SIEM"以外"の選択肢!

ログの「長期保管」と「可視化」をリーズナブルに

(統合ログ管理にも!)

SIEMとは

SIEMは、”Security Information and Event Management” の略です。
サーバーやネットワーク機器などから排出されるあらゆるログを収集/保管し、 それらのログを統合的に解析することによって、セキュリティ脅威に対していち早い検知を行う仕組みです。
セキュリティインシデントの対策および被害低減を実現しますが、SIEMは非常に高価格帯であるため、多くの企業は導入に踏み込めないという悩みを抱えがちです。
ManageEngineは、「適切なレベルでのログ管理」を推奨しています。「出来ないから何も行わない」のではなく「出来る範囲での対策」を行うために、 「SIEM"以外"の選択肢」としてのソリューションをご紹介いたします。

 

横行する標的型攻撃 - 企業はどこまでログ管理を徹底すべきなのか?

標的型攻撃が横行する昨今では、企業側でいくら内部ネットワークの入口防壁を強固にしても、「攻撃者から100%突破されない」という確証を得ることはできなくなりました。企業側には、「攻撃者に突破される可能性が常にある」ことを前提に、「侵入されても大きな被害を出さない」事を目指す「内部対策」が求められています。

また、ネットワークの設定や社員のアカウント情報についても、日々変化しています。いつどこにセキュリティホールが発生しているかも分からない状況で監視を怠っていれば、攻撃者にあっさりと攻略されてしまう危険性が高まります。

上記のようなリスクを低減させ、万一攻撃者に突破された際も速やかに調査が行えるよう、IPA(独立行政法人 情報処理推進機構)やJPCERT/CC( Japan Computer Emergency Response Team Coordination Center )といった団体から公開されているガイドライン上では、セキュリティログの管理が推奨されています。

とは言え、リソースが限られた中で「どこまでログ管理を徹底するか」は企業にとって大きな課題です。実際には、下記に示すような個々の企業の状況により、最低限求められる範囲も変化します。

(1)対策企業が保有している情報資産の価値やレベルに応じて

(2)親会社や取引先から要求されるレベルに応じて

(3)経営者自身が考える企業姿勢に応じて

はじめから完璧を目指せるほど潤沢なリソースが無い場合、自社の状況を起点に対策のレベル感を分け、可能な範囲での対策から進めることを推奨します。

なお、項目3については経済産業省から提示されている「サイバーセキュリティ経営ガイドライン 」にもある通り、現在においては経営者のリーダーシップの下でサイバーセキュリティ対策を推進することが社会的に求められています。セキュリティ対策については従来、

・売上につながらない

・投資対効果が見えづらい

といった理由から、対策推進のモチベーションが上がりづらいという課題が存在しましたが、近年では「経営リスクを回避する」という視点からBCP(Business Continuity Plan)の一環として、トップダウンで施策を進めるという風潮も強まっています。

ログ管理の対策レベルと具体的な実施内容

以下に、便宜的に対策のレベル感を分け、個々に対応する実施内容とツールをご紹介します。自社の状況と照らし合わせ、実現可能なレベルから対策を開始することを推奨します。

レベル
レベル1 ログの長期保管
レベル2 ログの可視化
レベル3 ログの相関分析
内容

有事の際に被害の発生経路や要因を調査するためのトレーサビリティを確保。

※JPCERT/CCからは、ひとつの目安として1年間のログ保管が推奨されている。

ファイアウォール/プロキシ、Active Directoryのように、IPAやJPCERT/CCで監査が推奨されているログ(※)についての可視性を向上させ、定期的に監査する運用へ落とし込むことで、明らかな異常が発生した際に早急な対策を取れる状態を整える。

社内に高度なセキュリティ専門知識を持った担当者を配置するか、外部SOCなどを利用することで、内部ネットワークログの相関分析を日々行います。

対策ツール

■ 統合ログ管理ソフト

※あらゆるログを収集・保管でき、検索できる仕組みを備えた製品が求められる。SIEMでも対応可能だが、ログ保管の用途のみで高額なSIEMを導入することは現実的ではない。

統合ログ管理ツールに加え、ファイアウォール/プロキシ、Active Directoryといった固有機器のログの可視性を高められる監査ツールの利用が好ましい。

※監査ツール側で重要ログの抽出やレポート作成を行うため、最初にチェック項目だけを決めてしまえばシステム担当者レベルでの運用が可能。

■SIEM

※但し、高度な相関分析を行うためのデータ抽出や条件設定、日々のメンテナンスには専門知識を要するため、ツールの導入だけでは運用できず、組織内部もしくは外部に専門者を雇う必要あり。

ManageEngine
対応製品

参考

<良くある失敗例>

・はじめから最高レベルの実施を目指した場合

:レベル1、およびレベル2の実施が十分にできていない状況でレベル3の実施を目指した場合、保有しているリソースや予算の観点で現実と理想の乖離が大きくなり、結果として「実施自体が困難」という飛躍した結論に至ってしまうケースがあります。セキュリティに関しては、0%か100%かという極端な判断ではなく、0%なら30%へ、30%なら60%へ…といった具合に段階的、かつ速やかな対策を推進することが現実的です。

・「ツールありき」でレベル3を目指した場合

:ログの相関分析を行うツールとしてSIEM(Security Information and Event Management)が有名ですが、高度な分析が行える一方、設定やメンテナンスにハイレベルな専門知識と大きな負荷がかかることも事実です。高額な費用を投下してツールを導入し、初期設定までは行ったものの、その後刻々と変化するネットワーク設定や監査項目の変更にツールのメンテナンスが追いつかず、結果として宝の持ち腐れとなってしまうケースも存在します。

「ログ保管/ログの可視化」の最適解、ManageEngineで身の丈にあった対策を!

上記に示したレベル3の実施には、どうしても高額なSIEMや専門知識を持った人員の確保が求められます。一方で、レベル1、レベル2の段階であれば、必要最小限の投資とリソースで対応が可能です。

ManageEngineでは、それぞれのレベル感にぴったりとはまる製品をリーズナブルな価格で提供することで、企業のセキュリティレベル底上げに貢献します。

例えば、グループ企業の子会社/関連会社、国や地方公共団体の出先機関/取引先など、親会社や本庁で導入しているものと同レベルの対策は難しくとも、一律のセキュリティ強化が求められるような場合、ManageEngineは身の丈にあった現実的な選択肢としてご検討頂けます。

以下は、各製品の詳細情報です。

レベル
レベル1 ログの長期保管
レベル2 ログの可視化
内容

有事の際に被害の発生経路や要因を調査するためのトレーサビリティを確保。

※JPCERT/CCからは、ひとつの目安として1年間のログ保管が推奨されている。

ファイアウォール/プロキシ、Active Directoryのように、IPAやJPCERT/CCで監査が推奨されているログについての可視性を向上させ、定期的に監査する運用へ落とし込むことで、明らかな異常が発生した際に早急な対策を取れる状態を整える。

ManageEngine
対応製品

統合ログ管理/簡易SIEMソフト

「EventLog Analyzer」

(イベントログ アナライザー)

ファイアウォール/プロキシログ管理

ソフト「Firewall Analyzer」

(ファイアウォール アナライザー)

Active Directoryログ監査ソフト

「ADAudit Plus」

(エーディーオーディット プラス)

製品詳細

・イベントログ・Syslogに加え、任意のテキスト形式のログを一元的に収集。

・複数のログタイプを選択し、特定のキーワードで同時検索可能。

・PCI DSS準拠レポート等、各種レポートを自動生成。

・ファイアウォール/プロキシの生ログを視覚的なレポートに自動出力。

・Juniper SSG/SRX、Cisco ASA & Cisco Pix、FortiGate、PaloAlto、Squid、i-FILTERなど30ベンダー以上の主要なファイアウォールやプロキシサーバーに対応。

・一定期間以上使われていないポリシーを抽出してポリシーの棚卸し作業を促進。

・ユーザー深夜ログオンやアカウントロックなどを監査することで、不正アクセスの検知を促進。

・PCI DSS準拠レポート等、200種類以上の監査レポートを自動生成。

標的型攻撃対策におけるログ保管の種類と推奨期間

下記は、JPCERT/CCが公開している資料(※)から、標的型攻撃対策において取得が推奨されているログとその保管期間をまとめた表です。対応するManageEngine製品も掲載しています。

標的型攻撃による情報流出の疑いがあると発覚した際、攻撃者の侵入経路や情報流出に至った経緯を調査するために、下記のようなログを長期保管することが推奨されています。

ログ種類
重要性
オンラインログ (ログ管理ツールなどで即時検索可能な状態)
オフラインログ (アーカイブや外部媒体に保存されるログ)
EventLog Analyzer
Firewall Anlyzer
ADAudit Plus

DNS サーバ

Very High

1~2年

2年以上

-

△ WindowsDNSのみ可

プロキシ サーバ

Very High

1年

1年以上

-

メール サーバ

High

言及なし

言及なし

△ メールアーカイブは不可

-

-

Firewall

Medium

6~12カ月

1年以上

-

その他サーバ (AD等)

Medium

3~12カ月

6カ月以上

-

Active Directoryログの可視性の向上が可能

ホストログ (PC端末)

Low

1年

1年以上

 

-

「ログを活用した高度サイバー攻撃の早期発見と分析(プレゼンテーション資料)」を参照の上、編集・加筆。

ID(アカウント)管理/アクセス管理でログの可視化を促進

Active DirectoryやWindows OSおよびファイアウォールから出力されるログだけを見ても、正常なログと非正常なログを全て判別することは困難な場合があります。個々のログの可視性を上げるために、ID(アカウント)/アクセス管理を適切に行うことが有効です。例えば、特権IDやActive Directoryのドメインアドミンアカウントを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義でき、ひいては異常ログの速やかな検出につながります。

また、ログ監査の一環として、特権IDの利用と申請内容の突合が求められることがあります。ID/アクセス管理の統制がとれておらず、誰でも簡単に特権IDを利用できる環境であれば、正常な業務として特権IDが活用された場合のログと、不正に活用された場合のログの見分けが付かず、異常を検知することはほぼ不可能となります。

>> ManageEngineが提供する特権ID管理ソフト「Password Manager Pro」についてはこちら