ログがあるとできることは数多くあります。
例えば「外部からの攻撃がいつ・どこから・どのくらいの頻度で発生したのか」「認証を突破しようとしてきた相手が、どのアカウントを使っているのか」「どの端末から勝手にメールが送られていたのか」といった内容は、全てログを追うことで回答を得られるケースです。
解析対象となるログは大まかに「操作ログ」「認証ログ」「イベントログ」等があります。
ログはそれ単体では時系列で発生したデータが蓄積されているだけですが、そのデータを紐解いていくとNIST(米国国立標準技術研究所)が定めたCSF(サイバーセキュリティフレームワーク)でいう外部からの攻撃を発見する「検知」のフェーズや侵入された際の影響範囲を特定し対処していく「対応」のフェーズなど様々な場面で力を発揮します。
※CSFは元々「重要インフラのためのサイバーセキュリティフレームワーク」として定められたものだが、数度の更新を経て一般企業にも適用できる汎用性の高いフレームワークとなっています
何か普段とは異なる異常なイベントログが発生していないかを「検知」し、検知された場合はそのデータを分析して該当のインシデントに対する適切な対策を実行し「対応」するのがログの正しい使い方といえます。
セキュリティソフトによる防御も限界があり、近年検出が難しい攻撃が増えている結果、ログの監視・解析によるリアルタイムでの検知が企業の情報セキュリティにとって生命線となるケースが出てきています。
こうしたログの重要度の上昇に伴い、各セキュリティベンダーはEDR(Endpoint Detection and Response「エンドポイントでの検出と対応」)に対応したソリューションを展開するようになりました。
専用のエージェントソフトを導入し、ログを収集・分析しネットワークに接続されているエンドポイントの端末に対して行われる標的型攻撃やランサムウェアなどを検知するソリューションです。
EDR製品を導入することで、マルウェアが侵入しても問題が深刻化する前に検知および対処することができるようになるのです。