このページの本文へ

前へ 1 2 次へ

事例もテクノロジーも満載!NTT Com Forum 2014

bashの脆弱性も自前のシグネチャでいち早く対応

防衛の最前線に立つNTTコムセキュリティ「L3部隊」の活躍

2014年10月17日 06時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

先日開催された「NTT Communications Forum 2014」の講演「L3奮闘記~サイバー攻撃と戦うリスクアナリストたちの物語~」において、NTTコムセキュリティの羽田大樹氏はL3部隊の活躍を紹介した。

セキュリティ製品を入れても対策できていない現状

 「L3部隊」とは、NTTコミュニケーションズのセキュリティサービス「WideAngle」を支えるセキュリティのプロ集団だ。同社のセキュリティ監視部隊はL1からL3まであり、特に脅威の分析やインシデント対応を担うのが、L3部隊だという。

NTTコムセキュリティ オペレーション&コンサルティング部 羽田大樹氏

 「2000年頃のサイバー攻撃は、愉快犯がメールにウイルスを添付して送信する、比較的シンプルなものが多かった。そのため、アンチウイルス製品で駆除したりOSを再インストールしたりすれば対策できた。しかし、今や攻撃目的には金銭絡みや軍事活動、サイバーテロなどが加わり、手段もゼロデイ攻撃や標的型攻撃など、従来の対策では防ぎきれなくなっている」。サイバー攻撃の変遷を概説した羽田氏は、よくある被害事例に標的型メール攻撃とドライブバイダウンロード攻撃を挙げ、巧妙化する脅威に警鐘を鳴らした。

相手が開かざるを得ないような内容の添付メールを送信、マルウェアに感染させる「標的型メール攻撃」
改ざんされたサイトから悪質なサイトへとリダイレクトさせてマルウェア感染を狙う「ドライブバイダウンロード攻撃」

 こうした脅威への対策でよくあるのが、インターネットと企業LAN間にファイアウォールやIPS/IDSを設置し、プロキシ経由でクライアントのWeb通信を監視する方法だ。

 「しかし、IPS/IDSのアラートは大量で解釈も難しく、結局はハイレベルのアラートのみをチェックして終わる運用になりがちだ。また、ファイアウォールやプロキシもログ分析する企業は少なく、攻撃の兆候を見落とすはめになる。しかも、インシデントが発生したときの対応も決まっていないことが多い」(羽田氏)。

L3部隊の活躍が支えるログ相関分析サービス「CLA」

 そんな課題を解決するのが、「WideAngle」のマネージドセキュリティサービスの1つ、ログ相関分析サービスの「CLA」だ。

WideAngleのマネージドセキュリティサービスの1つ「CLAサービス」

 CLAサービスは、3つの柱で支えられている。1つは、大容量かつ多様なデバイスログを効率よく収集するストレージ。2つめは、これまで同社がセキュリティ運用で培ってきたノウハウをロジックとして実装した分析エンジン。そして3つめは、そのエンジンを駆使し、脅威の評価判定や適切なアドバイスを導き出すL3部隊のアナリストたちだ。

3本柱の連携で脅威を迅速に見つけ出す

 実際、同サービスを50日間利用した顧客で効果測定を行なったところ、単体のIDS/IPSではクリティカルに分類される脅威は4件しか発見されなかったが、CLAサービスでは10件発見された。「結果的に検出率は250%向上し、迅速な対応につなげることができた」。

すべての脅威を漏らさず見つけることを実証

 なお、CLAサービスの業務中に別のインシデントを芋づる式で発見したこともあると羽田氏は言う。「A社でログ監視をしていたところ、ドライブバイダウンロード攻撃を検知した。早速調査を行なったのだが、深掘りするうちに顧客のB社が同攻撃でサイト改ざんされていることに気付いた」。ログ相関分析とL3アナリストの解析力で、見えなかった被害を暴き出した好例である。

業務中に別の顧客の被害を発見することも

 また、独自にシグネチャを作成して脆弱な状態を作らない取り組みも行なっている。「9月25日に公開されたGNU bash脆弱性では、セキュリティベンダー各社が製品の正式パッチを公開する前に、独自のシグネチャで対応し、攻撃リスクを最小限に抑えることに貢献した」(羽田氏)。

独自のシグネチャを作成することで、脆弱性パッチが提供されるまでの空白の時間を埋め、セキュリティリスクを最小限に抑えた

(次ページ、声なき悲鳴をログから聞き出す「レスキューサービス」)


 

前へ 1 2 次へ

この連載の記事
ピックアップ