検索
連載

インターポールの考える「サイバー犯罪撲滅策」「@ITセキュリティセミナー(大阪)」レポート2016(2/2 ページ)

@IT編集部は2016年3月8日、大阪市で「@ITセキュリティセミナー」を開催した。本稿では大阪会場のみで行われたセッションを取り上げて紹介する。

Share
Tweet
LINE
Hatena
前のページへ |       

答えはログに聞け――脆弱性検査の現場で見た「ログ活用」の重要性


ゲヒルン 代表取締役 石森大貴氏

 続いて「そこにログはあるか。企業の事例に見る、セキュリティログ活用の落とし穴」というタイトルで特別講演を行ったのは、ゲヒルン 代表取締役の石森大貴氏だ。同氏は筑波大学在学中にゲヒルンを起業した経緯や、セキュリティ診断サービスを手掛ける同社メンバーの「得意技」などを紹介しつつ、診断の現場で感じた「ログが果たす役割の大きさ」を説明した。

 ゲヒルンでは、さまざまな企業のWebアプリケーションを対象に、脆弱(ぜいじゃく)性診断サービスを実施している。その経験の中には、「パスワードリスト攻撃に関する調査を依頼されたのに肝心の『攻撃のあった日のログ』が設定ミスのために消えていた」といったケースもあったそうだ。石森氏は、「その際に先方から『ポリシーはあっても、そのポリシーが正しく運用されているかを確認するポリシーがなかった』という説明を受けた」と苦笑いを交えながら語った。その他にも、クレジットカード情報の漏えいに関する通報を受けて調査に乗り出したものの、「Webアプリケーションに対するリクエストのログが取得されていなかった」といったログにまつわる“トホホ”な事例は決して珍しくないそうだ。

 こうした事例を紹介しながら石森氏は「インシデントレスポンスやフォレンジックにおいて、ログの存在は不可欠だ。ただし同時に、サーバの権限を奪取されている場合にはログ自体が改ざんされている恐れもある。全てのログを信用できるわけではない点には注意が必要だ」と述べた。また同氏は、システム委託先社員が解析用ログからデータを入手してキャッシュカードを偽造してしまった「横浜銀行カード偽造事件」にも触れ、「ログは犯罪者/攻撃者にとっても有利に働くことがある。しかし、無実を証明してくれるのもやはりログだ」とログが持つ二面性についても指摘した。

 とはいっても、そもそも上述の例のようにログが適切に収集されていないケースはまだ多いようだ。「ログを取っていなかったり、取っていても時刻同期がされておらず、複数ソースから取得したログ間の相関を取るのが困難だったり、Active Direvtoryの監査ログが取られていなかったりすることもある。現実には何かが起きてから初めてログを探索することが多いが、大抵の場合、必要なログは残っていない。セキュリティ原理主義に陥る必要はないが、できる範囲でログ取得には取り組むべきだ」(石森氏)。

 さらに石森氏は「ログは集めただけでも価値はあるが、そのままでは、貝塚から出土したばかりの土器のように欠けている部分がある。集めたログを効果的に運用することが重要だ」と述べ、例えばSIEMのようなツールを活用することで、さまざまなソースから取得したログを集約し、相関関係を可視化するプロセスを自動化することが有効だという。同氏は「SIEMのような製品を取り入れることで『ログを集める文化』を組織内で作っていくことができる。社内の文化を変えるために、まずは製品を導入することから始めるという方法もある」と述べた。

 ただし、製品を取り入れ、ログ収集を始めても、それを最大限に活用するためにはルール作りやCSIRTのようなインシデントレスポンス体制の整備が欠かせない。ここで立ちふさがるのが「人手不足」の問題だ。これについて石森氏は「人材は都合良く落ちてきたりしない。自社の業務、事業についてよく知っている人を、社内でセキュリティ屋として育てる必要があるのではないか」と語った。

 宮城県石巻市出身の石森氏は、「防災においてもセキュリティにおいても、インシデントハンドリング時には正しい情報を収集し、発信することが求められる」と述べる。インシデント発生時に適切な判断を下し、顧客からの信頼を崩さないためには、さまざまなバイアスに惑わされることのない正しい情報が必要だ。その答えの1つが「ログ」であろう。そんな意味を込めて石森氏は「答えはログに聞け」と述べ、講演を締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る