★☆★JNSAメールマガジン 第24号 2013.12.6.☆★☆
JNSAメールマガジン 第24号 をお届けします。
「第9回IPA情報セキュリティ標語・ポスター・4コマ漫画コンクール2013」の受賞作品が発表されました。
標語部門の受賞作品を見てみると、インターネットのマナーやモラルに関する作品が多いようですね。JNSAでも後援団体特別賞として「特定非営利活動法人日本ネットワークセキュリティ協会 会長賞」の作品がありますので、ぜひご覧下さい。
http://www.ipa.go.jp/security/event/hyogo/2013/sakuhin.html
JNSAでも「せきゅり亭のネタ部屋」で投稿を募集しています。
12月のお題は「ボーナス・大掃除」ですのでぜひこちらもみなさまの投稿をお待ちしています。
https://www.jnsa.org/update/senryu.html
さて、今回の連載リレーコラムは、JNSA幹事で株式会社シマンテックセールスエンジニアリング本部 セキュリティコンサルタント 兜森 清忠様からの寄稿です。
「情報システムの脅威の変化に伴うセキュリティ監視について」
(JNSA幹事 株式会社シマンテック セールスエンジニアリング本部セキュリティコンサルタント 兜森 清忠)
セキュリティ監視のはじまり
インターネットの普及に伴い組織は、ネットワークの境界にファイアウォールを
設置し、通信のアクセスコントロールにより、セキュリティ対策を施してきた。
当初は、ファイアウォールを設置することで対策ができていると思われた。
2000年頃に官公庁のWebサーバの改竄があり、情報セキュリティ対策の必要性が
取りざたされた。とりわけ、不正侵入検知システムが脚光を浴び、企業での導入
が始まる。不正侵入検知システムは、自社のネットワークとインターネットの境
界に設置されることが多く、外部からのグローバルIPを持つ機器・サーバ等の
パッチ未適用による脆弱性やOSやミドルウェアの設定ミスを突く攻撃を監視し、
影響の有無を判断するものである。不正侵入検知システムは、回線を通過する通
信のプロトコル、データの特徴等から脅威を判断し、その影響度からインシデン
トのレベルをつけている。監視員は、不正侵入検知システムの監視コンソールに
通知されるイベント(メッセージ)のレベルの高いものをチェックし、その前の
イベントと同一の送信元のIPアドレスの通信内容等を確認して影響を確認してき
た。監視員の要求スキルレベルは、TCP/IPやネットワーク機器、OSに精通してい
る必要があった。その当時は、ゼロディ攻撃のようなものも少なくまたマルウェ
アは、アンチウイルスソフトが役割を担うものであった。不正侵入検知システム
の監視の要員が不足している企業に対して、その機器を監視するマネージドサー
ビスの提供も始まった。
現在のセキュリティ監視
2010年1月にGoogle社を狙ったOperation Aurora攻撃では、社内の端末上の
Internet Exploreの脆弱性をついて、マルウェアを実行し外部のC&Cサーバと通信
しリモートから情報を窃取されるものが出現した。その他、核燃料施設のウラン濃
縮用遠心分離機を狙ったStuxnet等のサイバー攻撃が見つかった。
これらは、これまでのセキュリティ機能をすり抜けることがあるため、いかに早く
その侵入を見つけて、被害を最小限に抑えるかが重要である。それらに対抗するた
めの機能として、内部から外部のC&Cサーバとの通信を検知するセキュリティ機器
が出現した。また、ネットワーク機器等のログを収集し、相関分析をすることで、
侵入行為を絞り込むまたは侵害を発見した際にその影響範囲を特定するために、そ
れぞれのログを確認することを補助する機器も出現した。新たな攻撃に対する対策
機能が追加されたが、組織を狙う攻撃は複雑化しており、検知するためには、それ
ぞれのセキュリティ機能を適切に設定・運用・監視が必要となる。その理由は、C&C
サーバは、常に同じ状態で稼働するわけではなく、複数のサーバで構成され、新た
に追加されるサーバもあるため、常に最新のレピュテーション情報が反映される必
要があるからだ。また、ファイアウォールでブロックした通信を監視できるが、そ
のファイアウォールを通過した怪しい通信を見つけることは、それなりの分析スキ
ルが必要になる。それに加えて、攻撃者の振る舞いを予測し、企業のネットワーク
の調査のための通信等を把握することで、インシデント発生時の迅速な対応も必要
である。これらを補うために、外部のセキュリティ監視サービスの利用もある。こ
こにきて、新たなセキュリティ機器が世に登場するが、セキュリティ監視サービス
としてそれらの機器への対応が追いついていないこともある。
これからセキュリティ監視として効率・効果を増すために
新たなセキュリティ製品の機能を十分に生かすためには、その機能のみに頼るのでは
なく、運用者が、攻撃者の心理的な行動パターンを推測し、その兆候に気づき侵入行
為、侵入後の通信先の情報や内部の他の端末、サーバ等への拡散行為等の有無につい
て確認できる必要がある。また、運用者は、監視、分析し、必要に応じて、その対策
方法について検討し指揮する必要がある。
このようなことを支援するツールもあるが、要員は分析のスキルを兼ね備えてこそ被
害を最小限に抑えることが可能となる。今では、ゲートウェイ系のセキュリティ機器
とエンドポイントの監視までを行うサービスも現れてきた。成熟しているネットワー
クの監視と同様にセキュリティ監視も外部からの侵入監視に加えて内部機器全てを監
視対象とし、不審な振る舞いをする機器までをも監視できることが望ましいのではな
いかと考える。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。
★「JNSAセキュリティしんだん」第8弾
〜Windows XP サポート終了について考える〜 を公開しました。
https://www.jnsa.org/secshindan/
★主催シンポジウム「NSF2014(Network Security Forum 2014)」は1月29日(水)にベルサール神田で開催予定です。
プログラムは近日中に公開予定ですのでお楽しみに!
★JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
参加のご希望がありましたら、JNSA事務局までお気軽にお問い合せ下さい。
部会・WG予定・その他 活動スケジュールはこちらをご覧下さい。
https://www.jnsa.org/aboutus/schedule.html
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願い致します。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第24号
発信日:2013年12月6日
発行: JNSA事務局
*************************************
