サイバー攻撃対策の基本「ログ管理」-「国内の実態」と「取るべき具体策」に迫る|ITアナリスト×ソフトウェアベンダーの特別対談【ゾーホージャパン×アイ・ティ・アール】|サイバーセキュリティ.com

  1. ホーム /
  2. 企業インタビュー /
  3. サイバー攻撃対策の基本「ログ管理」-「国内の実態」と「取るべき具体策」に迫る|ITアナリスト×ソフトウェアベンダーの特別対談【ゾーホージャパン×アイ・ティ・アール】
             

サイバー攻撃対策の基本「ログ管理」-「国内の実態」と「取るべき具体策」に迫る|ITアナリスト×ソフトウェアベンダーの特別対談【ゾーホージャパン×アイ・ティ・アール】



ほとんどの企業がIT機器とインターネットを利用する時代です。それは、どの企業もサイバー攻撃のリスクにさらされていることを意味します。IT機器が操作された際に残る履歴「ログ」。これを適切に管理することは、サイバー攻撃対策の基本と言えるでしょう。

今回は、IT業界の市場調査やコンサルティングを行う「株式会社アイ・ティ・アール」のシニアアナリスト、大杉豊氏と、ログ管理やID管理、システム監視のソフトウェア「ManageEngine」を提供する「ゾーホージャパン株式会社」の曽根禎行氏が対談。国内企業の「ログ管理の実態」や今後「取るべき対策」を明らかにしてゆく。

いま求められる「侵入前提」の対策

サイバーセキュリティ.com事務局(以下、事務局)
日本の企業や組織に対する最新のサイバー攻撃の現状を教えてください。

大杉豊氏(以下、大杉)
標的型攻撃やランサムウェアの被害は国内企業にも及んでおり、警察庁の発表では、2017年上半期の相談件数は過去最多となりました。また、個人情報や機密情報を多く取り扱う大手企業だけでなく、中小企業のインシデントも増加しています。企業や組織が気付けていない被害も、相当にあると推測されます。

ゾーホージャパン株式会社 曽根氏

曽根禎行氏(以下、曽根)
そうですね。弊社へ相談に来る顧客の中でも、外部からの通知を受けてはじめてサイバー攻撃の被害を認識したというケースが増えています。大手企業だからと言って、ログ管理が徹底されているとは限りません。ログの保管期間が短いために攻撃者の痕跡を追いきれなかったケースも何度か目の当たりにしました。

大杉
日本企業は、インシデントが起こった後、すなわち「事後」でなければ対策をしない傾向にありますね。情報システム部門の担当者が危機感を持っていても、そこへの投資に対する意思決定がなかなか行われないのが現状なのでは。

曽根
経営者と現場(情報システム部門)の溝は深いと思います。経営者がサイバー攻撃に対するリテラシーを持っておらず、一方の情報システム部門側でも経営判断に必要な材料を与えきれないことが要因でしょう。

事務局そう言った状況の中、具体的にどういった対応が必要でしょうか。

大杉
「侵入されることを前提」に、「早期検知」や「被害の最小化」ができる仕組みづくりが重要ですね。つまり「内部対策」や「レジリエンス(自発的治癒力)」を高めるということです。侵入を100%防ぐ方法は存在しません。

曽根
侵入を防ぐために、サンドボックス型次世代ファイアウォールや、AI/クラウド型を売りにしたエンドポイントセキュリティを導入することは基本的対策の一つです。

しかしながら、「早期検知」「被害の最小化」「再発の防止」といった点では、不十分です。とりわけ「ログ」を適切に「保管」し、異常をいち早く検知できる「可視性」の向上は急務の課題でしょう。

「SIEM」は「魔法のツール」ではない

事務局「ログ管理」における市場の現況はいかがですか。

曽根
従来の「ログ管理」というと、多くの企業はまず「重要サーバのログを蓄積する」という対応を取っています。しかし、何かしらの事故があった場合にそれらのログをどう見るか、予め考慮した上で収集をしているケースは稀です。

また、ログを蓄積しているものの簡単には解析できないという課題から、ログの可視性を高めるための相談も増えています。

株式会社アイ・ティ・アール 大杉氏

大杉
近年のログ管理のトレンドとしては「SIEM」を導入するという対策が代表的です。このテクノロジーを前提に検討を進める企業や組織は多いです。

ITRが2017年1月に一般財団法人日本情報経済社会推進協会(JIPDEC)と共同で実施した調査では、統合ログ/SIEM管理製品を導入している企業は約33%。3年以内に導入予定の企業はおよそ30%となりました。つまり数年の内にSIEM市場は約2倍になると予測されます。また、ITRが行った別の調査で、SIEMに対してユーザー企業は「運用コストが高い」ことに不満を感じているという結果も浮き彫りになっています。

さらに、ログを解析するには高い専門性と多くの工数が必要です。しかし、そもそも内部にそのスキルが無く、高額な「SIEM」を入れても適切な解析ができないまま、ログを保存するだけのストレージになっているというケースも多く見受けられます。

曽根
弊社も「リソースや工数がないので、手間をかけずにログから自動的に脅威を抽出してくれるような製品はないか」という相談を受けることがあります。

そういった「魔法のツール」がどこかにあると誤解されているようにも思えます。しかし実際は、それほど万能なものはありません。

事務局では、ログの可視性を高め脅威を抽出するためにはどうすればいいのでしょうか。

大杉
外部のSOC(セキュリティオペレーションセンター)サービスなどを利用して、専門家にログを確認してもらうようなソリューションが一つの選択肢となります。社内の人材に高度なセキュリティ教育を行い育てるという方法もありますが、経験がものをいう世界ですので即効性は見込めません。したがって積極的に外部のリソースを使うべきでしょう。

曽根
様々なITリソースのログを高度な技術で解析する「相関分析」作業は外部に任せるべきですね。常時ログを監視してくれるサービスもあれば、有事の際のみ相談できるサービスもあります。

なお、ログを取得する対象について、JPCERTコーディネーションセンター(JPCERT/CC)で公開された資料内では、以下の5つが推奨されています。

  • ファイアウォール
  • プロキシ
  • Active Directory
  • DNS
  • メール

特に攻撃の兆候が出やすいファイアウォール/プロキシといったゲートウェイ機器、また、最後の砦であるActive Directoryなどの認証サーバについては優先的にログを見るべきです。これは、技術的にも経済的にも社内リソースで賄える範囲と考えます。

リソース毎のログを社内でチェックし、怪しい兆候を検知した際に外部SOCなどと連携して深い分析を進めるのが有効ではないでしょうか。

大杉
社内でログを見る工数を割けず、また予算が取れず外部SOCを利用することもできないという場合は、最低限、ログの長期保管ができると良いですね。万が一攻撃を受けた時に、専門家にそのログを提示して解析してもらえます。

標的型攻撃対策において推奨されるログの取得対象と保管する期間については、JPCERT/CCが発行している以下の文書を参考にされると良いでしょう。

高度サイバー攻撃への対処におけるログの活用と分析方法/JPCERT CC

曽根
また、ログの可視性を高めるにはログ自身だけに着目するのではなく、IDやアカウント管理を適切に行うことも必要ですね。特に高権限を持つ特権IDは、攻撃者の的になりやすいです。

ログ管理とセットで実施すべき「特権ID管理」

事務局ログの可視性を高めるための施策として特権ID管理が挙がりましたが、どのような対策を施せば良いのでしょうか。

大杉
特権IDについては、システム管理者と業務担当者の権限を分離すること(職務分掌)の重要性が高まっています。

また、特権IDの利用を許可制とする仕組みづくりも大切です。無許可の特権ID利用をログから見つけやすくなりますから。

曽根
特に攻撃者から狙われやすい特権IDとして、Active Directoryのドメイン管理者アカウントが挙げられます。ここを攻略されるとドメイン管理配下全てにアクセスできる状況を攻撃者に与えてしまいます。

このような特権IDには攻撃者の知らないルールを定義すると良いでしょう。例えば「管理者ID専用の端末を設置し、接続元を制限する」「アクセスする曜日や時間帯を制限する」などです。

ルール化された内容に反するログと、例外に対する許可の履歴を突き合わせ、不審なログかを判別すると良いでしょう。

ツール導入を目的とせず、ROIを高めるには

事務局その他、企業や組織が意識すべきことはありますか。

大杉
サイバー攻撃対策は「コスト」ではなく「投資」です。広告宣伝費にお金をかけるのと同じように、セキュリティに対しても積極的に投資を行う姿勢が求められます。とはいえ、セキュリティ対策は広げればいくらでも広げられるので、キリがありません。

自社でやるか外部に任せるかは別として、サイバーセキュリティに対するリスク診断は最低限行い、今後とるべき対策のロードマップを持つ必要があるでしょう。

また、重要資産の棚卸しを行い、対策が必要な個所を絞り込むこと。ここをきっちり行うことで、費用対効果(ROI)も高められます。

曽根
これから、ログ管理を強化しようということなら、まず、何を目的にどのようなログ管理を実現したいか、ログ管理の結果どのような価値を得たいのか、ゴールを明確に持つことです。ツール導入そのものを目的にしないようにしたいですね。

関連リンク集

企業情報

会社名 ゾーホージャパン株式会社(ZOHO Japan Corporation)
本社所在地 〒220-0012
神奈川県横浜市西区みなとみらい三丁目6番1号みなとみらいセンタービル13階
設立年月 2001年9月6日
資本金 9,000万円(シンガポールZoho Corporation Pte. Ltd 100%)
事業内容 自社開発ソフトウェア製品の販売、付帯するコンサルティングサービス、保守サービスの提供
代表者名 代表取締役 迫洋一郎
会社名 株式会社アイ・ティ・アール
本社所在地 〒160-0023
東京都新宿区西新宿3-8-3新都心丸善ビル3F
設立年月 1994年3月
資本金 4,500万円
事業内容
  1. 企業経営およびマーケティングに関するコンサルティング
  2. セールスプロモーション、イベントなどの企画ならびに市場調査
  3. 企業経営および産業動向に関する書籍などの出版並びに輸入販売
  4. コンピューターソフトウェアおよびインターネットを利用したコンテンツの制作並びに販売
  5. 全各号に付帯する一切の業務
代表者名 代表取締役 内山悟志

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。