セキュリティ事故現場から見える経営リスクと対策 Vol.3

IT・IT製品TOP > Key Conductors > 江尾 一郎(ソフトバンク・テクノロジー株式会社) > セキュリティ事故現場から見える経営リスクと対策 Vol.3
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

セキュリティ事故現場から見える経営リスクと対策 Vol.3

運用管理 2014/09/02

 セキュリティ事故発生から (Vol.1)インシデントレスポンスと、 (Vol.2)アセスメントによる改善・強化策のプロセスを説明してきました。本連載(全4回)の第3回では、社内のネットワーク上での不正アクセスや内部犯による情報窃取を見逃さないためにも、多くのネットワーク機器・サーバー、不正防御検知システムや管理機器の出力するログ管理と分析活動から、企業の重要なリスク回避につながる基本的なプロセスを取り扱います。

第3回:ログ分析〜ビッグデータ・セキュリティ編

1.ログ分析

 ログの管理において、担当者は日々、様々な課題対応に追われています。インシデントが発生しなければ優先度が下げられ、なかなか整理・改善できないのが現状ではないでしょうか。セキュリティ対策の一環(PCI DSS等の規定順守)で日々運用での確認作業を行っている企業でもどうでしょう。日々新たなデバイス接続による脅威は増え続け、課題だけが積み上げられて行くリストをみては途方に暮れることもあるのではないでしょうか。今回は、これからのログ管理の改善とその必要性にふれていきます。

■ 調査の流れ(想定)

 セキュリティインシデントが発生しました。その後すぐにいくつかの不審な現象を発見し、要因と影響範囲を把握するため内部調査段階にはいりました。すると、以下の通り社内への不正侵入の痕跡の可能性のある事実が確認されました。

  (1)不審なメールによるホスト感染
  (2)ActiveDirectry (AD)・共有サーバーの不審な再起動が発生
  (3)不審な内部通信の痕跡を確認
  (4)フォレンジックおよびマルウエア解析にて、外部との通信の痕跡を確認
  (5)関連するログからネット情報流出の痕跡を調査・確認
 
  ここでようやく、一連の攻撃の関連性と目的の事実をつかみました。

■ ログの収集と分析

 (上記の流れで、説明します。)システム或いは情報セキュリティ担当者は、セキュリティ機器のアラートやインシデントの通報をもとに、必要と思われるログから調査します。インシデント発生後、事象の情報整理・調査委員会を招集し、仮説をたて該当機器の関連ログの収集と分析を行います。不正な侵入の痕跡があれば、フォレンジック・マルウェア解析による調査速報レベルの不正操作事項をもとにログ解析の的を絞り込み、「いつ、どこで、何を、どのようにして、どの範囲で、どうしたなど」のいくつかのパターンを膨大なログから正常通信を除外し、異常な通信をあぶり出して、全容解明に至ります。初期段階での痕跡が未知の問題(不明)であったり、途中で手がかりが途絶えた場合は、いくつかの仮説や類似パターンの情報を入手し不審なデータ(異常なパターン)を探しだします。試行錯誤の繰り返しになります。

■ 調査の弊害(壁にぶつかる)

 筆者が数年前にある顧客のインシデント対応支援で企業担当者と調査ログの対象範囲を調整していたおり、「対象機器のログ収集の調整に数日かかり、さらにデータ抽出とその解析に理想的な調査期間範囲だと数週間を要するボリュームなので解析には数ヵ月かかる見込みだ。」と聞かされました。
 初動調査段階では危機感の認識に関係者間でギャップがあり、認識を改めて依頼の仕方を変え、的を絞り切った調査(流出の事実確認)をしてもらうことにしました。どのような機密情報が流出したのかわからない被害状況では、トップへのエスカレーションとその判断(情報流出を止める手立て:最悪システム制限/停止)ができない状況でもありました。
 PCの感染時の通報、不審な通信の検知など、各現場ではきちんとログの管理や監視システムが機能していました。それでも大幅に原因究明の調査・解明が遅れました。その理由とは、各事業部のシステム管理者が組織毎に分離されたネットワークを管理し初動対応の内部調査においては組織Aの感染PCの事象と組織Bのネットワーク内の不審なパケット発生の事象との時期がずれていたため、別の要因と判断され、さらに中枢本部のADサーバーの不審な再起動も一連のインシデントとの因果関係がないと判断されていました。調査範囲が複数の独立した事業組織で管轄の違う管理者であったため管理権限の調整で非常に時間がかかりました。
 ロケーション・事象の異なるインシデントに対し原因不明の状況では、誰しも想定していなかった不審な事象(未知の問題)に対する調査手順(判断基準)がなかったため判断遅れの悩ましい壁にぶつかりました。大きな組織では各管理者の理解度に差異が生じると、システムの一時制限や停止など被害拡大を防ぐ手立てが現場の管理権限ではできずに被害が拡大した事例はよくある話です。環境の変化が激しいビジネススタイルの企業組織では、インシデント事例をその都度参考に規定や基準を見直すくらいのコントロールが必要になってきています。

2.統合ログ管理

■ 相関分析の準備

 正規化ID(ログ管理システムが各ログに付与する一意のID) など、ログ管理のマスターのキーとする属性は、一意でアカウント名など識別しやすいものにします。
その属性情報として、社員番号・入退出カード番号・メールアドレス・機器管理アカウントID・機器のネットワークアドレス関連、端末の機種と機能などをひも付けします。そして各ログファイルのレコードに正規化IDを付与しデータを時系列に並び替えます。明細情報もログ名・アクション/イベントに整理し、各ログファイルの正規化IDで突合していけば、関連データの整理が可能となります。時系列に整理して行くと相関分析用データ(ビュー)ができます。

正規化の例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

正規化の例

(1)機密情報流出ケース

 ここで、ある“仮説”を立ててみました。機密資料の外部持ち出し禁止の規定違反取り締まり案です。

(a)(退職予定の)社員が、(b)休日/夜間に作業申請なしで出社し(無許可)、(c)内部機密データをダウンロードし、(d)メールで外部へ転送をしていたようです。

 退職予定者の条件は、一般的に似る確率が高いのでマークをつけて注目をすることで重点監視ができます。この条件は一例であり、リスク分析(重要な条件は何かを検討)し、見やすく編集できる工夫をしてください。
・・・(a)入退出記録(通常勤務外の異例のケースの警告)
・・・(b)人事データ(入退出記録と突合)
     →通常勤務外の異例のケースは警告か違反(申告漏れなら警告、要調査継続)    
     →作業時間外の作業理由を確認します(上長/管理者から確認)
・・・(c)アクセスログ(人事データと突合)監査ログの成功/失敗
    ・入退出記録がなくログインが成功されている
     →リモートログイン操作の可能性(許可されているか・なりすまし)
      リモートログインのログ調査(相関分析に追加)、本人確認
    ・入退出記録はあるが未申請で出社、ログインされている
     →入退出記録&人事データとの相関で、違反と見なされる  
・・・(d)メール以外の調査も必要です
    ・Web操作履歴(PC上の操作履歴とネットワーク関連ログURLの内容の調査)
     特に、オンンラインストレージサービスなどへの機密情報転送や複合印刷機など
     の(大量)印刷記録はないか

(2)アクセス権限が昇格したケース

(a)あるIPアドレスから、(b)休日/夜間に作業申請なし(無許可)で端末にログインし、(c) 内部機密データをダウンロードし、(d)あるサイトへ転送をしていたようです。

対象ログの選択  
   ・・・(a)入退出記録(ログイン操作前後の入退出記録はありません。)
   ・・・(b)人事データ(入退出記録と突合)
       →入退出の確認必要
   ・・・(c)アクセスログ(人事データと突合)監査ログの成功/失敗
        ・入退出記録がなくログインされている
       →リモートログイン操作(本人か、なりすまし)
        ・同じIPからほかアカウントIDで試行していれば異常ケース
        ・過去の履歴パターンと違うところがある
       →いつもと違う端末から操作をしている
        ・複数のアカウントでログイン成功している
       →同じIPからほか複数アカウントのIDで試行していれば異常ケース
       →入退出記録なしなら外部侵入の可能性も検討・調査
         ※別途調査チーム編成(インシデント)

■ 各デバイスログとイベントアラートとの相関付け

 セキュリティインシデントのトリガーになるイベントアラートをもとに、詳細な各正規化されたログデータの相関分析を行います。
  イベントアラート
   ・セキュリティアラート
   ・通報によるアラート
   ・管理されたログ解析による異常検知によるアラート
  各デバイスログ
   ・サーバーおよびホスト
   ・通信ログ、ネットフロー、ネットワーク異常値
   ・データベース、アプリーケーションセッション情報、ADのアクセスログなど
   ・コンフィギュレーション情報
   ・脆弱性情報、IPレピュテーション、システム監査記録、診断結果情報など
   ・過去の履歴情報
   ・ID/ユーザー情報、電子メール、ソーシャルメディア上のアクティビティー

 相関分析データをシーケンシャルに整理した単一レポートに整形し、担当・アナリストに提供することにより異常なログが判別され、迅速な追跡と要因解明につながります。リアルタイム性が備われば、サイバー攻撃や内部犯罪の内部調査段階〜情報流出までの時系列での不正操作が可視化され迅速な分析が対応可能になります。相関分析は最初からうまくいきません。仮説をたて、情報搾取する犯人の目的や行動を推理することにより、やってはいけない行為が見えてきます。また、同時に予防対策案も考えられ規定や制御の見直しもできます。

3.ビッグデータ活用術

 既存のセキュリティ製品は、シグネチャーベースでスキャンすることにより攻撃の検知・遮断を可能にしていましたが、現在の攻撃の手口に対するベンダ提供のシグネチャーベースでの攻撃検知・遮断は難しいものとなっています。巧妙な手口(親しいパートナー経由)で入口をすり抜け、数多くのパターンの攻撃(アクティビティー)を展開します。外部からの不正侵入は、ホスト感染・情報収集・拡散・AD/乗っ取り、情報流出など様々なアクティビティの実行がなされます。
 これらを調査するための関連する対象ログは、該当エリア・複数の機器・期間などを検討し膨大な量の収集作業と分析となります。そこで、「振る舞い検知型」(サンドボックス)の検知システムなどの設備導入は、アラート情報を基に関連ログの相関分析を行い、監視・追跡を行うことで的を絞った調査と分析が可能となります。しかし、影響範囲が拡散されていく攻撃に対応して調査継続していくためには、ビッグデータの活用が不可欠になると思います。
 正常時のベースラインの作成により異常なアクティビティを検出し、過去の履歴パターンのマッチングによるほかエリアでの再調査では、予兆・情報流出の水際でとめることが可能になります。今後、非構造化データの参考情報は有効な情報もあり、ビッグデータのアーキテクチャーは、セキュリティ統合管理システムへの活用には必要不可欠な技術になるでしょう。膨大なログ量と過去の履歴データに基づくベースライン、外部参考情報(公開されている悪意のある通信パターンやC&Cサーバー情報など多数の情報との組合わせパターンの試行を繰り返し分析することにより、異常な通信を検出し、不正な行為の制御・フィルタリングにより攻撃を阻止することに活用できます。
 専門家(データサイエンティスト)と設備提供の支援サービスもリソース不足の組織では必要になります。持ち出せないデータには機密部分にマスクをかけ、解析依頼をかけることは時間との戦いには欠かせません。社内設備で対応できなければハイブリット型での効率化の選択肢もあります。今後、定常的な運用に入る場合の運用委託(再委託などのケース)は、関連法案の改定に十分注意してください。    

 次回(第4回目)のテーマは、情報セキュリティ対策とリスクマネージメントです。  

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007459


IT・IT製品TOP > Key Conductors > 江尾 一郎(ソフトバンク・テクノロジー株式会社) > セキュリティ事故現場から見える経営リスクと対策 Vol.3

このページの先頭へ

キーマンズネットとは
某セキュリティ事業会社にて、日本最大のセキュリティ監視センターの設立後、運用責任者として従事。その後、大手通信事業のCIO補佐官、自ら設置した日本初のセキュリティインシデント対応サービスの総責任者を歴任。現在はソフトバンク・テクノロジーにてセキュリティのコンサルティングおよび事業のサービス展開を行っている。

ページトップへ