標的型攻撃を100%防ぐ方法はまだない。前回紹介した出口対策を実施しても、社内に侵入してC&Cサーバーとの通信を確立する高度なマルウエアが出てくるかもしれない。そこで別の視点で考えておきたいのが、できるだけ早く被害に気付き、PCをLANから隔離したり、セキュリティベンダーに調査を依頼したりといった事後対応である。攻撃に気付くためには、今まで以上に各種ログの管理が重要になる(図1)。

図1●攻撃の検知にはログ収集が欠かせない
図1●攻撃の検知にはログ収集が欠かせない
[画像のクリックで拡大表示]

 ログ管理で大事なのは、各機器のログを取ることと外向けの通信を見落とさないことだ。

 ファイアウォールでは、外向き通信のログも保存する点に注意が必要だ。「従来はそこまでログを取っていなかったという企業が少なくない」(インターネットイニシアティブの加藤雅彦セキュリティ情報統括室シニアエンジニア)。ファイアウォールでは通信が遮断(deny)された場合だけでなく、許可(accept)された場合のログも必要になる。「ファイアウォールの性能やログ管理の方法を見直す必要が出てくるかもしれない」(加藤シニアエンジニア)

 日常の監視では、コアスイッチやサーバーの負荷監視が必要だ。「いつもよりもログの量が多ければ、疑うきっかけにはなる」(IPAの相馬氏)。スイッチが対応していれば、NetFlowなどを利用してプロトコル別にトラフィックの流量を監視するのも効果的だ。「RDPパケットが外向けに流れていれば、マルウエア感染を疑える」(シスコシステムズの小林秀行ボーダレスネットワークシステムズエンジニアリング シニアシステムエンジニア)。

 疑わしい状況があれば、サーバーのアクセスログやファイアウォール、プロキシーサーバーの通信ログを分析することになる。Active Directoryのログをちゃんと取っていれば、PCのドメインへのログイン時間を調べられる。

写真1●NECの「インシデント可視化ソリューション」の管理画面<br>ヒューレット・パッカードのセキュリティログ管理システム「ArcSight」と連携させた例。
写真1●NECの「インシデント可視化ソリューション」の管理画面
ヒューレット・パッカードのセキュリティログ管理システム「ArcSight」と連携させた例。
[画像のクリックで拡大表示]

 ログの分析は、機器ごとに個別に見ていては効率が悪い。複数の機器のログを集約して、互いのログの関係性を調べる「相関分析」を実施する必要がある。相関分析を含むログ統合管理には様々な製品が発売されていて、米シマンテックの「Symantec Security Information Manager」などが代表例だ。

 少し異なるアプローチとしては、NECの「インシデント可視化ソリューション」がある(写真1)。通信データを記録する専用装置とFFRのYaraiを組み合わせ、それぞれのログからセキュリティ上の脅威を可視化する。

アウトソーシングサービスの活用も

 ログの管理・分析は、システム部門の規模が小さいユーザー企業では社内対応のハードルが高い。そうしたユーザー向けに、ログの管理・分析のアウトソーシングサービスがある。

 トレンドマイクロの「Threat Management Solution」(TMS)では、専用のアプライアンスと分析サービスをセットで提供する。アプライアンスはコアスイッチのミラーポートなどに接続して通信を監視する。アプライアンスが収集した情報はトレンドマイクロの分析システムに送信して、トレンドマイクロは日次、週次、月次でレポートを作成。マルウエアに感染した恐れのある端末などを明らかにする。

図2●ログ監視などをアウトソースできる「SOC」サービス
図2●ログ監視などをアウトソースできる「SOC」サービス
[画像のクリックで拡大表示]

 セキュリティ装置の運用代行やログの管理をサービスとして提供する「セキュリティ・オペレーション・センター」(SOC)もある(図2)。主に通信事業者やシステムインテグレータが提供している。

 例えばラックの提供する「JSOC」では「出口対策の考え方に基づいて、企業内のマルウエア感染を検出する」(ラックの西本逸郎取締役最高技術責任者)。これまで紹介してきた標的型攻撃への対策を、フルアウトソーシングで提供するようなものだ。

■変更履歴
写真1のキャプションについて、日本ヒューレット・パッカードからの申し入れに基づき「ArcSight」に関する記述を追加しました。[2012/02/17 19:00]