SecuAvail NEWS(Vol.11 2017.7)
次世代ファイアウォールの膨大なログを使いこなす!
誌上セキュリティセミナー
グランフロント大阪・コングレコンベンションセンター(大阪市北区)でこのほど開催されたITイベント「セキュリティ関西2017」(日経BP社主催)において、当社の神戸仁取締役が講演を行いました。
テーマは「セキュリティ啓発..ログの「監視」と「管理」を知る」。セキュリティ対策の第一歩目に当たるログ管理で、まず手掛けるべきことは何か。その要諦は、意外なところにありました。以下の講演録より、ご確認下さい。
セキュリティについては、必要かどうかでなく、「何を/どの程度/どの順番で/どのくらいの費用でやるか」だと捉えて下さい。最新のセキュリティ技術と言っても、ベンダーにとって新しいだけ。最新の情報はベンダーが作っているだけなんです。それが役に立つのか、使うべきかどうか、ジャッジするのはあなた方です。
正しいセキュリティ対策の考え方は、理想があって、現実があって、現実を理想にどう近付けるか。企業経営でも何でも一緒です。
ここで、視点を変えてみましょう。
医療行為では、問診をして検査をして、精密検査からさらに検査入院までします。調べて調べて、こういう症状だから薬か手術か、ということを決める。にも関わらずセキュリティでは、どうも対策から入りがちです。それはおかしい。医療なら、膨大な臨床データベースから数値を比較して、原因や病名を特定してから治療します。
セキュリティも同様です。では、何をもって現状を把握すべきか。それは、ログでしか分かりません。今あるものがちゃんと稼動しているか、脅威を遮断できているか、あるいはオーバースペックではないか。ログ分析・管理なしでは、現実的に判断のしようがないのです。セキュリティ対策のまさに第一歩が、ログ分析・管理です。
さて、ログ管理の実践です。
ログは見やすくしてもこんな感じ(=図2)で、これがまた膨大にあります。一方、レポート(グラフ)にまとめると(=図3)、数値が多い所、少ない所に目が行きがちですが、そもそもプリンタ5台を導入するときに月間出力25,000枚を想定していたとしたら、想定外なのは枚数の少ない4台の方になりますね。どこを見るか、何を基点にするかで、ログの見方は全く変わります。
人間、ログのレポートを見ると、つい隣同士を比較して、平準していないところを異常と見がちです。でもログでは普通、そこまで突出したデータは出ません。余り差のないデータを眺め続けるうちに、飽きてログ自体を見なくなるのも、また人間。
ログは単に見るのではなく、それが表している意味を「知る」ことが大事なんです。具体的には、①「定義」付けをして②良否の「基準」を決め③環境/状況の変化に応じて「定義」を再設定すること、です。
ログマネジメントサイクル。こういう考え方があるということを、今日は持って帰っていただきたい。いわゆる「PDCA」を、ログに応用したものです。
「P」ではどこを見るのかを決め、「D」ではログレポートを実装、「C」ではアラート基準を定めて、「A」で結果をちゃんとジャッジする。
「A」は一般には「Action」ですが、今回は「ジャッジ」です。そこから次の「P」に繋げないと、サイクルは回りません。
ここで大切なのは、どのログを捨てるのかということ。不要なデータを捨てないと、見つけたいものが見つかりません。
九州のある市役所では、「1セッションで10GB以上の通信を異常とする」と定義したところ、9割は不要なログとなりました。
データの要・不要を判断するには、まず仮説を立てることです。例えば、標的型メール攻撃を検知するのにはどうすべきか。深夜にどこかにアクセスしている、起動アプリがそれまでと変わる、同一サーバ( C & Cサーバ)にずっとアクセスしている、など、兆候は色々あります。まず、どの兆候でアラートを鳴らすべきか仮説を立ててやってみて、駄目なら指標を変えていく。これがログマネジメントサイクルを回すための、基本的な姿勢です。
このような取り組みを進めていくと、最終的には、理想的なログレポートは「白紙」となります。
最後にまとめます。
ご清聴ありがとうございました。