防ぎきれないサイバー攻撃への対策ソフト

  • CSIRT/SOCにおけるインシデント対応を強力に支援する次世代EDR
  • エンドポイントでの防御・検知・対応能力を強化
  • サイバー攻撃・内部不正の両方に対応可能な高精度セキュリティログ

防御・検知・対応を包括的に支援する
次世代型エンドポイントセキュリティソリューション

昨今の深刻化するサイバー攻撃に迅速に対処し、被害を最小限に抑えるため、新種マルウェアの検知、疑わしい端末の調査分析や漏洩したデータや他端末への被害状況の把握、被害拡大を最小化する仕組みが求められています。

InfoTrace Mark II for Cyberは、ふるまい検知エンジンによるマルウェアからの防御、断片情報や推測での対応から脱却する信頼性の高いログ情報による調査、攻撃検知時の端末隔離などサイバー攻撃への迅速な対処を可能にします。
また、サイバー攻撃だけでなく内部不正の予防機能も搭載。操作制御やログ監査による不正兆候の発見にも役立ちます。

防御

未知マルウェアブロック

検知/分析

インシデントの全容把握

対応

被害を極小化

InfoTrace Mark II for Cyber サイバー攻撃対策

  • インシデント対応体制を支援する各種エンドポイント機能を搭載
  • 新種攻撃の予防から全容把握・収束までワンストップ対応

防御

  • マルウェア検知・ブロックでサイバーリスクを低減

詳細はこちら

検知/分析

  • マルウェアの侵入要因、影響範囲を分析
  • カーネルレベルで常時記録することでインシデントの全体像把握をスピードアップ

詳細はこちら

対応

  • 緊急時のリモート端末隔離・通信制限
  • アプリケーション制御

詳細はこちら

InfoTrace Mark II for Cyber 内部不正対策スイート

  • 内部統制を支援する各種エンドポイント機能を搭載
  • 情報漏えいの予防から、リモートフォレンジック調査までの総合対策

予防

  • USBデバイス制御やデスクトップ環境の利用制限により内部不正リスクを低減

詳細はこちら

検知/記録

  • ログ監査により不審兆候や不正行為を発見

詳細はこちら

対応

  • カーネルレベルでの常時記録と証拠隠滅を許さない技術により、
    フォレンジック対応の詳細なログでの事後調査

詳細はこちら

カタログ・資料

InfoTrace Mark II for Cyber サイバー攻撃対策

防御 - 未知マルウェアからの防御

標的型攻撃からPCを守るマルウェア対策

巧妙な手口により、ゲートウェイ型の攻撃対策機器をすり抜けるケースが増えています。エンドポイント対策を含めた多層防御を強化し、リスクを低減することが必要です。InfoTrace Mark II for Cyberは、パターン非依存の5つのマルウェア対策エンジンを搭載し、新種マルウェアをブロックします。

従来対策の課題を解決し、弱点を補完

脆弱性を利用した攻撃の検知・ブロックが可能です。クライアントにインストールし、プロセスを監視。脆弱性を利用した攻撃コードの実行そのもの検知・ブロックします。様々なソフトウェアのゼロデイ脆弱性におけるコード実行型攻撃(脆弱性攻撃)にも対応できます。従来のパターンファイル型ウイルス対策製品とは異なり、パターンファイルを持たないため、パターンファイルの更新などによる端末負荷もかかりません。

他にも、プログラムの構造やふるまいを解析する各種エンジンを搭載しており、攻撃活動をしていない状態でのマルウェアの侵入やマルウェアによる攻撃も検知・ブロックします。

また、一般的なマルウェア対策製品とは異なり、InfoTrace Mark II for Cyberは他社のウイルス対策製品と共存できます。既存のセキュリティ対策の弱点を補完・強化するアドオン的な導入が可能です。

エンジン詳細

脆弱性
対策
脆弱性 ・ZDPエンジン
任意コード実行型脆弱性攻撃を感知・防御
ファイル・ウェブ閲覧時など
マルウェア
対策
ファイル ・Static分析エンジン
ファイルをスキャンしてプログラムの構造を静的に
解析
ファイルコピー・WEBからのファイルダウンロード時など
・Sandboxエンジン
Staticエンジンで解析が難しいものを仮想環境上で
シミュレーションして解析
プロセス ・HIPSエンジン
実行中のプログラムの動作を監視し、端末上の
悪意ある挙動を解析
稼働中プロセスがキーロガーやバックドアのような挙動を行った場合など
・機械学習エンジン
マルウェア・正常なソフトウェアを機械学習させ、
マルウェアの挙動の傾向・特徴をエンジン化、
端末上の悪意ある挙動を解析
  • 上記はあくまでマルウェアの感染フローを元にしたタイミングであり、検知・防御はすべてリアルタイムで行われます。
  • 本製品は、株式会社FFRIの特許技術を含む各種マルウェア対策テクノロジーを使用しています。

検知/分析 - インシデントの全容把握

マルウェアが検知・ブロックされた場合は侵入要因の調査や状況分析を行い、セキュリティ対策の見直しを行うことが重要です。調査に適したログを取り続けることで、インシデント発生時に早急な対応が可能です。

フォレンジック・サイバー攻撃対策を主眼としたPCセキュリティログ

InfoTrace Mark II for Cyberでは、ファイルアクセス、プロセスの通信先、レジストリ変更、プロセスの親子関係、ハッシュ値などに加えて、複数の工程で実行されるマルウェアの一連の動作を記録(特許取得済み:特許第5933797)など、サイバー攻撃・マルウェアの動作解析に必要な情報を取得しています。他にも、侵入のきっかけとなった、人による操作の追跡も可能です。

  • 詳細はお問い合わせください。
プロセスの不審挙動検知・アラート

ソリトン独自の技術により、Agentでブロックできないグレーゾーンなど、不審な挙動を判定しアラートとして通知・記録します。アラート前後のログを中心に調査することで、監査対象のログの絞り込みと速やかな対応が可能です。

また、アラート情報をSIEM※1に送信することもできます。マルウェア情報(ハッシュ値等)をもとに、不審なファイルの拡散状況調査や関連ファイルの実行有無等を確認でき、マルウェアの動作解析にも役立ちます。

※1 Security Information and Event Management - セキュリティイベント監視サーバー

対応 - 被害を極小化

マルウェア感染時の初動対応

感染端末やマルウェアの検体が特定できても、ウイルス対策製品のパターンファイルやプログラムの脆弱性パッチが提供されるまでは対応の手段が限られます。InfoTrace Mark II for Cyberでは、マルウェア検知情報をもとにブラックリストとしてマルウェアファイルのハッシュ値などを登録し、リモートからの指示で不審プロセスをブロックすることができます。他にも、特権IDや重要情報の詐取を防ぐため、治療や管理に必要なサーバーへのアクセスなどに限定した該当端末の隔離(通信制限)ができるなど、初動対応を支援します。

その他 - サイバー攻撃対策の運用に役立つ機能を提供

SIEM連携

InfoTrace Mark II for Cyberは重要なイベントをアラートとしてSIEMに転送(TCP/UDP syslog 等)できます。また、セキュリティログをSIEM側で取り込むことも可能です。

ネットワーク型脅威対策機器連携

ネットワーク型脅威対策機器から通知されたマルウェア検知情報を元にSIEM等からREST APIを介して、該当端末の隔離や該当プロセスの停止指示が可能です。

大規模対応

管理サーバーを分散構成にすることで、大規模環境に対応することができます。

オフライン・狭帯域対応

オフライン端末やネットワークに接続できない出張先等でもマルウェアの検知・防御やセキュリティログの取得ができます。セキュリティログについては、ツールで回収しサーバーへ送信することも可能です。狭帯域環境などでは、ログはサーバーに送信せず、アラートのみ送信する、といった帯域を圧迫しない運用など、柔軟な対応が可能です。

英語環境対応

英語版のクライアント、管理コンソールの英語表示に対応しています。

構成イメージ

InfoTrace MarkII Analyzer - セキュリティログ分析

ログ集約・分析および初動対応を支援する、Mark II専用アプライアンス

Mark II Analyzer ダッシュボード
(クリックで拡大します)

ログ集約

アラート検知から高精度PCログの分析・対応をシームレスに実現

ログ分析

脅威検知製品のアラートをイベントとして表示。イベントから端末情報の詳細の他、そのイベント詳細や対応状況の確認が可能。

その他、SOC運用に配慮した簡易的なイベントマネジメント機能も実装。

  • Mark IIセキュリティログの分析
  • Mark IIマルウェア対策のイベント調査
  • 他社脅威対策製品の検知イベントを受信し関連するMark IIセキュリティログにて詳細調査の支援を実現
  • 特定ファイル保持状況の検索機能を搭載(ファイル名、ハッシュ値)
(クリックで拡大します)

指定したログレコードから、そのプロセスがどこから起動されているかプロセスチェーンを表示し、全体像を把握することも可能です。

初動対応

端末詳細から、ネットワーク隔離の実施が可能。監理用通信などの特定通信のみを残し、その他の通信をブロックすることができます。

Mark II Analyzer メイン画面、端末詳細からのネットワーク隔離
(クリックで拡大します)

Analyzer操作動画

世界的に猛威を振るう新種マルウェアの検知・防御

ウクライナを中心に感染を広げた「Petya」

2017年6月27日 以降、ウクライナを中心に「Petya(ペーチャ)」と呼ばれるマルウェアの大規模感染が報告されています。マイクロソフトの既知の脆弱性(MS17-010)を突いた攻撃手法を利用するだけでなく、端末のアカウント情報を奪取してネットワーク感染する機能もあるため、感染端末がネットワーク内に存在すると、パッチ適用済み端末でも感染する可能性があり、注意が必要です。

ソリトンではいくつかのPetya検体において、InfoTrace Mark II for Cyberのマルウェア対策機能(Zerona)のStatic分析/HIPSエンジンで検知・ブロックができることを確認しています。

Zeronaでの「Petya」検知・ブロックの様子

※ 確認に利用したPetya検体のハッシュ値

SHA256:027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

ウクライナ・ロシアで感染を広げた
マルウェア「Petya」について

WannaCryに続いて登場し、ウクライナ・ロシアを中心に大きな被害を与えたマルウェア「Petya」。
パッチ適用端末にも感染するPetyaの横展開などの手口を確認しつつ、その問題点と対策を、ソリトンのサイバーセキュリティチームが考察します。

ホワイトペーパーのダウンロードはこちらから

ランサムウェア「WannaCry」

2017年5月12日より世界的にWannaCryランサムウェア・ワーム(別名:WanaCrypt、Wcry)の感染が広まっています。このランサムウェアは5月14日時点で、世界150ヵ国・10万台以上に感染を広げ、病院、工場、大学をはじめ、多くの組織に被害を与えています。

ソリトンで入手したWannaCryランサムウェア・ワーム検体では、InfoTrace Mark II for Cyberのマルウェア対策機能(Zerona)のStatic/HIPSエンジンにて検知・ブロックできることを確認しています。

「WannaCry」検知・ブロックの様子

※ 確認に利用したWannaCry 2.0検体のハッシュ値

SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

SHA256:043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2

ホワイトペーパー配布のお知らせ
『WannaCryによって明らかとなった
 サイバー空間の脅威状況について』

世界的に大きな被害をもたらしたWannaCry。それは皮肉にも私たちが置かれた脅威情報に警鐘を鳴らすこととなりました。
WannaCryによって浮き彫りとなったサイバー空間の脅威状況とは何か? ソリトンのサイバーセキュリティチームが解説する資料をまとめました。

ご希望の方はこちらから

カタログ・資料

InfoTrace Mark II for Cyber 内部不正対策

予防 - 端末の不正利用をブロック

コンピュータを利用した情報漏えいや内部不正は、後を絶ちません。不正利用を防ぎ、不要な権限を与えないなど、リスクを低減することが必要です。利用者ごとに私物のUSBメモリやスマートフォンの利用を禁止する運用が可能です。

検知/記録 - あらゆる操作を記録

行動監査

マイナンバーや個人情報などの特手機密情報の取扱いにおいてはその情報の取扱い業務に従事する社員・職員の操作を正しく記録することが、内部統制だけでなく冤罪防止としても重要です。大量印刷や外部メディアへのコピー、ファイルサーバー上の重要データフォルダのコピーといった情報漏えいにつながりかねない不審行動の監査や証拠隠滅行為、Webアクセスなどの業務外行動などの監査に役立ちます。

内部不正対策にも活用できる高精度セキュリティログ
  • 詳細はお問い合わせください。

対応 - インシデントの全容把握

事故発生時の調査

端末情報や時刻は、フォレンジック調査において重要な情報です。これらの情報はコンピューター上で変更可能ですが、InfoTrace Mark II for Cyberなら、これらの情報が変更された場合でも端末を一意に特定。時刻変更などの改ざんの痕跡を残すことができます。また、マイナンバー関連のトラブルをはじめ、内部不正やサイバー攻撃による情報漏えいなどの事故発生による民事・刑事訴訟の際には、証拠能力・証拠の信頼性の説明にあたる機能証明のご相談も受け付けています(別途有償)。
他にも、フォレンジックサービスの提供も可能です。

その他 - 内部不正対策の運用に役立つ機能を提供

大規模対応

管理サーバーを分散構成にすることで、大規模環境に対応することができます。

英語環境対応

英語版のクライアント、管理コンソールの英語表示に対応しています。

構成イメージ

カタログ・資料

提供形態

InfoTrace Mark II for Cyberは、オンプレミス型と、クラウドサービス型をお選びいただけます。クラウドサービス型は、ソリトンのアナリストが日々の運用を支援するマネージドサービスです。定例会有無やセキュリティログ分析など、サービスレベルをお選びいただけるほか、ログ提供オプションなどもご用意しています。

  • オンプレミス

  • ・自社SOCなど、自社で自由に運用したい
  • ・ログは自社で保管したい
  • クラウドマネージドサービス
    (Mark II Cloud)

  • ・専門家に運用を任せたい
  • ・資産を持たずにEDRを導入したい
  • 「InfoTrace Mark II for Cyber CloudのGDPRに対する取り組み」
    ソリトンシステムズは「InfoTrace Mark II for Cyber Cloud」の提供によって、お客様における外部脅威・内部脅威対策を支援しています。 GDPRにおいては、ソリトンはデータ処理者(Data Processor)として、データ管理者(Data Controller)であるお客様の定める利用目的に基づき、本サービスをご提供します。お客様におけるデータ管理者としての対応は、専門家にご相談のうえご対応ください。

仕様

機能 / ライセンス

アドバンスト
スイート
サイバー攻撃対策
スイート
セキュリティログ
マルウェア対策
アプリ/通信制御
デバイス/
ファイル制御

構成例

Mark II Client セキュリティログ取得、マルウェア対策など端末にインストールするソフトウェアの総称
Mark II Server Mark II Clientの設定など、Mark IIに関する各種設定を行う管理サーバー
Mark II Analyzer Mark II Clientで取得したセキュリティログを解析するMark II専用ログ解析アプライアンス
Mark II Spooler 他社SIEMとの連携の際に必要なログ転送アプライアンス

Mark II Client 動作環境

Mark II Client

対応OS Windows 7 SP1 / 8.1 / 10

※Windows 10 LTSC環境でご利用を検討の場合は、事前に販売会社様、または弊社担当営業までご相談ください。
※Windows OSの対応状況に関しては、こちらをご参照ください。
CPU OSが動作するCPU
メモリ OSが動作するメモリ
HDD 100MBの空き容量(ログファイル等によって増加)
通信方式 IPv4及びIPv6※1
その他 .Net Framework 3.5以上が必要です。
マルウェア対策機能との共存を確認しているウイルス対策ソフトウェアについては、こちらをご覧ください。
  • ※1 Mark II ClientとMark II Server / Analyzer / Spooler間の通信は、IPv4のみの通信となります。


■弊社ソフトウェアとの共存時の注意事項
・InfoTrace PLUSのAgentとは共存できません。InfoTrace PLUS環境から移行されるお客様は、サポート窓口へお問い合わせください。

・InfoTrace Mark II for Cyberの各機能のうち「デバイス・ファイル制御機能」をご利用の場合は、SmartOn ID クライアントと併用ができません。

Mark II Server / Analyzer / Spooler

Mark II Server / Analyzer / Spooler(物理アプライアンス)

名称 InfoTrace Mark II Server
(管理サーバー)
InfoTrace Mark II Analyzer
(ログ解析アプライアンス)
InfoTrace Mark II Spooler
(ログ転送アプライアンス)
モデル番号 MK2-DX05-A MK2A-DX05-A MK2SP-ST32-A
ネットワーク
インターフェイス
10/100/1000BASE-T(X) ×4
筐体形状 EIA19インチラックマウントタイプ
外形寸法(W×H×D) 443mm × 44mm × 386mm
重量 7.3kg 7.2kg 7.3kg
電源 90~264Vac、47~63Hz
最大消費電力 120VA
動作環境 温度0~40℃、湿度20~90%、結露なきこと
適合規格 VCCI Class A、FCC Class A、CE、UL、RoHS、
PSE(電源ケーブル)

Mark II Server / Analyzer / Spooler(仮想アプライアンス)

名称 Mark II Server
仮想アプライアンス
(管理サーバー)
Mark II Analyzer
仮想アプライアンス
(ログ解析アプライアンス)
Mark II Spooler
仮想アプライアンス
(ログ転送アプライアンス)
対応プラットフォーム
対応仮想プラットフォーム VMWare ESXi 6.0 / 6.5
仮想マシンバージョン 10
ハードウェア構成
CPU数 4
最大メモリ容量 8,192MB 16GB
32GB (*1)
256GB (*1)
8,192MB
ハードディスク1 1GB 4GB 4GB
ハードディスク2 500GB
ネットワークアダプタ数 4

*1 ライセンスが必要です。

カタログ・資料

お問い合わせ

フォームからのお問い合わせ

お問い合わせ