中小企業によくある課題
セキュリティの観点から何かあった時のためにファイアウォールのログや操作ログなどを集めてはいるが、そのデータについては特に活用できていないという企業は多いのではないでしょうか?
特におかしな挙動の報告やアラートが上がっていないのでデータを深堀することはない、というケースがほとんどですが、実際にデータを精査してみてみると「実は攻撃を受けていた」というケースも存在します。
今回はセキュリティ対策の観点から見たログ解析の重要性と活用方法、そして現実的な対応方法について解説したいと思います。
「エラーが出たからログ見ておいて」「昨日のアクセス数は異常だから、どこのIPからきているかログを確認してくれる?」など、情シス担当者は普段「ログ」という言葉を何気なく使うことが多いかと思いますが、その意味をきちんと考えたことがあるでしょうか?
セキュリティにおいてログとは「特定のタイミングに発生した事象の記録」を指します。
例えば執務室の入退室記録といったアナログなものから、端末のイベントログ、システムのエラーログ、WEBサイトのアクセスログなどデジタルなものまで幅広いものが「ログ」であるといえます。
主にログは日時+イベントデータで構成されていて時系列で発生したイベントが蓄積されており、ファイアウォールやサーバ、DB等システムごとに蓄積されます。
UTM(統合脅威管理(Unified Threat Management))を導入している場合はネットワーク周りの情報が統合管理されているなど、分析のために元となるログを収集、変換したうえで保存しているケースもあります。
ログがあるとできることは数多くあります。
例えば「外部からの攻撃がいつ・どこから・どのくらいの頻度で発生したのか」「認証を突破しようとしてきた相手が、どのアカウントを使っているのか」「どの端末から勝手にメールが送られていたのか」といった内容は、全てログを追うことで回答を得られるケースです。
解析対象となるログは大まかに「操作ログ」「認証ログ」「イベントログ」等があります。
ログはそれ単体では時系列で発生したデータが蓄積されているだけですが、そのデータを紐解いていくとNIST(米国国立標準技術研究所)が定めたCSF(サイバーセキュリティフレームワーク)でいう外部からの攻撃を発見する「検知」のフェーズや侵入された際の影響範囲を特定し対処していく「対応」のフェーズなど様々な場面で力を発揮します。
※CSFは元々「重要インフラのためのサイバーセキュリティフレームワーク」として定められたものだが、数度の更新を経て一般企業にも適用できる汎用性の高いフレームワークとなっています
何か普段とは異なる異常なイベントログが発生していないかを「検知」し、検知された場合はそのデータを分析して該当のインシデントに対する適切な対策を実行し「対応」するのがログの正しい使い方といえます。
セキュリティソフトによる防御も限界があり、近年検出が難しい攻撃が増えている結果、ログの監視・解析によるリアルタイムでの検知が企業の情報セキュリティにとって生命線となるケースが出てきています。
こうしたログの重要度の上昇に伴い、各セキュリティベンダーはEDR(Endpoint Detection and Response「エンドポイントでの検出と対応」)に対応したソリューションを展開するようになりました。
専用のエージェントソフトを導入し、ログを収集・分析しネットワークに接続されているエンドポイントの端末に対して行われる標的型攻撃やランサムウェアなどを検知するソリューションです。
EDR製品を導入することで、マルウェアが侵入しても問題が深刻化する前に検知および対処することができるようになるのです。
外部からの攻撃に対しては複数の段階において検知、対応それぞれで見ていく必要があります。
具体的には以下の3点となります。
サーバや端末内に侵入される前の対策です。
不正アクセスの遮断や不審な通信の拒絶、不明なメールの検知などを通じてそもそも攻撃者からの侵入を防ぎ、内部に存在するデータを保護するのが目的となります。
異常な量のアクセスや、繰り返されるパスワードへのアタック、大量のspamメールなどを検知し、アクセス元の遮断やファイアウォールの設置などの対応を検討します。
サーバや端末内に侵入された後の対策です。
入口対策を突破された場合に機密データにアクセスされていないかを検知することが重要です。
認証通過後の不審な行動の検知(ふるまい検知)や怪しいアプリケーションのインストール検知などによって攻撃を検知し、さらに機密情報が入ったフォルダへのアクセスログ確認などを行い、どの程度まで侵攻されたのかを確認します。
こうした情報をもとに、どの端末を隔離するべきか、どういった復旧対応が必要かなどを検討します。
マルウェア感染等が発生した後の、外部へのデータ送信や通信の遮断などの対策です。
侵入され、攻撃されたとしても外部にその影響が出なければ最悪の事態を防ぐことは可能です。
そのためには内部への侵入を検知した段階で出口となる経路の遮断や、そもそものデータのフィルタリングによる情報持ち出しの制限を行うなどの対応が必要となります。
この3段階すべてが突破され、もし外部への持ち出しが行われてしまった場合も、報告・公表する際には正確な情報を出す必要があります。
ログを解析し流出した経路、原因、流出項目、件数、日時などをきちんとまとめられなければ情シス担当者として説明責任を果たせず、かつ再発防止策が立てられなくなってしまいます。
企業を狙う側の攻撃は日々巧妙化しています。
ログ解析だけでは不正な行動とわからないデータであっても、組み合わせることで「攻撃」であることを検知することが可能なケースも出てきます。
例えば、入退室ログとサーバのアクセスログ、そして出勤のシフトを突き合わせると、該当ユーザが休暇日のはずなのにサーバへのアクセスログが記録されているようなケースです。
ログは横断して確認することで見えなかった攻撃を検知するきっかけにもなります。
しかし、こうした相関分析は経験やノウハウを持っていないと見落とす可能性があるのが難しいところです。
また、最近はAmazonのAWSやGoogleのGCPをはじめとしたパブリッククラウド環境上でシステムを構築するケースも増えてきています。
ログを横断する場合にはこうしたオンプレミス環境だけではなく、ハイブリッド環境に合わせたログの取得および管理体制を構築しなければなりません。
情シス担当者の業務は多岐に渡り、ログ解析を専門としているケースは稀かと思います。
そのため、対応方法としては外部の専門家やEDRのようなソリューションを活用し精度を上げていくことが現実的な解と言えます。
IPA(情報処理推進機構)では「『高度標的型攻撃』対策に向けたシステム設計ガイド」の中でサブタイトルを「~入口突破されても攻略されない内部対策を施す~」としているように侵入を完全に防ぐことは実質的に難しいことを前提とするよう推奨しています。
こうしたいわゆる「ゼロトラスト(既存のセキュリティを信用せず、監視および検査を行う考え方)」の状況を考えると、ログ解析を通じて「検知」及び「対応」の精度と速度をいかに上げるかが企業として重要なポイントとなってきます。
情シス担当者ひとりの力では限界がある一方で、間違えると企業の存続に関わる重大なインシデントにもなる外部からの不正アクセスに対しては、ソリューションの導入についても検討をしてもらいたいと考えています。
ログ解析は正しいモニタリングが行われていないと効果を発揮しません。
UTMを設置していても十分とは言えず、アラートログ(警告)を分析し、適切な対処をする必要があります。
SOMPOリスクマネジメントではUTMから発せられる警告情報を収集し、サイバー攻撃の痕跡を分析する事で機器だけでは発見出来ない高度な攻撃を検出できるSOCサービスをご提供しております。
コスト面で導入のハードルが高かったSOCによる監視や分析サービスを自動化やクラウド活用により、ご利用しやすい価格でお届けします。
ログ解析のリソースに余裕がないという企業様はぜひ一度ご検討ください。
主に官公庁や大手企業向けにセキュリティ監視を提供する、日本を代表するセキュリティ事業者の株式会社ラックの協力によるログ分析システムを活用する事で、高品質と低価格を両立したログ分析(=セキュリティ監視)をご提供。
オプションとして企業の事業継続を支えるサイバー保険もご提供致します。
製品の詳細はこちらからご覧いただけます。
昨今注目されているゼロトラストネットワーク。クラウドサービスが普及し、働き方の多様性も著しい現代で提唱されている新たなセキュリティの考え方です。当コラムでは、ゼロトラストの考え方を解説しながら、いま企業はどんなセキュリティ対策を取るべきかについてご説明します。
