離・ブロックする（ホストのローカルネットワークへの接続を制限）などのフォローアップ・アクションを行います。

5. アナリストが、ACDPアプリケーションのダッシュボード（列6）に提示される

オプションからレスポンスを1つ選択します。

6.デバイスのホワイトリスト登録またはTanium・Trapsエージェントのインストールを行います。

7. Splunkが、ファイアウォールに隔離領域から資産を削除するよう指示します。セキ ュ リ テ ィ オ ペ レ ー シ ョ ン セ ン タ ー（SOC）が、Tanium・Trapsエージェントがインストールされたことを確認し、隔離領域からデバイスを削除します。

8. Palo Alto Networks NGFWにおいて、資産が隔離場所から削除されます。

Taniumが定期的にクエリを実行し、管理されていない資産を検索する

Splunkが、Palo Alto Networksから（Palo Alto Networksのアドオンを通じて）すでに受信したデータに対し、各管理されていない資産について判明していることがあるかクエリを行う

ア ク セ ン チ ュ ア のCDP（サイバーディフェンスプラットフォーム）アプリケーションのダッシュボードには、非管理資産に関し現時点で判明している情報が示され、CMDB、Palo Alto Networks ESMおよびその他の資産ソースからのデータが関連付けられる

デバイスのホワイトリスト登録

SOCのアナリストがSplunk経由でファイアウォールから資産を削除

Splunkがファイアウォールに隔離場所から資産を削除するよう指示

隔離領域から資産を削除

SOCがTrapsおよびTaniumのクライアント配備を確認し、隔離場所から資産を削除

Taniumエージェントのインストール

Trapsクライアントのインストール

隔 離 場 所 か ら デバイスを削除

Palo Alto Networksがネットワーク・トラフィックのログを取り、Splunkにシステムログを送信する

管理されていない資産が自動的に隔離される

SOCがレスポンスを1つ選択

キャプティブポータルが適用される

新しい管理されていない資産を検知

インデックスをつけるため、新しいデバイスのデータをSplunkに送信

10

使用事例2：ランサムウェア

サイバーディフェンスツール対ランサムウェアランサムウェアに対する最良の防御策は、最初にマルウェアのインストールを防ぐことです。この展開シナリオでは、不審なイベントの相関関係についてのログとイベントデータを収集するセキュリティ解析エンジンをSplunkが提供します。マルウェアをインストールしようとする不審な試みは、Palo Alto Networks Trapsによって検知され、そのファイアウォールにより追加コンテキスト（他のネットワークインフラなど）がブロックされます。また、Splunkは、感染の範囲を判断し、さらに上流・下流への活動に対する感染の範囲を確認するため、Taniumのエンドポイントでクエリを組み入れます。それ以降は、警告が生成され、隔離またはブロックのためにSplunkにより自動化が開始されます。

この事例では、ユーザーがランサムウェアのペイロードをダウンロードします。その後、感染したワークステーションは、コマンドおよび制御サーバーと通信し、ローカルファイルを暗号化し、ハッカーに暗号キーを送信します。次にユーザーはランサムウェアサイトに誘導され、そこで情報の解読とパソコン制御の奪還との引き換えに、支払いを行う方法を指示されます。

11

Taniumプラットフォームと連結したTanium IOC Detect（Tanium Security Suite内のモジュール）は、Indicators of Compromise（IOC、脅威の痕跡）をダウンロードし、企業のネットワークインフラ内外の両方のエンドポイントに対し検知スキャンを実行するための自動化手段を、インシデントレスポンダーに提供します。

本使用事例では、起こり得る脅威に遭遇しているかを確認するために、Palo Alto Networks NGFWに連絡するための自動処理をTaniumのスケジュールに組み込むことができます 。 脅 威 に 遭 遇 し た 場 合 、 そ の 脅 威 はWildFireに転送されます。Taniumは脅威IDを要求し、その後作成された IOCに関しWildFireにクエリを行います。Taniumは、

企業ネットワーク内外の両方でエンドポイントに対してTanium IOC Detect経由でアナリストがスキャンを実行できるようにするため、IOCをダウンロードします。IOCスキャンは、随時実行するように設定することも、スケジュールに従って実行するように設定することもできます。

12

1 2 3 4 5 6 7

エン

ドポ

イン

ト

開始終了

ファイアウォール

ファイアウォール

ファイアウォール

ファイアウォール

ファイアウォール

TaniumConnect

TaniumConnect

クライアント

Splunk

未知

WildFire

無害

マルウェア

マルウェア

使用事例2：ランサムウェア

1 2 3 4 5 6 7

END

POIN

T

BEGINEND

MD5 hash is calculated from the �le

Client downloads �le

The hash is checked against the local WF databaseMD5 hash is

sent to WF

A client starts downloading a �le

The �le is sentto WF cloudfor analysis

FW

FW

FW

FW

Connect checks Palo Alto Networks periodically for new threats

TaniumConnect

TaniumConnect

Client

The client is infected

Clientクライアント

Splunk

FW does not have the hash for that �le in its local WF database FW is informed

about NO malware detection

FW is informed about malware detection

FW

Unknown

WF

Benign

Malware

Malware

WildFire does NOT detect malware and the client is infected

The �le is not malware. The only result we see would be in WildFire statistics.

Palo Alto Networks returns info about new threat

The �le isNOT malicious

クライアントがファイルのダウンロードを開始

ファイルからMD5の ハ ッ シ ュ 値 が 算出される

ク ラ イ ア ン ト が ファ イ ル を ダ ウ ン ロード

フ ァ イ ア ウ ォ ー ルはWildFireのローカル デ ー タ ベ ー ス の該 当 フ ァ イ ル の ハッ シ ュ 値 を 持 っ ていない

フ ァ イ ア ウ ォ ー ルが マ ル ウ ェ ア 検 出な し と の 通 知 を 受ける

ファイルはマルウェア で は な く 、 唯 一の結果はWildFire統計データ内にある

Palo Alto Networksが 新 た な 脅 威 に 関する情報を返す

フ ァ イ ア ウ ォ ー ルが マ ル ウ ェ ア 検 出の通知を受ける

新しい脅威がないかConnectが定期的にPalo Alto Networksをチェック

解 析 の た め フ ァ イルがWildFireクラウドへ送信される

クライアントが感染

WildFireはマルウェアを検出しないが、クライアントが感染

フ ァ イ ル は 悪 意 のあるものではないハッシュ値はWildFire

のローカルデータベースと照合されるMD5のハッシュ値

がWildFireに送信される

13

8 9 10 11 12 13 14

END

TaniumConnect

TaniumIOC

Malware startsworking

Traps analyzes malware behavior Malware is

still working

Client Splunk

Splunk

SOCFW

FW stops malware calling home by anti-spyware function (IDS)

ESM

Information about stopped attack is sent to ESM server

WF

WF

WF returns IOC for threat

WF

FW

Splunk is informed via syslog

SOC is alerted in ACDP app

SOC is alerted in ACDP app

Traps

NOT detected

Detected

Splunk SOC

SOC

Splunk queries WF cloud for additional IOC data

IOC Sent(in dev)

Connect contacts WF for threat IOC

Connect updates IOC module

Device is quarantined

SOC must manually launch IOC Detect in Tanium

Tanium returns result from IOC Detect

Splunk receives client list detected by IOC

SOC is informed in ACDP app

Traps updates WildFire

END

8 9 10 11 12 13 14

終了

TaniumConnect

TaniumIOC

クライアント Splunk

Splunk

SOCファイアウォール

ESM

WildFire

WildFire

WildFire

ファイアウォール

Traps

検出されず

検出

Splunk SOC

SOC 終了

Connectが脅威のIOCに関しWildFireに報告

ACDPアプリケーションでSOCが警告を受ける

TrapsがWildFireをアップデート

IOC送信（デバイス内）

Splunkが追加IOCデ ー タ に 関 し てWildFireクラウドにクエリを行う

SOCは手動でTaniumのIOC Detectを立ち上げなければならない

ConnectがIOCモジュールをアップデート

T a n i u m が I O C Detectからの結果を返す

ACDPアプリケーションでSOCが通知を受ける

IOCが検出したクライアントリストをSplunkが受け取る

デ バ イ ス が 隔離される

WildFireが脅威に関するIOCを返す

マ ル ウ ェ ア が 行 動を開始Trapsがマルウェアの挙動を解析

阻 止 さ れ た 攻 撃 に関する情報がESMサ ー バ ー に 送 信 される

Splunkがシステムロ グ 経 由 で 通 知 を受ける

フ ァ イ ア ウ ォ ー ルが 、 ア ン チ ス パ イウェア機能（IDS）に よ り 、 マ ル ウ ェア に よ る 命 令 元 への通信を阻止

ACDPアプリケーションでSOCが警告を受ける

マ ル ウ ェ ア は行動を継続

ACDP：ディフェンス1. クライアントがインターネットまたは電

子メール経由で悪意のあるファイルをダウンロードします。

2. Palo Alto Networks NGFWが感染したPDFを阻止します。ファイルは解析を受けるためWildFireに送信され、クライアントに渡されます。Tanium Connectは継続的にWildFire IOCの新しいアップデートがないかチェックし、バックグラウンドでそれらに関するクエリを実行します。

3. ファイアウォールがWildFireの解析判断の結果（マルウェアであるかどうか）について通知を受けます。この判断は、SplunkのADCPアプリケーションのダッシュボードに送信されます。これにより、SOCが警告を受け、場合によってはTaniumのIOC Detectが立ち上げられます。

4. Trapsが挙動パターンに基づきエクスプロイトを検出し、それを阻止します。TrapsはWildFireをアップデートし、ログがSplunkに送信されます。SplunkのACDPアプリケーションのダッシュボードによりSOCが警告を受けます。

5. Trapsがマルウェアを阻止しなかった場合、「phone home（命令元への通信）」中に、ファイアウォールの侵入検知システムで捕らえられる可能性があります。その後ログがSplunkに送信され、自動的にSOCに警告を行います。

6. WildFireの IOCに基づき、Tanium IOC Detectが実行されます。

7. 感染したホストの IOCの陽性ヒットがSplunkに送信され、SOCに通知されます。

8. Palo Alto Networks NGFWによりデバイスが隔離されます。

費用対効果多くの場合、企業が有するのは、セキュリティのポイントソリューションの寄せ集めで、それらは統合されたものではなく、攻撃対象（ITスタック）、キルチェーン（ライフサイクル）または資産状況のエンド・ツー・エンドのサポートを提供するものでもありません。

本概要で提案されたアーキテクチャは、前述のセキュリティ上の課題の多くに対処するだけでなく（「資産管理、攻撃対象および共通の課題」の項を参照）、所有コストの高い古いハードウェアを低コストでより多くの性能を備えた新しいハードウェアに交換することで既存のソリューションの代役が果たせる可能性も提示しています。これにより、労力削減や組込みシステムの効率性によるコスト削減を生み、ひいては、セキュリティオペレーションの全体的な有効性およびレスポンス時間は向上させながら、セキュリティに対するさらなる取り組みのための予算を確保することになります。

14

まとめ

15

企業のIT環境の安全を完全に確保することは不可能に思えるかもしれませんが、上記の使用事例は、包括的で自動化されたソリューションが経費を削減しつつ、いかにリスクを大きく軽減できるかを立証しています。Splunk、Palo Alto Networks、Taniumおよびアクセンチュアの統合ソリューションは、今日そして将来の企業のIT環境における多くの課題に対処するための強固で包括的なプラットフォームを構築しています。

アクセンチュアについてアクセンチュアは「ストラテジー」「コンサルティング」「デジタル」「テクノロジー」「オペレーションズ」の5つの領域で幅広いサービスとソリューションを提供する世界最大級の総合コンサルティング企業です。世界最大の規模を誇るデリバリーネットワークに裏打ちされた、40を超す業界とあらゆる業務に対応可能な豊富な経験と専門スキルなどの強みを生かし、ビジネスとテクノロジーを融合させて、お客様のハイパフォーマンス実現と、持続可能な価値創出を支援しています。世界120カ国以上のお客様にサービスを提供する39万4,000人以上の社員が、イノベーションの創出と世界中の人々のより豊かな生活の実現に取り組んでいます。

アクセンチュアの詳細はwww.accenture.com 、をアクセンチュア株式会社の詳細はwww.accenture.com/jp をご覧ください。

Copyright © 2017 Accenture All rights reserved.

Accenture, its logo, and High Performance Delivered are trademarks of Accenture.