1. HOME
  2. コラム・ソリューション記事
  3. 標的型攻撃対策としてのログ活用

標的型攻撃対策としてのログ活用

標的型攻撃イメージ

コンピュータユーザーにとっての重大な脅威の一つが標的型攻撃やAPT攻撃と呼ばれる高度サイバー攻撃です。
攻撃者は組織の外部から組織内部の情報を取得するために攻撃目標を特定するところに特徴があります。

この特徴からすると攻撃対象は攻撃価値のあると思われる組織です。
攻撃を瞬時に発見しストップさせることが可能であれば、これほどの問題にはなっていないはずですが、それが簡単に実現できていないことは多くの事例が示すところです。

次善の策としては攻撃をできるだけ早く発見し対策すること、攻撃の初期段階で対応すること、攻撃された後であればその被害の範囲を明確にし、以降の攻撃の対策をとること、などになります。

メモ:APT攻撃と標的型攻撃について
APT攻撃とは、高度サイバー攻撃(APT: Advanced Persistent Threat)のことです。比較的短時間で終了する攻撃を標的型攻撃と称することが多く、長期間継続する攻撃を高度サイバー攻撃(APT)と称することが多いようですが、厳密な区別がなされないことも多いようです。

従来、ログ管理はシステムの運用管理がその大きな利用目的でした。

しかし、ここ数年来、ログ管理はセキュリティ対策においてもきわめて効果的であり、不可欠の存在であるとの認識が一般化しており、JPCERT/CCからも、ログの活用が高度サイバー攻撃への対処にも効果的であるとの文書が公開されました。

ここではその内容をベースに標的型攻撃等の高度サイバー攻撃開始の発見、攻撃範囲の特定、攻撃者の追跡などにおけるログ収集、ベースライン把握、ログ解析の役割について簡単にご紹介します。

(1) 外部からの攻撃の痕跡はログに記録される

標的型攻撃等の高度サイバー攻撃が外部と内部の通信であることから、攻撃の開始から終了までのすべてが通信経路上に記録されていると考えられます。たとえばファイアーウォール、DNSサーバー、メールサーバー、Webプロキシー、認証サーバーなどです。

少なくともこれらのシステムのログを必要な期間、確実に保管しておくということが基本になります。
注意すべきことは、これらのシステムはデフォルト設定で使用する限り、高度サイバー攻撃への対処に必要かつ十分なログが出力されないという事実です。各システムでどのようなログを出力することが可能であり、そのためにどのような設定が必要かをきちんと確認し、必要なログ出力設定をすることがポイントです。

記録したログはある程度の期間の保存が不可欠です。保存期間については明確な定めは無く、システムを運用する組織のセキュリティポリシーに依存しますが、下記の期間は一つの目安として参考になります。

一般社団法人JPCERTコーディネーションセンター「高度サイバー攻撃への対処におけるログの活用と分析方法」 から引用

オンライン保存(いつでも検索可能な状態)

保存期間重要度
DNSサーバー1-2年
Webプロキシサーバー1年
メールサーバー言及なし
ファイアーウォール6-12か月
その他サーバー3-12か月
ホストログ1年

オフライン保存

保存期間重要度
DNSサーバー2年以上
Webプロキシサーバー1年以上
メールサーバー言及なし
ファイアーウォール1年以上
その他サーバー6か月以上
ホストログ1年以上

また下記のような指針も提唱されています

  • 内閣サイバーセキュリティセンター:1年以上
  • PCIDSS:オンライン3か月、オフライン1年

攻撃者は優れた技術を持っています。証拠隠滅のため、保存されたログの改ざんや、一部もしくはすべてが削除される可能性も否定できません。そのリスクを排除するためには保存ログの保全性・機密性が担保されることが重要であることは言うまでもありません。

技術的には保存ログに触れない(アクセスできない)、アクセスが記録される、ログが暗号化されている、電子署名がある、などの方法で管理されたログであれば、後日のフォレンジック用に利用する価値があるといえますが、ログの完全性・機密性に疑いがあれば、ログの解析そのものの意味が失われます。

ログの保全性・機密性以前に重要なことがあります。それは受信ログに欠落がないこと、経路上での盗聴がないことです。
前者のためには受信するログ容量を十分な余裕で高速処理できるログ処理性能、後者のためにはTLSその他による暗号化送信が要求されます。

弊社推奨製品

ログTLS受信対応製品Kiwi Syslog Server
WinSyslog
syslog-ng Store Box (SSB)
高速処理
ログ保全性
SIEMフロントエンド
syslog-ng Store Box (SSB)
・毎秒数万メッセージ:動作条件に依存
・バイナリ保存、アクセス記録、暗号化、電子署名など
外部システムへの自動バックアップ、アーカイブ
ログ集中管理ネットワーク構築
WinSyslog
syslog-ng Store Box (SSB)
SIEM(セキュリティ情報およびイベント管理)Logpoint(次世代のSIEM製品:SOARUEBAを統合)
SolarWinds Security Event Manager (SEM)(操作性最優先の軽量SIEMソリューション)

(2) 平時(攻撃を受けない状態)のログ解析とレポート作成

攻撃の開始を可能な限り早期に発見し、さらに継続する攻撃を発見するためには定期的にログを解析し平時のアクセスパターンのベースラインを把握することがセキュリティ担当者の任務です。そのためには指定時刻あるいは一定間隔で膨大なログファイルを読み、分析を行い、自動的にレポートを作成するようなソフトウェアの利用が不可欠です。

同時に必要なことはレポートを分析し、通常と異なるパターンでのアクセスを素早く見つける訓練です。ベースラインと異なる傾向のアクセスを見つけたら、さらに何を分析すべきかを判断し、緻密な分析作業を通してその原因を明確にしなければなりません。

(3) 攻撃の分析

攻撃を受けていることが推測されたら、その内容をピンポイントで把握し、あらゆる情報を取得しなければなりません。外部に持ち出された情報の種類や範囲の特定、攻撃者やそのルート、攻撃方法の推測などです。

そのためには膨大な量のログから、キーワードで高速に特定のログエントリーを検索する機能が必要です。指定できるキーワードの柔軟性、検索速度そのものが重要です。複数のログを時刻横断的に検索できることも必要です。もちろんこれらの作業に従事する技術者の分析力が必要なことは言うまでもありませんが、効果的なツール無しに、求める結果を得ることは困難です。

弊社推奨製品

高速ログ検索Retrospective(WinSyslog検索パッケージの一部)
syslog-ng Store Box (SSB)(外部媒体にバックアップやアーカイブしたログの検索も可能)
SIEM(セキュリティ情報およびイベント管理) Logpoint(次世代のSIEM製品:SOARUEBAを統合)
SolarWinds Security Event Manager (SEM)(操作性最優先の軽量SIEMソリューション)

標的型攻撃対策製品一覧

参考資料