連載
» 2017年07月05日 05時00分 公開

侵入されることを前提に考える――内部対策はログ管理から中堅・中小企業向け、標的型攻撃対策の現実解(4)(2/2 ページ)

[曽根禎行(ゾーホージャパン),@IT]
前のページへ 1|2       

中堅・中小企業はどこまでログを管理すべきか?

 中小規模の組織ではシステム担当者の人数が少なく、セキュリティ対策コストも限られている。多くの組織が悩む点は、ログ管理についてどこまで対応すべきなのかだ。

ログは長期保管しなければならない

 社内で保有している情報の重要性が低く、経営判断としてセキュリティ対策への投資を抑えなければならないとしよう。その場合、最低限必要な対策は「ログの長期保管」だ。これだけでも他のセキュリティ機器による異常検知や、社内外からの通報をトリガーとして、ログの詳細な調査に進むことができる。万が一情報が流出した際、最低限の説明責任を果たすために証跡を残すことが最も重要だ。

 複数の機器のログを必要な期間保管する際、手動操作でログをローテーションしていたのでは運用工数が高くなってしまう。ツールを導入した方がよいだろう。だが、ログ情報の高度な相関分析を得意とするSIEM(Security Information and Event Management)だけが選択肢ではない。後ほど紹介するようにSIEMよりも運用コストが低い対策もある。

 メール送受信の記録についてはどうだろうか。端末資産管理ソフトウェアの機能や、メールアーカイブ製品を活用できるだろう。クラウドサービスのメールを利用しているのであれば、サービス側でアーカイブのオプションサービスを提供しているケースも多い。

重要情報を扱うならログを可視化する

 小規模な組織であっても、業種や業態、提供するサービス内容、取引している顧客などによっては、取り扱う情報のセキュリティレベルを高く保つ必要がある。この場合は、ログの長期保管だけではなく、ログから攻撃の予兆を検知できる仕組みを整えたい。

 攻撃の予兆を検知するには、ログの可視性を高める必要がある。こうなるとSIEM導入が近道だ。だが予算や運用リソースが限られる中堅・中小企業にとってはハードルが高い。SIEM自体が高額である上に、攻撃検知ルールのメンテナンスに膨大な工数が必要だ。さらに未検知のものを検知できるようにし、誤検知を除外するために専任者の確保も必要だ。セキュリティベンダーが提供する外部SOCサービスにSIEMの運用そのものを任せるという選択肢もあるものの、予算面で難しいだろう。

SIEM”以外”の選択肢もある、個々の機器に着目してログを可視化

 「ログの長期保管に限定した対策」と「SIEMを利用した高度な対策」との間には、第3の対策がある(図4)。

図4 ログ管理における3つの対策アプローチ 図4 ログ管理における対策アプローチ ログの長期保管とログの相関分析(SIEM)の間に第3の対策(レベル2)がある

 第3の対策ではSIEMを用いない。特に攻撃の痕跡が判明しやすいファイアウォールやプロキシ、Active Directoryといった個々の要素だけに注目して、ログの可視性を高める。SIEMのようにあらゆる機器の相関分析を高度に行うのではなく、個々の機器のログからも異常を判別できる。

 ファイアウォールのログに対しては、ファイアウォール機器のベンダーが提供する可視化ツールもあれば、マルチベンダーを一度に管理可能な製品もある。Active Directoryのログでは、統合ログ管理製品のレポートテンプレートなどで対応している場合もある。


 今回は内部対策の中から、ログ管理について解説した。次回は内部対策のうち、見直しが急速に進んでいる「エンドポイント対策」について解説していく。

ベースラインAPT対策コンソーシアム(BAPT)

標的型攻撃の包括的なソリューションを最適なコストで日本市場に提供することを目的として2016年10月に複数企業をメンバーとして発足したコンソーシアム。

参加企業は、ニュートン・コンサルティング、ウォッチガード・テクノロジー・ジャパン、サイバーソリューションズ、PFU、ウェブルート、ベル・データ、フェス、ゾーホージャパン。

http://bapt.zohosites.com/

筆者プロフィール

曽根 禎行(そね よしゆき)

ゾーホージャパン株式会社 ManageEngine & WebNMS事業部 ManageEngineソリューションエバンジェリスト、ベースラインAPT対策コンソーシアム 理事長

電機メーカー系SIerにおいて、地方自治体向けプリセールスSEを務めた後、大手外資系ITベンダーで大手通信キャリア向けハードウェア/運用管理ソフトウェア営業を担当。ゾーホージャパンではログの可視化に役立つ「Eventlog Analyzer」「Firewall Analyzer」「ADAudit Plus」などの運用管理製品パッケージManageEngineシリーズの営業の他、エバンジェリストとマーケティング責任者を務める。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。