JNSAメールマガジン 第80号 2016.2.19☆★☆
(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)広報 江田、松岡)
「高度サイバー攻撃」は、国内においても多数の事案が表面化しており、多くの組織にとって深刻なセキュリティ脅威となっています。さまざまな手口により執拗に行われる高度サイバー攻撃は、従来型の攻撃のように防御・検出だけで完全に防ぐことが難しく、外部からの連絡によって攻撃にはじめて気がつくことも珍しくありません。したがって、既に侵入されている事態も想定した上で、それをいかに早く検知し対処できるかがきわめて重要です。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)では、様々な高度サイバー攻撃の事例研究を通じて、複数のサーバや機器等に記録される特徴的なログを適切に採取し分析することにより、侵入や攻撃の影響範囲を捉えることを発見しました。この知見を体系的にまとめ、2015年11月17日に「高度サイバー攻撃への対処におけるログの活用と分析方法」として公開しました。
本書は、第1〜6章で構成されており、組織内のサーバやネットワーク機器などを管理しているシステム管理者に読んでいただくことを想定しています。第2章では、高度サイバー攻撃が段階的に進行する過程と、その中で攻撃の痕跡がログとして機器に記録される様子をサイバーキルチェーンの概念に基づいてモデル化して解説しています。第3章では、ログの採取と管理について考慮すべき事項と、各機器で採取できる、または採取すべきログ項目の概略を説明しています。第4章では、高度サイバー攻撃にできるだけ早期に気付けるよう、ログを分析して攻撃の痕跡を見つけ出す方法を紹介しています。
これまでもインシデント対応におけるログの重要性が認識されてはきましたが、必要なログを見定めて実際に採取し、分析調査をしている組織は多くありません。さらには、インシデントが発生して専門家が調査に入っても、調査に必要なサーバや機器のログがまったく無い、あっても過去のログが消えてしまっていたために全容の解明に到らなかった例も少なくありません。こうした状況の改善に向けて、情報システムの運用を任されている方々が、的確にログを採取して分析することにより、少しでも早い段階で高度サイバー攻撃を受けている事実に気付いていただくための実践的で基本的な方法と考え方が示されています。
高度サイバー攻撃の標的となる組織は、大企業や中央官庁などばかりでなく、中小や地方の組織にも広がってきています。本書が高度サイバー攻撃による被害の軽減に向けた活動の一助となれば幸いです。
資料は下記からダウンロードできます。
https://www.jpcert.or.jp/research/APT-loganalysis_Report_20151117.pdf
本書の内容の一部を抽出したプレゼンテーション資料「ログを活用した高度サイバー攻撃の早期発見と分析」もあわせてご利用ください。
https://www.jpcert.or.jp/research/APT-loganalysis_Presen_20151117.pdf