セキュリティとログの重要性

◆セキュリティ=攻撃だけ?

セキュリティといえば、ウイルスやマルウェア、不正アクセスや標的型攻撃に代表されるようにシステムに入り込み内部から破壊や情報漏えいなどを発生させるものが多い。

そのためセキュリティ=それら攻撃からの防御という印象が強いことと思われる。

しかしあらゆる攻撃に対して、攻撃されてしまったという事実や、攻撃手法を予めロギングできていれば、次回以降少なくとも同じ攻撃から身を守る手段を講じることも可能だ。

今回は検知とログという観点でセキュリティを見ていこう。

 

◆不正アクセスを検知する

ログ解析の第1歩として、そもそも攻撃があったことを検知する必要がある。
そのための装置がIDS(侵入検知システム)だ。

システムのゲートウェイ付近(主にファイアウォールの前後)に設置され、ネットワークへの侵入や攻撃を検知し管理者に通知する機能を持ったソフトウェアもしくはアプライアンスのことを指す。

通常はIDSを経由する通信のパケットを分析し、シグネチャ(不正なパターンをリスト化したもの)とのマッチングによって通信を判断する。
この場合、シグネチャは予め定義しておく必要があり、メーカなどが脆弱性発表など報告があるたびにシグネチャをアップデートする必要があり、新たな攻撃手法が随時発見されるような現状において、このシグネチャ・チューニングは大変な労力ではあるが、不可欠だ。

当然、随時シグネチャをメンテナンスする必要があるということは検知される内容が必ずしも正確ではない場合もあるということだ。
最終的には人間の経験や知識を合わせて補い、判断する必要がある。

とはいえ、昨今の自動化の流れの中で、定期的な脆弱性診断と組み合わせることで
自動的にシグネチャをメンテナンスするような仕組みも実現されている。

攻撃が進化するのと同様、セキュリティ技術は常に良くも悪くも進化を続けている。

 

◆ネットワークフォレンジック

しかしながら、繰り返し述べている通り攻撃は多様化し・複雑化し、すべての攻撃を検知することは不可能に近い。
先述の通りIDSだけでは誤検知もあり、さらには危険とすべき通信を正常とご判断してしまうケースも多い。

大切なのはシステムに侵入され、情報漏えいなどが発生してしまった場合のログを取得しておくことだ。

これまでも各機器がログを保管し、必要によってはsyslog 転送といった形で1箇所に集めるような運用はあった。

しかし仮に情報漏えいなどがあり、ログ解析が必要となった場合、あくまで各機器のログをそれぞれの形式で保管していたため、ログに一貫性がなく、機器ごとのログを突き合わせて確認することは困難を極める。
まれにNTP同期ができておらず時間軸として捉えることができないといった問題も併発してしまう。

そこでフォレンジックという考え方が普及してきた。
攻撃の足跡を通信の流れの中で一貫してログを保存し、いつ、どのように、何が攻撃されたのか、を追跡できるようにしておくことがその後の対策といった意味を含めて重要性を増してきている。

まだまだストレージ容量や各アプライアンスごとのログ形式の統一化など課題が多い部分もあるが、今後インフラ内部においてフォレンジックは必須条件となり得る。

 

◆今後のセキュリティ対策

そのため、企業においてセキュリティ対策とは、防御という一面だけではなく、取得したログから攻撃を解析し、次の1手を打つための材料を自ら収集や分析する手段・方法が重要となる。

  • このエントリーをはてなブックマークに追加
  • Pocket