EN

メールマガジン登録
お役立ち資料
お問い合わせ

NRIセキュア ブログ

ログ監視から始めるセキュリティ対策|SOCアナリストからの提言

目次

    0201_top

     NRIセキュアでは、セキュリティ対策製品の運用管理だけでなく、さまざまな機器のログを24時間365日監視することで迅速にサイバー攻撃の兆候を検知する「セキュリティログ監視サービス(NeoSOC)」というSOC(セキュリティオペレーションセンター)サービスを提供しています。

     

     SOCアナリストとして活躍するSOCサービス部の天野一輝と筒井友梨恵に、昨今のセキュリティトレンドやログ監視の重要性について、インタビューを行いました。

     

     

    新規CTA

    進化し続けるサイバー攻撃

     サーバーへの不正アクセスによる情報漏洩や、重要なファイルを暗号化して身代金を要求するランサムウェアなどのサイバー攻撃による被害を受ける企業・組織が続出しています。このような被害を避けるために必要となるのはセキュリティ対策ですが、一方で攻撃の手口は進化し続けているため、状況に即した対策を講じることが肝要です。

    2020年7月から再度流行した「Emotet」

     では、実際にはどのようなサイバー攻撃が発生しているのでしょうか。例として挙げられたのは、2019年10月から2020年2月にかけて流行し、さらに2020年7月以降に再流行した「Emotet」と呼ばれるマルウェアの被害です。

     

    0201_img_01

    SOCサービス部 上級セキュリティアナリスト 天野一輝

     

     「Emotetはメールを使って拡散するマルウェアです。昨年12月には『賞与支給』などの件名で、本文に記載されたURLをクリックしたり、添付ファイルを開封したりするとEmotetに感染する不審メールが大量に送付されました。ちょうど賞与の支払時期と重なったこともあり、多くの人がメールの内容を信用し、その結果感染が拡大してしまいました。」(天野)
     
     

    パスワード付きzipファイル形式のマルウェアの手口

     最近のトレンドとしては、パスワード付きzipファイル形式のマルウェアをメールに添付して送りつける手法もあります。

     

     「zipファイルにパスワードを付ける形式は多くの企業がファイルをやり取りする際に使っているため、拡張子の規制では制限しづらいのが実情です。さらに文面も違和感のない日本語で書かれており、ビジネスでのやり取りを装うように工夫されているため、つい記載されたパスワードを入力してしまいがちです。zipファイルの中にあるファイルを開いて感染してしまうという事例が多発しています。」(天野)

     

     サーバやセキュリティ機器、従業員が利用するエンドポイント端末などのログを監視し、サイバー攻撃の発生、あるいはその兆候を迅速に検知する監視センターに、自社のセキュリティログの監視業務をアウトソースする企業も増えています。NRIセキュアのSOCでも、マルウェア感染を検知するケースは少なくありません。

     

    0201_img_02

    SOCサービス部 セキュリティアナリスト 筒井友梨恵

     

     「現在、平均して1カ月で10件程度のマルウェア感染、または感染未遂が発生しています。10件というとあまり多くない印象かもしれませんが、NRIセキュアのSOCを利用しているお客様は情報セキュリティ対策をしっかり行っているケースがほとんどです。そのように対策を行っていても、およそ3日に1回の間隔で感染・感染未遂が発生してしまっている状況です。」(筒井)

    サイバー攻撃を迅速に検知するSOCでのログ監視

     2020年は新型コロナウイルスの感染拡大対策として、多くの企業でテレワークが取り入れられました。テレワークを行う際に、自宅などから企業ネットワークに接続するために使われるVPNの装置も攻撃対象になっています。

     

     「VPN装置の脆弱性を悪用して、不正アクセスを行う攻撃が増えています。こうした装置はインターネットからアクセスできる位置に配置されるため、脆弱性が残されていると簡単に攻撃されてしまうのです。」(天野)

     

     こうしたサイバー攻撃を防ぐ上で、重要なのがログ監視です。さまざまな機器のログを集約・監視し、サイバー攻撃の兆候をいち早く検知することができれば、被害の拡大を防ぐことが可能になります。しかしながら、ログを監視するための体制を企業が内製で整えるのは容易ではありません。

     

     「サイバー攻撃はいつ発生するのか分からないため、ログを監視し続けなければなりませんが、そのための体制を構築するのは容易ではないでしょう。また実際にログをチェックしようとしても、自社の環境にとっての“重要なログ”を定義して、それを抽出できるようにチューニングをしておかないと、大量の不要なアラートが発生して継続的な監視に疲弊してしまうといったことが起こりえます。」(筒井)

     

     こういった課題を解決するために、NRIセキュアで提供しているのが「セキュリティログ監視サービス(NeoSOC)」です。NeoSOCは、高度セキュリティ資格を持つセキュリティアナリストが、日米印の拠点から24時間365日体制でログを監視するものです。また、ゼロデイ攻撃などの未知の攻撃が発生した場合には、それを検知するためのルールを迅速に投入するなど、お客さまに負担をかけることなく高度なセキュリティ運用を実現します。

     

    0201_img_03

    スレットハンティングとは?

     さらにNeoSOCでは、「スレットハンティング」と呼ばれる取り組みも行っています。

     

     「スレットハンティングは、リアルタイムのアラートのチェックだけでは検知することが難しい脅威を発見するために、長期的な視点でログを分析し、異常が発生していないかを確認する手法です。このスレットハンティングと、複数のログを複合して脅威を検知する相関分析を組み合わせ、脅威の検出率を高めています。」(筒井)

    おわりに

     セキュリティの取り組みは監視機器を導入して終わりではありません。適切な機器の選定・導入に加えて、セキュリティ監視対策としてどのようにログを活用し、継続的に監視を行うかを含めて設計することが必要です。

     

     ただ、そのための体制を整えたり、セキュリティのスキルを持つ人材を採用したりすることが難しいのも事実です。外部のリソースを有効活用しながら、サイバー攻撃によって深刻な被害が発生する前に、こうした課題の解決について検討を進めておくことが、今後ますます重要になると考えています。

    NRIセキュアのSOC&マネージドセキュリティサービス

     お客さまのシステム環境の24時間365日運用監視を行う、マネージドセキュリティサービスでは、ITセキュリティのプロフェッショナルがオンプレミス型、クラウド型のセキュリティ製品の設計・構築・運用・監視をワンストップで提供し、安全なネットワークを実現します。

     

    MSSサービスマップ

    SOCやマネージドセキュリティサービスに関するご相談はこちらまで、お待ちしております。