このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第1章 インシデント発生前に実施しておくべき技術的対策(2/2)
3. ログ等を総合的に分析し、攻撃を検知できる仕組み
インシデントの発生をいち早く検知するためにどのようにログなどを分析し、監視・検知活動を実施すればいいのでしょうか。インシデントの発見は外部からの通報によって発見されることが多いのですが、その時は侵入されてからすでに半年とか1年以上経っていることが多く、手遅れであるばかりか、あまりに時間が経過しているため、侵入時点まで遡って調査することができないことが多いのが実情です。手遅れになる前にマルウェア侵入後の活動を早期に検知できれば被害を最小限に抑えることができるため、監視・検知活動が重要となります。
3.1. SOC(Security Operation Center)の構築
上記1の防御遮断対策において行う監視であれば、システム管理者が定期的に対象のログを確認することにより実施できますが、監視すべきものは他にも多くあり、ファイアウォールが出力するトラフィックログ、不正侵入防御システム(IPS)のアラート等様々な種類のログを組み合わせて総合的に解析することも必要であることから、通常のシステム管理者が監視を行うのには無理があり、高度な専門的な知識や経験を持った監視要員を必要とし、日頃から監視に非常に多くの時間を費やすことが必要となります。このため、ログ等を総合的に解析し、攻撃を検知するためには、この業務を専門的に行うSOC(Security Operation Center)と呼ばれる組織または機能を構築することが必要となります。
ちなみに、どのくらいの企業・組織がSOCを設置しているかというと、MS&ADインターリスク総研株式会社の「企業のサイバーセキュリティ対策に関する実態調査」(2019年11月実施)によれば、SOCを設置している企業の割合は13.9%でした。さらに、従業員1,000人以上の企業では42.5%がSOCを設置しています。前年にも同じ調査を実施したようですが、その時は27.7%でしたので、1年間で急速に設置率が上がったと言えます。このような対策が必要と言われ始めたのは、ここ数年のことですので、設置している企業もまだ少なく、多くの企業は導入途上にあるものと思われます。なお、同じ調査の中でCSIRTの設置率についても調査していますが、CSIRTを設置している企業の割合は16.1%であり、従業員1,000人以上の企業では42.5%でした。従って、CSIRTを設置している企業に限って言えば、その86.3%がSOCを設置しており、従業員1,000人以上の企業では100%がSOCを設置しているということができます。言い換えれば、CSIRTを設置して組織のインシデント対応体制を整備している企業のほとんどは、技術的なインシデント対応体制整備のためSOCを設置していると言えます。
3.2. SIEMの活用
ただ、SOCを設置したとしても、監視対象とする種々の機器で生成されるログの量は膨大であるため、いくら監視人員を増やしたとしても人間の目で全てのログを見て分析するのには限りがあります。また、攻撃手法は高度化しており、個々の機器のログを分析するだけでは攻撃を発見できないため、異なる機器間のログを関連付けて相関分析することも必要となっています。そこで必要となるのが、人間の代わりに種々の機器の膨大な量のログを自動的に監視・分析をしてくれるシステムの活用です。
このようなシステムの代表として、SIEM(Security Information and Event Management)があり、様々な機器やソフトウェアのログを一元的に蓄積・管理し、異なる機器で記録されたログを関連づけて総合的に分析し、脅威となる事象をいち早く検知します。多くのSOC、MSSのサービス事業者は、SIEMを活用し、監視・分析サービスを提供しています。
ここでSIEMについてもう少し詳しくみてみたいと思います。SIEMで最も有名な企業はSplunk Inc.という、カリフォルニア州サンフランシスコに拠点を置くアメリカの多国籍企業ですが、同社が出している「SIEM導入ガイド」では、最新のSIEMは9つの技術的機能を備えており、各機能について以下の通り紹介しています。
①ログとイベントの収集
すべてのイベントログを収集、使用、分析して、リアルタイムで一元的に可視化できる必要があります。
②リアルタイムでの相関ルールの適用
イベントの相関分析は、大量のセキュリティイベントを把握してから、複数のイベントを関連付けてインサイトを獲得し、真に意味あるものに絞り込んで集中するための手段となります。
③高度な分析と機械学習のリアルタイムでの適用
④長期的な履歴分析と機械学習
機械学習によって、組織は分析主導型SIEMソリューションで予測分析を使用できるようになり、履歴データがこの分析をさらにスマートなものにします。これによりセキュリティ担当者は、インシデントの検出や攻撃の予測、さらには攻撃の阻止などさえも可能になるのです。
⑤イベントの長期的な保存
分析主導型SIEMソリューションは、長期間にわたって履歴ログデータを保存する機能を備えています。これにより、データの時系列の相関分析を行うとともに、コンプライアンス義務を遵守することができるのです。
⑥正規化されたデータに対するサーチとレポート作成
SIEMでのサーチとレポート作成では、データのサーチ、データモデルとピボットの作成、サーチとピボットのレポート保存、アラートの設定、ダッシュボードの作成とその後の共有などができます。
⑦ Rawデータに対するサーチとレポート作成
分析主導型SIEMソリューションは、旧来のシステムと違い、ほぼすべてのデータソースからRawデータを取り込むことが可能です。データは実用的なインテリジェンスに変換され、さらにはわかりやすいレポートに形を変え、SIEMプラットフォームから該当者に直接送信されます
⑧コンテキストデータの取り込みによる追加の相関付けと分析
分析主導型SIEMソリューションがデータを収集した後で、ユーザがこのデータの意味とそれに対して何をすべきかを把握するためには、追加のコンテキストが必要になります。真の脅威を誤ったアラートから区別し、真の脅威を効果的に検出して対応することを可能にするには、この情報が不可欠です。
⑨セキュリティ以外のユースケースへの対応
その他に分析主導型SIEMソリューションが旧来のSIEMソリューションと違う点として、IT運用などのセキュリティに関連しないユースケースを含む複数のユースケースに使用できることがあります。
出所:Splunk Inc.社「SIEM導入ガイド」
3.3. SOC業務のアウトソース
非常に大きな組織であればSOCを構築することも可能ですが、大多数の企業・組織では監視業務を行うためだけに高度な専門的な知識や経験を持った監視要員を雇用し、配置することは経済合理性から考えて困難と言えます。従って、多くの企業・組織では、このような監視業務自体を外部専門事業者にアウトソースしています。このようにSOC業務を請け負う専門事業者をSOCサービス事業者と呼び、当該企業・組織に代わり不正アクセスを24時間365日リアルタイムでリモートから監視する他、顧客拠点に導入されている様々なセキュリティ監視機器の管理・運用代行等を行う場合もあります。
なお、SOCのサービス事業者の中には、MSS(Managed Security Service)と言って、不正侵入検知のほか、重要度の高い不正アクセス検知時の防御行動実施と一定時間以内のセキュリティインシデント対応支援を行うサービスを提供する事業者もあります。自前で監視業務やインシデント対応業務を実施できる体制を構築できない企業・組織はこのようなサービスを利用して、24時間365日、監視活動を行い、攻撃をいち早く検知し、初期対応できる仕組みを導入するのが良いと思われます。SOCやMSSのサービスの違いや定義は明確なものがあるわけではなく、各事業者が好き勝手にそれらの名称を使用しているだけなので、利用にあたってはそのサービス内容をよく確認する必要があります。
3.4. SOCサービス導入時の検討事項
それでは、SOCやMSSの外部サービスを導入するには、どのように導入すればいいのでしょうか。導入の際に検討すべきこととしては、以下のことがあります。
①サービスの範囲、内容
②監視・分析の内容
③監視・分析対象機器の選定
④ログデータの収集転送方法、ログ保持期間
⑤サービス費用
これらのことをある程度決めた上で、MSS事業者にどのようなサービスをいくらで提供できるか提案してもらいます。MSSといってもその監視・分析のやり方やサービスの内容は事業者によって大きく異なるので、よく比較、分析する必要があります。
それでは検討すべき項目を一つ一つ見ていきましょう。
①サービスの範囲・内容
MSSのサービスとしては以下のサービスがありますが、MSS事業者の提供できるサービスの内容をよく吟味し、自社のニーズに合ったサービスを選択します。
A. 監視・分析サービス
24時間/365日の監視。サービス対象センサーの検知イベントをリアルタイムで分析し、危険度にあわせたアラート通知を実施します。
B. 緊急遮断対応
危険度の高いアラート発生時にFWのポリシー変更を行うことで不正なIPアドレスへの接続を遮断します。
C. 初動対応支援サービス(現場駆けつけ支援サービスを含む)
インシデントが発生したことが判明した後、電話などで調査対象選定支援を行う他、契約内容によっては現場に駆付け、場合によってはフォレンジック調査も行います。
D. QA対応
本サービスから通知したアラートに関するQA対応を行います。
・メール受付:24時間365日
・電話受付、回答:受託者の営業日 9時~17時
E. 傾向分析
リアルタイム分析とは別に時系列での傾向分析により、インシデントの発見、分析を行います。なお、分析結果は月次レポートに反映します。
・時間軸や量的な観点を加味した定点分析
・発見したイベントの分析結果、および対応策の提案
F. 月次レポートの提供、脆弱性情報提供
1ヶ月間のログ、アラートから検出・通報した各危険度毎の件数の統計等のレポートを提供します。また、影響が大きいと判断したIPAやJPCERTが発行する脆弱性・注意喚起情報・脅威情報、各ベンダが提供するセキュリティパッチ 公開情報を月次レポート内に記載します。
② 監視・分析の内容
古いタイプのSOCサービスの中には、ネットワークの外部との境界に監視用センサーを取り付け、不審なIPアドレスのデータベースと一致する通信が発生していないか、異常な時間帯に不自然な通信が発生していないか等だけを監視するものもあります。また、IDS/IPS等のセキュリティ監視機器だけの運用管理と監視を行うサービスもあります。攻撃者はこのような通信の監視によって検知されないように工夫、対策を行って攻撃をしかけてくるため、一部の機器の通信監視だけでは、攻撃を検知できなくなっています。
そこで、多くのSOC、MSSの事業者では、複数のネットワーク機器、サーバ、セキュリティ監視機器で記録されるログを一元的に蓄積・管理し、相関分析を行うことにより脅威となる事象をいち早く検知・分析する仕組みを構築していますが、内容をよく聞いてみると、異なる機器間の相関分析を行っていなかったり、相関分析できる対象機器が限定されていたりする場合もありますので、どのような分析を行うのか、よく確認する必要があります。
このような相関分析を行うセキュリティソフトのことをSIEM(Security Information and Event Management)と呼んでいます。標準のサービスとして行っている場合は追加の費用は発生しませんが、オプションとして特定顧客のために新たにSIEMの機能を構築しなければいけないような場合は、高額な追加費用が発生しますので注意が必要です。
③監視・分析対象機器の選定
監視・分析対象とすべきものとして、ファイアウォール、プロキシサーバ、認証サーバ、DNSサーバ、メールサーバのログの他、IPS/IDS、ウイルス対策ソフト等のセキュリティ監視製品のログ等があります。その他のサーバや端末のログもありますが、これらを常時監視・分析の対象とすると、データ量が膨大となり、コストも高額となるため、異常が検知された場合に関連するサーバや端末のログを分析すればよいと思います。
MSS事業者に依頼する場合、そのサービス費用は監視・分析対象とする機器の種類やログのデータ量に比例して増加しますので、費用対効果も検討することが必要です。ちなみに、SIEMのソフトウェアであるSplunkのライセンス使用料は分析対象とするログのデータ量によって決まります。
④ログデータの収集転送方法、ログ保持期間
上記③で監視・分析対象とした機器やソフトウェアのログは、収集してSOC、MSS事業者へ転送する必要がありますが、通常は顧客側でログ収集管理サーバに収集しておき、そこからSOC、MSS事業者に転送する形が多いようです。SOC、MSS事業者では、転送されたログ等をSIEMサーバに保管し、そこで相関分析を行いますが、SOC、MSS事業者での保管期間が長くなると課金金額が高くなるため、SOC、MSS事業者側での保管期間は長くて3か月程度にしておき、それ以上保存したい場合は、顧客側のログ収集管理サーバ等に保存しておきます。
⑤サービス費用
サービス費用は監視対象とする機器の種類や数、データ料、サービス内容によって大きく異なります。
SOCやMSSの費用がどのくらいかかるかについて調査したレポートはあまりありませんが、米国のPonemon Instituteが2020年1月に発行した”The Economics of Security Operations Centers: What is the True Cost for Effective Results?”によると、MSS事業者にアウトソースしている場合の平均コストは年間442万ドルと非常に高額となっています。100万ドルから500万ドルのコストを支払っている企業が最も多く全体の28%を占め、50万ドルから100万ドルのコストを払っている企業が次に多く、全体の26%を占めている。なお、調査対象となった企業は従業員数最低1,000人以上で従業員数75,000人以上の企業も9%を占めているため、コスト金額も大きくなっているものと思われます。
ちなみに、もう少し小規模の日本の独立行政法人等について、私がインターネットに公開されている契約情報で調べたところ、MSSの推定年間費用は以下のとおりでした。
法人名 従業員数 推定年間費用※ 契約先
電力広域的運営推進機関 140 17,949,600 ㈱エヌ・ティ・ティ・データ
日本学生支援機構 532 39,528,000 ㈱TIS
住宅金融支援機構 885 81,600,000 NTT東日本
科学技術振興機構 1,236 89,000,000 富士通㈱
※:推定年間費用は、契約金額を契約年数で割って算出。
これをみても分かるとおり、従業員数の少ない企業では20百万円以下のケースもあります。
例えば、シンプルなケースでUTM※機器の監視だけをする場合は以下のような金額(例)となります。以下の例では、監視業務に加えて、機器の運用管理、ソフトウェアのバージョンアップなどの保守も併せて委託しています。
※UTMとは、ファイアウォールの機能に加えて複数の異なるセキュリティ機能(ウイルス対策やIDS・IPS、メールセキュリティなど)を一つのハードウェアに統合し、集中的にネットワーク管理、つまり統合脅威管理(Unified Threat Management)を行うこと。
例)UTM機器(冗長構成)の場合
監視費用 :1,500,000円/月× 12ヶ月 =18,000,000円
応急対応オプション : 70,000円 /月× 12ヶ月 = 840,000円
月次報告会 : 100,000円 /月 × 12ヶ月 = 1,200,000円
運用管理オプション : 600,000円
ソフトウェアバージョンオプション: 600,000円
===================================
21,240,000円
この場合、SOC、MSSのサービス事業者では、シグネチャに合致した通信に対して出されたアラートを監視して分析するほか、時系列で傾向などを分析し、不審な活動などがないかについても確認します。
拠点が複数ありUTM機器の数が増えれば、UTM機器の数に従って料金は増加し、他にProxyサーバや認証サーバ、その他の監視機器などを監視の対象に含めると、その分だけ監視は増加します。
加えて、異なる機器間でのログの相関分析を実施するために、SplunkなどのSIEMソフトウェアをオプションとして別途導入すると、その監視費用だけで年間60〜70百万円かかると言われた事業者もあります。いずれにしても、監視費用は、そのシステム構成、何を監視対象としてどのようなサービスを受けるか、サービス事業者によって大きく異なるので、個々の事業者から提案、見積もりを受け、よく比較、分析する必要があります。