7. 脅威検知レポート¶
7.1. はじめる前の準備¶
docomo business RINK IDaaSでは、基本機能の一つとして、脅威検知レポートを提供しております。
ご利用にあたっては、docomo business RINK IDaaSのお申込み、および docomo business RINK IDaaS管理ページとの連携設定が必要です。
docomo business RINK IDaaSのお申込みについては、こちら をご参照ください。
連携設定については、こちら をご確認ください。(API Key設定マニュアル)
7.2. docomo business RINK IDaaS脅威検知レポートとは?¶
docomo business RINK IDaaSでは、docomo business RINK IDaaSの認証利用状況の生ログを元に、リスクレベルに応じた脅威を検知し提供します。脅威検知レポートの画面構成は以下のとおりです。
[項番] |
[説明] |
① |
直近14日間のリスクレベルに応じたレポートサマリを表示します。 |
② |
直近24時間の認証状況(認証成功件数、認証失敗件数)を表示します。 |
③ |
脅威検知の推移を月次で表示します。 |
④ |
脅威検知レポートの詳細情報の検索が可能です。期間(直近24時間/3日間/7日間/14日間、もしくは、指定期間)や、メールアドレス、IPアドレス、リスクレベルの情報による、レポートの検索が可能です。 |
⑤ |
レポート情報の詳細が表示されます。 |
⑥ |
docomo business RINK IDaaSへ遷移します。 |
※本脅威検知レポートは、普段気づかない脅威に気づかせてセキュリティに関する示唆を行うためのものであり、リアルタイムで即対応が必要な高リスクの警告を表示するものではありません。
そのため、docomo business RINK IDaaSの管理ページから(API Key連携により)1時間に1回更新し、最新レポートを表示する仕組みとなります。
7.3. リスクレベルの定義や種類¶
脅威検知レポートのリスクレベルは、High, Medium, Low, Informationalの4種類と分類されており、リスクに対する推奨アクションのご確認が可能です。リスクレベルの詳細は、以下の通りです。
[リスクレベル] |
[脅威の目安 ※1] |
[検知ロジック ※2] |
High |
明らかに怪しい動作。不正アクセスや攻撃である可能性が非常に高い。 |
アカウントロック:
・アカウントロック状態にアカウントに対し、15分以内に10回以上ログイン失敗の継続。
パスワードリセット:
・15分以内に同一アカウントに対して、パスワードリセットが10回以上発生。
|
Medium |
正常な動きである可能性もあるが、怪しい動きである可能性も高く、確認が必要な場合。 |
同一IPアドレス:
・同一IPアドレスから、15分以内に5件以上の複数アカウントに対して、ログイン失敗がある場合。
・同一IPアドレスから、15分以内に5件以上の複数アカウントに対して、パスワードリセット要求がある場合。
未許可IPアドレス:
・未許可IPアドレスから、ログイン試行がある場合
|
Low |
正常な動きである可能性が高いが、怪しい動きである可能性もある場合。 |
ログイン失敗:
・同一アカウントに対して、15分以内に3回ログイン失敗がある場合。
パスワードリセット:
・15分以内に、5件以上の複数のアカウントに対して、パスワードリセットがあった場合。
未許可IPアドレス:
・未許可IPアドレスから、ログイン試行がある場合
|
Informational |
怪しい動きではないが、権限の設定変更など、重要な設定であるため、確認が必要な場合。 |
権限管理:
・権限グループの追加・削除
・管理者ユーザ パスワードリセット
IP制限:
・IP制限 削除・作成・更新
・IPグループアプリ追加・削除
|
※1 リスクレベルはあくまでも一般的な考え方による脅威の目安であり、絶対的な基準ではございません。
※2 お客様の利用環境や運用により、特定リスクが頻繁に表示されることもございますので、ご了承ください。
検知された脅威に関しての推奨アクションやアドバイスが欲しい方は、有償のセキュリティヘルプデスクがおすすめです。