★☆★JNSAメールマガジン 第24号 2013.12.6.☆★☆
セキュリティ監視のはじまり
インターネットの普及に伴い組織は、ネットワークの境界にファイアウォールを
設置し、通信のアクセスコントロールにより、セキュリティ対策を施してきた。
当初は、ファイアウォールを設置することで対策ができていると思われた。
2000年頃に官公庁のWebサーバの改竄があり、情報セキュリティ対策の必要性が
取りざたされた。とりわけ、不正侵入検知システムが脚光を浴び、企業での導入
が始まる。不正侵入検知システムは、自社のネットワークとインターネットの境
界に設置されることが多く、外部からのグローバルIPを持つ機器・サーバ等の
パッチ未適用による脆弱性やOSやミドルウェアの設定ミスを突く攻撃を監視し、
影響の有無を判断するものである。不正侵入検知システムは、回線を通過する通
信のプロトコル、データの特徴等から脅威を判断し、その影響度からインシデン
トのレベルをつけている。監視員は、不正侵入検知システムの監視コンソールに
通知されるイベント(メッセージ)のレベルの高いものをチェックし、その前の
イベントと同一の送信元のIPアドレスの通信内容等を確認して影響を確認してき
た。監視員の要求スキルレベルは、TCP/IPやネットワーク機器、OSに精通してい
る必要があった。その当時は、ゼロディ攻撃のようなものも少なくまたマルウェ
アは、アンチウイルスソフトが役割を担うものであった。不正侵入検知システム
の監視の要員が不足している企業に対して、その機器を監視するマネージドサー
ビスの提供も始まった。
現在のセキュリティ監視
2010年1月にGoogle社を狙ったOperation Aurora攻撃では、社内の端末上の
Internet Exploreの脆弱性をついて、マルウェアを実行し外部のC&Cサーバと通信
しリモートから情報を窃取されるものが出現した。その他、核燃料施設のウラン濃
縮用遠心分離機を狙ったStuxnet等のサイバー攻撃が見つかった。
これらは、これまでのセキュリティ機能をすり抜けることがあるため、いかに早く
その侵入を見つけて、被害を最小限に抑えるかが重要である。それらに対抗するた
めの機能として、内部から外部のC&Cサーバとの通信を検知するセキュリティ機器
が出現した。また、ネットワーク機器等のログを収集し、相関分析をすることで、
侵入行為を絞り込むまたは侵害を発見した際にその影響範囲を特定するために、そ
れぞれのログを確認することを補助する機器も出現した。新たな攻撃に対する対策
機能が追加されたが、組織を狙う攻撃は複雑化しており、検知するためには、それ
ぞれのセキュリティ機能を適切に設定・運用・監視が必要となる。その理由は、C&C
サーバは、常に同じ状態で稼働するわけではなく、複数のサーバで構成され、新た
に追加されるサーバもあるため、常に最新のレピュテーション情報が反映される必
要があるからだ。また、ファイアウォールでブロックした通信を監視できるが、そ
のファイアウォールを通過した怪しい通信を見つけることは、それなりの分析スキ
ルが必要になる。それに加えて、攻撃者の振る舞いを予測し、企業のネットワーク
の調査のための通信等を把握することで、インシデント発生時の迅速な対応も必要
である。これらを補うために、外部のセキュリティ監視サービスの利用もある。こ
こにきて、新たなセキュリティ機器が世に登場するが、セキュリティ監視サービス
としてそれらの機器への対応が追いついていないこともある。
これからセキュリティ監視として効率・効果を増すために
新たなセキュリティ製品の機能を十分に生かすためには、その機能のみに頼るのでは
なく、運用者が、攻撃者の心理的な行動パターンを推測し、その兆候に気づき侵入行
為、侵入後の通信先の情報や内部の他の端末、サーバ等への拡散行為等の有無につい
て確認できる必要がある。また、運用者は、監視、分析し、必要に応じて、その対策
方法について検討し指揮する必要がある。
このようなことを支援するツールもあるが、要員は分析のスキルを兼ね備えてこそ被
害を最小限に抑えることが可能となる。今では、ゲートウェイ系のセキュリティ機器
とエンドポイントの監視までを行うサービスも現れてきた。成熟しているネットワー
クの監視と同様にセキュリティ監視も外部からの侵入監視に加えて内部機器全てを監
視対象とし、不審な振る舞いをする機器までをも監視できることが望ましいのではな
いかと考える。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第24号
発信日:2013年12月6日
発行: JNSA事務局
*************************************