ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. 座談会
ここから本文です。

座談会

セキュリティスペシャリスト達が語る「サイバーセキュリティ最前線の現場から」

テーマ2 意外に脆弱?セキュリティ担当者が見る企業システムの裏側

ログ管理がセキュリティ対策の基本

後藤: 企業の中には、NOC(ネットワーク機器の死活監視)だけにも拘わらず、SOCと言っているケースも散見されると聞きます。
SOCは、お客さまのセキュリティ製品が検知した脅威をレベル分けしてお客さまに連絡するのが主な業務ですが、実際の現場では、どのような課題があるのでしょうか。

SOC担当: SOCでインシデント発生時に頼りにするのは、お客さま環境のさまざまな「ログ」です。これがないと、"いつ・どこで・誰が・何を・どのように行ったか"正確に掴むことができません。ログの取得と管理はセキュリティ対策すべての基本になるわけですが、意外なほど、ログを正しく取得していないケースが多いです。

IR担当: そうですね。「正しくログを取っているほうが珍しい」ぐらいかもしれません。特にフォレンジック調査を行う上では端末ログだけだと詳細が分からない。ネットワーク機器のログも取得しておく必要があります。例えば、プロキシサーバのログがどれだけ残っているかで調査の精度がかなり変わってきます。ただ、さまざまな機器から出力される膨大なログを管理するには、アーカイブ用のストレージも含めてかなりコストがかかります。ここが企業にとってもネックになっていますが、組織の運用事情に合わせて相応の期間、ログを保存しておく必要があります。

拡大するログ管理が絡むセキュリティインシデント

SOC担当: いくつかのログを短期間でも保持して頂ければ、何がどこまで行われたか掴めると思いますが、それすら実施されていないケースでは、「何の情報が盗まれたか」と問われても、調査の手立てすらありません(推奨されるログ取得箇所の一例については、下の図を参照)。

ログ取得箇所の一例

近年のサイバー攻撃者行動を検出するためには、下記のログ収集が重要です。
  • Firewall・IPS
    感染活動(脆弱なPC や内部サーバ探索など)
    Web プロキシサーバを介さない外部攻撃者との通信
  • メールサーバ
    攻撃者によるマルウェア添付メールの受信
    攻撃者によるマルウェア設置サイトへの誘導メール受信
    機密情報の外部への送信
  • Web プロキシサーバ
    攻撃者によるマルウェア設置サイトへの誘導
    HTTP, HTTPS などのプロトコルによる外部攻撃者との通信
  • DNS サーバ
    外部攻撃者との通信の際に行われる名前解決の情報
  • AD サーバ
    アクセス権限や管理者権限の奪取およびアカウント情報の奪取
  • ファイルサーバ
    ファイルへのアクセス情報
  • PC
    感染活動(PC 内の情報収集やローカルネットワークの探索など)

拡大するログ解析の概要フロー

フォレンジック担当

フォレンジック担当: フォレンジック調査は、明らかにインシデントが発生したと判断されると呼び出されます。「1台、ウイルス感染したから見てほしい」とのことで、お客さまの環境に伺うのですが、実際には、数台のケースもあれば、1000台以上の場合もありました。その場合、フォレンジック(サイバー犯罪の証跡を科学的に分析)調査は、予算との兼ね合いで通常は数台で終了します。調査した結果、ほとんどのケースで、何らかの情報が盗まれています。従って、我々の仕事は、被害に遭ったことを証明するための作業ともいえます。

後藤: こうして話を伺ってみると、高度化したサイバー攻撃ばかりが注目されますが、実際は基本的な対策をしっかり実施していれば、防御できることも多そうですね。

IR担当: やはりセキュリティに対する意識が醸成されていないことが大きな要因かもしれません。いわば「対岸の火事」になっていて、セキュリティに費用をかける文化やマインドになっていないわけです。その結果、新しいシステムを構築したりリプレースする場合でも、現場やベンダ任せになってしまう。さらに経営層が特別に費用を計上しないという方針ならば、現場はIT予算のどこかを削るしかない。そこでセキュリティに関するチェックやシステムが甘くなるという悪循環を生んでいるのではないでしょうか。セキュリティの費用は5年で一括りにできるようなものではないので、そうした体制や認識を変えることがこれまで以上に大事になってくるでしょう。

拡大するインシデントの調査・解析

セキュリティインシデント対策は事前準備が重要

IR担当: もう1つ、技術的な問題もあります。組織が大きくなるとプロキシサーバも多段構成になり、それによって端末間のログの時間がズレてくること。最近は仮想サーバのVM間でも時間がズレているケースがあるので、インシデントの調査時に大変苦労しています。

写真

フォレンジック担当: そのあたりはインシデント発生時の現場保全状態が深く関わってきます。感染端末のネットワークからの隔離まではよいのですが、電源を落としたり、アンチウイルス製品でスキャンしたりしますと、検体が除去されるだけでなく、感染端末のログも消失します。発生した事象を時系列に因果関係や原因調査する上でも、無理せずインシデントの現場を保全して頂き、専門家に任せていただくことが肝心ですね。たまに、企業側で中途半端な調査を行ったことにより、証跡のログが上書きされて全く調査不能というケースもあります。

IR担当: 私もインシデントの調査依頼を受けて実際に調査してみると、数台の感染との話が、実際には数千台に広がっていたというようなケースも…。

後藤: その規模になると、業務の一時停止やメディア発表など事業継続にも影響が出るレベルですね。

IR担当: これは当社が担当した事例ではありませんが、ログがほとんど取得されておらず、調査不能なケースもあるようです。そのためお客さま側は「何者かが侵入した形跡はあるが、情報が外部に漏れている証拠もない。ならば敢えて公表する必要はない」と判断したそうです。コンプライアンス的にも問題がありますし、内部告発などで外部に発覚した場合は、マスコミなどから「組織的隠蔽」と非難されても仕方がありません。そうならないためにも事前に徹底した対策を立て、万一の際に調査できる基盤を作っておくべきでしょう。

情報や問題意識の共有が攻撃の防波堤に

後藤: そこでお役に立てるのが、専門家の知見と技術になるわけですね。NECのSOCでは、セキュリティの専門家が24時間365日体制でお客さまのネットワーク境界のさまざまな機器を統合的に監視・分析して支援しています。そこでのお客さまとの関係性で何か気づいたことはありますでしょうか。

SOC担当: 当たり前のことですが、やはりSOC単独では巧妙化・先鋭化するサイバー攻撃を防ぐことはできません。お客さまには情報システムを運用する際のセキュリティ設計やログ管理の仕組み、CSIRT体制をしっかり構築していただくことが必要です。また、フルタイム監視とはいってもIDS/IPSの機器不具合などで一時的に監視が止まるケースもありますし、(業務上必要な通信はお客さまによって異なることもあり)正常な通信でもSOC側で把握していないと不審な通信として検知するケースもあります。リモートからサービス提供する状況では限られた情報しかないため、できる事も限られます。そういった細かな部分も理解しながら、常に情報や問題意識を共有し合い、最適なセキュリティ運用を行っていける信頼関係を築き上げていくことが必要です。

写真

解説コラム: ログ取得の重要性について

標的型攻撃メールは、フリーメールや取引先・関係組織の送信元を偽装(その組織に侵入して正規アカウントを不正利用)して送信されます。これらを受信するメールサーバのログ取得が必要です。メール受信者が不正ファイルを開くと、ターゲットPC内でマルウェアの活動が始まり、攻撃者が使用するCommand& Controlサーバ(攻撃者が攻撃の制御で使用するサーバ)へコールバックなどが発生するため、FireWall、IPS・IDSなどの通信ログ、Webプロキシサーバのアクセスログが必要です。
名前解決の問合せで使われるリゾルバ(DNSサーバ) のログや、社内リソースへのアクセスで使われるAD(ActiveDirectry)などの認証サーバのログも必要です。マルウェアは、Command & Controlサーバを通じて攻撃者の指示を受けながら、組織内の別のPCへの感染活動やファイルサーバなどへのアクセスを行い、最終的に盗み出した情報を外部に送信します。

解説コラム: ログ保存期間に関する考え方

NISC、JPCERT/CC、IPAは、1年以上のログ保存を推奨しています。長期にわたる高度サイバー攻撃などでは、調査に必要なログの保持期間が長引く傾向にあります。

  • NISC(内閣サイバーセキュリティセンター)は、1年以上のログ保存期間を推奨。
  • JPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)では、インシデント対応支援などの結果から1年分のログ保存を推奨。
  • IPA(独立行政法人情報処理推進機構)は、1年以上のログ保存を推奨。
  • クレジットカード業界のセキュリティ基準であるPCIDSS(Payment Card Industry Data Security Standard)では、即時にアクセスできるオンライン保存で3ケ月間、オフライン保存で1年間を監査証跡の履歴保持に関する要件(項番 10.7) としています。
  • ログの保存は、自組織の運用に合わせた適正化が必要です。

解説コラム: SOCもCSIRTもない組織はどうすればよいか?

もしも、自組織のシステム管理者がサイバー攻撃の兆候を見つけた場合、情報漏えいや組織内への感染拡大など攻撃の進展を食い止める必要があります。インシデント発生時の初動対応で留意すべき事項は、下記の通りです。

  • マルウェアを含むと疑われる不審なファイルをとりあえず削除
    → 最近のマルウェアは複数のファイルを使用して動作しており、一部のファイルがターゲット先で削除されるとマルウェア調査ができない場合があります。
  • PCやサーバなどの各種設定(ログインパスワードを含む)を変更する。
    → 設定の変更がマルウェアによるものか否か判断できなくなり、調査がより困難になります。
  • 感染が疑われるPCの調査のために、新たなセキュリティ対策製品(当初からインストールされていたものと異なるウイル ス対策ソフトなど)をインストールし実行。
    → マルウェアの痕跡が失われ、マルウェア調査ができない場合があります。

マルウェア感染が疑われるPC は、被害の拡大を防止するために、直ちにネットワークから切り離すことが推奨されていますが、ネットワーク切断されるとマルウェア自身が自己消去して証拠隠滅を図る場合があります。感染PCをシャットダウンすると、メモリ上に展開していたプロセスやマルウェアが生成したデータなどが消失します。マルウェアやその痕跡が消去されると、被害範囲の特定も駆除も困難になります。機密漏えいと感染拡大の防止が最優先されますが、状況に応じて専門家に相談することも重要です。

おすすめコンテンツ

ページの先頭へ戻る