【内部対策コンテンツ一覧】
ファイアウォール / プロキシのログ管理&監査
【ファイアウォール / プロキシのログ管理】
標的型サイバー攻撃を通じて攻撃者の侵入を許してしまった場合、侵入経路や情報の流出経路を探るためにもファイアウォール / プロキシのログ管理をしておく事が重要です。
ログの保管については、普段からログ監査の習慣がなければ盲点となりやすく、保管設定をしているつもりでも、実際は1週間程度の短期的なスパンで上書きされていたりと、事件が発覚した時にはほとんどログの利用価値が無いといったケースも多発しています。
また、標的型サイバー攻撃の特徴として攻撃期間が長期に渡ることが挙げられ、長い時は数年に渡り継続するケースも報告されていることから、例えばJPCIRT/CCではひとつの目安として、1年分のログを保管することを推奨しています( ※1 )。
【ファイアウオール / プロキシのログ監査】
標的型サイバー攻撃により侵入してくるマルウェアの中には、プロキシサーバーに対応していないものがあります。外部へのアクセスはプロキシサーバーを介するようにルール化することで、このようなマルウェアがコネクトバックによりC&Cサーバーと通信することを防げます(※2)。
平行して、ファイアウォール / プロキシのログ監査を定期的に実施することで、不審な兆候を事前に察知できるため、マルウェアの感染拡大や情報流出を事前に防ぐ対策としても有効です。
この他、ITシステムの刷新や組織構造の改革に伴い、過去に作成したファイアウォールの通信許可ポリシーが大量に放置されている場合は、攻撃者の侵入を助長する場合があります。使わなくなった許可ポリシーの定期的な棚卸しをすることで、このようなセキュリティホールの発生を防げます。
| Firewall・プロキシ監査 | 具体策 | ソリューション |
|---|---|---|
| ファイアウォール/ プロキシのログ監査 |
| ManageEngine - Firewall Analyzerファイアウォール/プロキシのログ監査機能 |
| ファイアウォールの 不要な許可ポリシーの排除 |
| ManageEngine - Firewall Analyzer Firewall 未使用ポリシーのレポート機能 |
| ManageEngine - Firewall Analyzer (マネージエンジン ファイアウォール・アナライザー)は、Webベースのファイアウォール・プロキシのログ管理および分析/解析ソフトです。 ファイアウォール・プロキシサーバーのログを視覚的に分かりやすいレポートで表示し、データの分析/解析にかかる工数を削減します。一定の条件によるアラートを通知も可能です。 | |
【ログ監査サービスについて】
ManageEngineでは、ログ/IDの管理を効率化できるソフトウェア提供と共に、これらを活用してリーズナブルな価格帯でログ監査を外部委託できる「ログ監査サービス」の紹介を行っています。
【注釈&参考情報】
(※1)高度サイバー攻撃への対処におけるログの活用と分析方法(JPCERT/CC)
(※2)『高度標的型攻撃』対策に向けたシステム設計ガイド(IPA)
【内部対策コンテンツ一覧】