1.はじめに
コロナは、これまで「働き方改革」などをキーワードにゆるやかに浸透しつつあったテレワークを、一足飛びに普及させました。緊急事態宣言により社員の出社が困難となり、急遽テレワーク導入に追われたシステム部門の方も少なからずいらっしゃいます。今や、自宅やレンタルオフィス、カフェなど様々な場所から社内システムにアクセスし、業務を行う姿が珍しくなくなりました。
こうした中、IPAが発表した「情報セキュリティ重大脅威 2021」(※1)では、「テレワーク等のニューノーマルな働き方を狙った攻撃」がはじめてランクインし話題となりました。テレワーク普及の拡大や、それを実現するクラウドサービス利用の一般化など、ニューノーマルな働き方が当たり前になると同時に、それに付随するセキュリティインシデントも増加しています。
セキュリティに対する考え方も従来の「境界型防御(内部は信用する)」から「ゼロトラスト(誰も信用しない)」へシフトし、様々な対策やサービスが生み出されています。ゼロトラストにおいて考慮すべきセキュリティ課題と取るべき対策は、INSIGHTに記事がございますのでご参照下さい(※2)
さて、ゼロトラスト環境下では、ログの一元化と活用が重要と言われています。理由は後述しますが、本稿では、「ゼロトラスト」のもと様々な対策が取られる中で、これまで以上に重要性が叫ばれている「ログ監視」に焦点を当て、課題や落とし穴、対する解決策について、当社事例を交えつつ考察します。
2.ログ監視の重要性
ログ監視の重要性を2つの観点から説明します。
観点1:横断的なセキュリティ対策が可能となる
ゼロトラストと言ってもセキュリティ対策に完璧はあり得ず、すり抜けは避けられません。セキュリティの防御機構をすり抜けた攻撃については、検知し、対処する必要があります。質の高い検知を実現するためには、単一機器からだけではなく、複数機器からログを収集したうえで一元化管理し、社内環境を横断的に監視することが必要となります。
観点2:自社のセキュリティ対策を適正化する材料となる
セキュリティ対策の実施は、業務の効率性とのトレードオフとなります。杜撰な対策はセキュリティインシデントを引き起こす原因となりますが、厳重すぎるセキュリティ対策は、運用コストの増加と業務の効率性の低下を引き起こします。ログを一元化し監視することで、検知に必要なログの選別に有効利用できます。
3.ログ監視における課題とその解決策
当社では世界の主要7拠点で配下のグループ会社のログを集約し、SIEM/UEBAシステム(※3)によるログ監視を実施しています。例えば日本では、約900TB/日、10億行/日のログを取込んでいます。この膨大なログを適正に監視するため、当社はこれまで様々なナレッジを培ってきました。ログ監視で陥りがちな3つの課題と解決策を紹介します。
課題1:ログが収集できていないことに気づかない
第一に重要なのは、「ログを確実に収集すること」です。
海外では回線費用が日本と比較して高額な場合があり、大型連休の時などは電源を落とし、不要な通信を行わない様にするところもあります。この様な場合、連休明けの復旧漏れや電源オン時のトラブルによりログが収集できていない、という事象が発生します。収集対象のログ数が膨大で、個別のログ漏れがないか確認するのが現実的ではない場合もあります。この様なログの欠損は気づきにくく、本来検知可能であったセキュリティインシデントを見逃すリスクがあります。
解決策として、当社では収集しているログと個々のログの保存容量を定期的に取得し比較しています。ログの一覧に差分が生じた場合や、ログの保存容量に差分が生じない場合、何らかの理由でログが収集できていないと判断し、対処を行うことで欠損を防いでいます。
課題2:ログの項目が正しくパースできていないことに気づかない
次に重要なのは、「ログを整形(以下パース)し蓄積できていること」です。
ログ監視では、監視対象のログは、proxy・ファイアウォール・DNS・ADなど種類ごと、またベンダごとに存在し、様々なフォーマットが存在します。これらを統一せず管理する場合、システムの機械学習が困難、もしくはアナリストがインシデントを調査する際にフォーマットの違いを意識して分析する必要が生じるなど、現実的ではありません。このため、ログ毎に変換用の定義ファイルを用意し、それに基づきログを整形します。ところが、以下の様な「ありがちな」ケースで、定義ファイルと実際のログフォーマットが異なる事象が発生します。
- 機器の自動バージョンアップやクラウドサービスの仕様変更により、ログフォーマットが気づかず変更されている。
- 機器増設時に、従来の機器と同じログフォーマットとなっていないことに気づかない。
この様なケースは、ログ内の特定の項目で発生するケースが多く、課題1と同様、発見が困難です。しかし、これがユーザ情報など、ログ監視上重要な項目の場合、セキュリティインシデントの検知漏れにつながります。
解決策として、当社はログ毎に主要な項目を定め、それらがパースできているかを一日のログに対するパースエラーの割合でチェックしています。全項目を検証するのはシステム的・運用的にも現実的ではありません。また、ログにはシステムエラー時などにイレギュラーなフォーマットが出力されることもあるため、主要な項目+閾値による監視を導入しています。
課題3:ログ監視に関係ないログの判断が難しい
最後は、ログの取捨選択の課題です。
近年、システムの複雑化と共にログも増加傾向にあります。これらを全て蓄積して分析するのは、設備的にも、ログ監視のサービスレベル的にも現実的ではありません。ログが多すぎる場合、ログ分析に時間を要してセキュリティインシデントの発見遅延から被害拡大につながる可能性があります。一方でログが少なすぎる場合は、十分な機械学習が行えず、検知漏れから被害拡大につながる可能性があります。適正なログの取捨選択が必要ですが、ナレッジがないと判断が難しいのが実態です。
解決策として、当社ではログを定期的に統計分析し、分析対象外候補のログを抽出しています。これらをアナリストと協議し、不要な場合は削減することで、ログ量の適正化に努めています。参考に、効果の高かったログ削減の例を示します。
4.まとめ
ログ監視で陥りがちな課題と、当社のプラクティスを見てきました。ログ監視はゼロトラストにおけるセキュリティ対策を補完する機能です。アナリストに適切な監視環境を提供し、ひいては社員を守るためには、全体的な視点で自社のセキュリティ対策を捉え監視を行う必要があると考えます。今回ご紹介したポイントを踏まえて、是非ログ監視を活用してください。
当社では、本稿でご紹介した社内OA環境で得たナレッジを、社外のお客さまへの構築・監視サービスへ活用しています。ご興味があれば、遠慮なくお問合せ下さい。