このページの本文へ

前へ 1 2 3 次へ

“サイバーキルチェーン”、ログ解析による攻撃予兆検知にも着手

「CSIRT作りました」大成建設が語るリスク管理体制の要点

2014年07月23日 14時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

ビッグデータ解析に基づき、攻撃の予兆検知に取り組む

 もう1点、標的型攻撃について北村氏が指摘するのは、従来型の「既知の攻撃を前提とした対策」が機能しなくなっていることだ。標的型攻撃では、定型的な検出手法では検知されないようにマルウェアをカスタマイズしたり、ゼロデイ脆弱性を突いたりする手法がよく用いられる。こうした攻撃を一刻も早く発見すべく、T-SIRTでは社内ヘルプデスクからの情報のエスカレーション、JPCERT/CCや他社CSIRTとの情報連携などを通じて「インシデントの種」になりそうな異変の発見に努めているという。

 そして現在、新たに取り組んでいるのが、大量のシステム/ネットワークログの相関分析を通じた攻撃の発見だ。

 北村氏は、サイバーキルチェーンの一連の流れを通じて「意外なことに攻撃者は、多くの“足跡”を残してくれる」と説明する。ただし、標的型攻撃では複数の手法を組み合わせた攻撃が行われることが多く、単一のシステム/ネットワークログを見るだけでは“足跡”に気づきにくい。複数のログを相関分析することで、点が線になり、攻撃の実態が浮かび上がってくるわけだ。

 北村氏は、相関分析におけるポイントとして、できるだけ多くのログを網羅的に収集することに加え、「自分だったらどう侵入するか、攻撃者の立場に立って攻撃シナリオを考える」ことだと説明する。

 また、攻撃に関連するログを見つけ出す糸口となる「インジケーター」の入手も重要だという。これは通信元のIPアドレス、不正通信先のURLや使用ポート、マルウェアのファイル名やハッシュ値といった、何らかの特徴的な情報のことだ。インジケーターが見つかれば、それを手がかりに各種ログを調査して、時系列的に攻撃の流れを追うことが可能になる。インジケーターは社内で発見するだけでなく、JPCERT/CCなどが公開する脅威情報からも入手できる。

 ログの相関解析を網羅的かつ容易なものにするため、T-SIRTでは6月から「Splunk」を導入した。コネクタなしで多様なシステムのログを統合できること、特定のIPアドレスなどのインジケーターからドリルダウンして調査を行うのが容易なことを評価していると、北村氏は述べる。

 「これまでは巨大なログの塊をgrepで検索していたが、検索1回ごとに20分、30分かかっていた。これでは攻撃者に追いつけない。Splunkの導入で、インジケーターやイベントという“点”を(相互に関連する)“線”として、リアルタイムに追っていくことができる」(北村氏)

膨大なログを相関分析するため、T-SIRTではSplunkを導入した。「ログの掘り起こし業務が簡素化できるものと期待」(北村氏)

インジケーターを発見し、ログを過去にさかのぼって攻撃を追うことができるようになれば、緊急対応の「OODAループ」を回すことが可能になると述べた

* * * * *

 同講演の締めくくりとして北村氏は、「企業は何のためにセキュリティ対策に取り組むのか」とあらためて聴衆に問いかけた。もちろん、それは企業の社会的責任を果たし、企業活動の品質を高めるための取り組みでもあるが、「一番の目的は“ビジネスイネーブラ”だ」と同氏は語る。

 「たとえばBYOD、ワークスタイル変革といった新しいビジネスの取り組みも、セキュリティが担保されているからこそできる。どうか『ビジネスに貢献しているのだ』という意識を持って、企業の情報セキュリティに取り組んでいただければと思う」(北村氏)

前へ 1 2 3 次へ

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード