Police CyberAlarmは、メンバー組織のファイアウォールによってブロックされている、または不要と思われるネットワークトラフィック、および関連する活動として疑わしい活動を識別します。これには、容疑者が脆弱なポートをスキャンしようとしたり、既知の攻撃方法を使用して組織のシステムに繰り返しアクセスしようとしたりする活動が含まれます。

Police CyberAlarmは監視システムであるため、お客様のインターネットゲートウェイのトラフィックを妨害することはありません。

Police CyberAlarm は、特定された疑わしい活動に対して自動的なアクションを起こすことはありません。これは報告および警告システムであり、英国警察がサイバー脅威を特定して対策を講じ、加盟組織がサイバーセキュリティ態勢をよりよく把握できるようにするためのものです。

報告されたデータにどのように対処するかについての決定責任は、メンバー組織が単独で所有します。

Police CyberAlarmレポートは、インターネットからの疑わしいトラフィックと潜在的な攻撃を要約したものです。詳細には、疑わしいトラフィックの上位ソースや、悪意のあるユーザーがお客様のシステムに対する攻撃に使おうとしているポートが含まれます。

データは、英国内から発信される不審な活動と、英国外からの不審な活動の2つのカテゴリーに分けられます。

警察のCyberAlarmレポートは、会員組織がどのように、どこから攻撃を受けているかを示し、より良い防御ができるようにします。私たちは、会員組織が収集したデータを最大限に活用できるよう、会員組織と協力していくことを目指しています。

PCA クラウド型ファイアウォールに対応。

Police CyberAlarmは送信データの本体を収集しないため、暗号化されたデータやVPNトラフィックは、Police CyberAlarmシステムが疑わしいトラフィックのログデータを収集する能力に影響を与えません。

個人情報を扱うすべての組織や個人事業主は、免除されない限り、情報コミッショナー事務所（ICO）にデータ保護料を支払う必要があり、登録番号が割り当てられます。Police CyberAlarmの利用にはデータ共有の取り決めがあるため、加盟組織は情報コミッショナーへの登録が必要となります。この登録が行われていることを確認するため、当組織はすべてのPolice CyberAlarmメンバーのICO登録番号を要求しています。情報コミッショナー事務局の詳細とICO番号の登録については、ICOのウェブサイトをご覧ください。

Police CyberAlarmがICO登録番号を必要とする理由の詳細については、enquiries@cyberalarm.police.uk までお問い合わせください。

Police CyberAlarmコレクターがPolice CyberAlarmサーバーに接続すると、ソフトウェアが自動的に更新されます。

Police CyberAlarmコレクターが動作するデバイスのオペレーティングシステムに更新が必要な場合、完全な指示を含む電子メールがメンバー管理者に送信されます。

Police CyberAlarmは、内部ネットワークへのアクセスを必要とせず、単にsyslogデータを受信し、分析のためにフィルタリングされた疑わしい活動データをPCAサーバーに送信することができればよい。データコレクターは、インターネットからのインバウンド接続を必要とせず、ポート443と1つのURLへのアウトバウンドのみのシステムです。

最近の業務用PCは、単独でPolice CyberAlarmデータコレクタを動作させることが可能なものがほとんどです。最も頻繁に使用される方法は、VMWare仮想アプライアンスを使用してPolice CyberAlarm Data collectorをインストールすることです。

(アプライアンスのハードウェア仕様 - 2CPUコア、2GB RAM、25GBディスクスペース）。

Police CyberAlarmのインストールには、2つのオプションが用意されています。

• VMWare Virtual Appliance - 提供されたURLをコピーして、VMWareの管理コンソールに貼り付けるだけです。
• Linuxデバイスへのソフトウェアインストールとして - 物理デバイスまたは仮想デバイスのいずれかにCentOS 7 Minimalが必要です。

Police CyberAlarmの入会コードをお受け取りになった後、詳しい手順をご説明します。

Police CyberAlarmは、独自のサーバー環境に設置されたスタンドアロン型のシステムです。コレクターは、ログデータを収集し、インターネットゲートウェイからの疑わしい活動データを暗号化して、中央のPolice CyberAlarm処理サーバーに返送します。他の機器にソフトウェアをインストールする必要はなく、複数のゲートウェイから1つのPolice CyberAlarmコレクターにデータを供給することができます。

インターネットに面したデバイスからのログメッセージは暗号化されていません。セキュリティを確保するために、Police CyberAlarmシステムは、ネットワーク上に小さなコレクターをインストールします。通常、これはDMZ内にインストールされ、ログデータを収集し、疑わしいトラフィックや悪意のあるトラフィックを特定するために使用されます。データは暗号化され、圧縮された後、CyberAlarmの中央処理サーバーに安全に送信されます。

会員組織には、固定IPアドレスは必要ありません。Police CyberAlarmサーバーからPolice CyberAlarmコレクターへの通信は必要ないため、固定IPアドレスは必要ありません。

Police CyberAlarmは、1つのコレクターを経由して複数のファイアウォール装置を監視することができますが、それらはすべてメンバー組織契約で指定された登録組織に属している必要があります。大量のトラフィックがある場合、追加ログに対応するためにディスク容量を増やすことをお勧めする場合があります。複数のデバイスから 1 つのコレクターへの転送に関するご質問は、support@cyberalarm.police.uk までお問い合わせください。

登録フォームに入力する際、お客様の組織が所有する外部のIPアドレスやウェブサイトのURLを脆弱性スキャンの対象として追加することができます。その後、登録フォームの下部にあるチェックボックスを選択し、スキャンを希望することを確認する必要があります。既存のメンバーで、IPやURLを追加していない場合は、コレクターにログインして、IPアドレスとウェブサイトのURLを適切なフィールドに入力することで、更新することができます。これらは、毎月の定期的なスキャンに追加される前に、コンプライアンスと所有権を手動でチェックされます。スキャンは、会員組織が登録フォームを完了し、疑わしい活動のログをPolice CyberAlarmサーバーに送信した時点で初めて実施されます。

コレクターにログインし、適切なフィールドに改訂されたIPアドレスとウェブサイトのURLを入力するだけです。これらは、更新される前にコンプライアンスと所有権が確認されます。まだコレクターをインストールしていない場合は、support@cyberalarm.police.uk までご連絡いただければ、情報を更新することができます。

いいえ、Police CyberAlarmはIDS/IPSデバイスとして機能しません。Police CyberAlarmは、これらのデバイスと連携してトラフィックのログを収集し、疑わしい活動を特定するように設計されています。

PCAは、会員のネットワークにおける不審な活動を毎月報告し、全国の会員から寄せられた結果によって、より幅広い攻撃の傾向や将来起こりうる攻撃のベクトルを明らかにし、組織がセキュリティ体制を改善するための先制措置を講じることができるようにします。

Police CyberAlarm は、ファイアウォールなど、会員組織が設置した既存のセキュリティシステムから、お客様が収集することを許可したログデータを収集します。これらのログには、IPアドレス、デバイス、アクセスしようとしたポートなど、データを送信しようとした性質やソースの詳細が含まれ、電子メールのトラフィックに関連して、意図した受信者、件名、添付ファイル名などの詳細も含まれます。

本ツールが収集したデータの取り扱いに関する詳細は、サイバーアラームツールのプライバシーポリシーをご覧ください。

個人情報、企業秘密、知的財産を保護するためのシステムです。

Police CyberAlarmのデータコレクター上のデータは、コレクター上で圧縮・暗号化（256bit AES）され、暗号化されたWeb接続であるHTTPSでPolice CyberAlarmのサーバーにアップロードされる。

Police CyberAlarmによって収集されたログは、受信時にコレクターによって分析され、明らかに悪意のないログを削除して、これらのイベントが中央サーバーに送信されないようにします。ログが中央サーバーに到着すると、イベントがコレクターに受信されてから数分以内（数秒でも）に分析され、ログが悪質であるかどうかが確認されます。

例えば、ポート3389を使った接続要求であるログは、悪意のないものと判断されるかもしれません。しかし、データコレクターが、同じIPアドレスがポート3388、3387、3386などへの要求を拒否したことを関連付けると、これは悪意のあるポートスキャンの一部となる可能性があります。

中央サーバーでさらに分析した結果、最大24時間以内に疑わしいと判断された活動ログは、削除されます。

疑わしいと判断されたログファイルに、最大6ヶ月間、それ以上関連する活動がない場合、データの関連性が低下し、その保持が必要または適切でないと判断され、そのように削除されます。

本ツールが収集するデータの取り扱いに関する詳細については、サイバーアラームツールのプライバシーポリシーをご覧ください。

Police CyberAlarmが収集したデータは、警察とそのパートナーだけが閲覧でき、NCA（National Crime Agency）やNCSC（National Cyber Security Centre）などのパートナーを含む他の法執行機関とも共有されることがあります。

CyberAlarmサーバーが受信したデータは、個々の会員が見た疑わしい活動や潜在的な悪意ある活動に関する定期的なレポートの作成、および会員ネットワーク全体に見られる脅威の傾向に関するレポートに使用されます。会員は、この報告されたインテリジェンスを利用して、サイバー脅威からよりよく身を守るための防御を更新することができます。

本ツールが収集したデータの取り扱いに関する詳細は、CyberAlarm Tool Privacy Policyをご覧ください。

また、このデータは、サイバー犯罪の傾向を評価・追跡するために使用され、警察を支援します。サイバー犯罪に備え、組織を保護し、サイバー犯罪者を追及し、起訴する。英国がサイバー脅威に対して安全かつ強靭になり、デジタル社会で繁栄し、自信を持てるようにする。

Police CyberAlarmコレクターによってフィルタリングされた後、疑わしい活動に関連する通信データのみがさらに分析・保持され、データが誤って識別された場合は、保存されず、可能な限り速やかに消去されます。法的義務の遵守を確保するために、収集したデータの使用に関して制限が課されます。

本ツールが収集したデータの取り扱いに関する詳細については、CyberAlarm Tool プライバシー ポリシーをご覧ください。