標的型攻撃対策としてのログ活用
コンピュータユーザーにとっての重大な脅威の一つが標的型攻撃やAPT攻撃と呼ばれる高度サイバー攻撃です。
攻撃者は組織の外部から組織内部の情報を取得するために攻撃目標を特定するところに特徴があります。
この特徴からすると攻撃対象は攻撃価値のあると思われる組織です。
攻撃を瞬時に発見しストップさせることが可能であれば、これほどの問題にはなっていないはずですが、それが簡単に実現できていないことは多くの事例が示すところです。
次善の策としては攻撃をできるだけ早く発見し対策すること、攻撃の初期段階で対応すること、攻撃された後であればその被害の範囲を明確にし、以降の攻撃の対策をとること、などになります。
メモ:APT攻撃と標的型攻撃について
APT攻撃とは、高度サイバー攻撃(APT: Advanced Persistent Threat)のことです。比較的短時間で終了する攻撃を標的型攻撃と称することが多く、長期間継続する攻撃を高度サイバー攻撃(APT)と称することが多いようですが、厳密な区別がなされないことも多いようです。
従来、ログ管理はシステムの運用管理がその大きな利用目的でした。
しかし、ここ数年来、ログ管理はセキュリティ対策においてもきわめて効果的であり、不可欠の存在であるとの認識が一般化しており、JPCERT/CCからも、ログの活用が高度サイバー攻撃への対処にも効果的であるとの文書が公開されました。
ここではその内容をベースに標的型攻撃等の高度サイバー攻撃開始の発見、攻撃範囲の特定、攻撃者の追跡などにおけるログ収集、ベースライン把握、ログ解析の役割について簡単にご紹介します。
(1) 外部からの攻撃の痕跡はログに記録される
標的型攻撃等の高度サイバー攻撃が外部と内部の通信であることから、攻撃の開始から終了までのすべてが通信経路上に記録されていると考えられます。たとえばファイアーウォール、DNSサーバー、メールサーバー、Webプロキシー、認証サーバーなどです。
少なくともこれらのシステムのログを必要な期間、確実に保管しておくということが基本になります。
注意すべきことは、これらのシステムはデフォルト設定で使用する限り、高度サイバー攻撃への対処に必要かつ十分なログが出力されないという事実です。各システムでどのようなログを出力することが可能であり、そのためにどのような設定が必要かをきちんと確認し、必要なログ出力設定をすることがポイントです。
記録したログはある程度の期間の保存が不可欠です。保存期間については明確な定めは無く、システムを運用する組織のセキュリティポリシーに依存しますが、下記の期間は一つの目安として参考になります。
一般社団法人JPCERTコーディネーションセンター「高度サイバー攻撃への対処におけるログの活用と分析方法」 から引用
オンライン保存(いつでも検索可能な状態)
保存期間 | 重要度 | |
---|---|---|
DNSサーバー | 1-2年 | 高 |
Webプロキシサーバー | 1年 | 高 |
メールサーバー | 言及なし | 高 |
ファイアーウォール | 6-12か月 | 中 |
その他サーバー | 3-12か月 | 中 |
ホストログ | 1年 | 低 |
オフライン保存
保存期間 | 重要度 | |
---|---|---|
DNSサーバー | 2年以上 | 高 |
Webプロキシサーバー | 1年以上 | 高 |
メールサーバー | 言及なし | 高 |
ファイアーウォール | 1年以上 | 中 |
その他サーバー | 6か月以上 | 中 |
ホストログ | 1年以上 | 低 |
また下記のような指針も提唱されています
- 内閣サイバーセキュリティセンター:1年以上
- PCIDSS:オンライン3か月、オフライン1年
攻撃者は優れた技術を持っています。証拠隠滅のため、保存されたログの改ざんや、一部もしくはすべてが削除される可能性も否定できません。そのリスクを排除するためには保存ログの保全性・機密性が担保されることが重要であることは言うまでもありません。
技術的には保存ログに触れない(アクセスできない)、アクセスが記録される、ログが暗号化されている、電子署名がある、などの方法で管理されたログであれば、後日のフォレンジック用に利用する価値があるといえますが、ログの完全性・機密性に疑いがあれば、ログの解析そのものの意味が失われます。
ログの保全性・機密性以前に重要なことがあります。それは受信ログに欠落がないこと、経路上での盗聴がないことです。
前者のためには受信するログ容量を十分な余裕で高速処理できるログ処理性能、後者のためにはTLSその他による暗号化送信が要求されます。
弊社推奨製品
ログTLS受信対応製品 | Kiwi Syslog Server WinSyslog syslog-ng Store Box (SSB) |
高速処理 ログ保全性 SIEMフロントエンド | syslog-ng Store Box (SSB) ・毎秒数万メッセージ:動作条件に依存 ・バイナリ保存、アクセス記録、暗号化、電子署名など |
外部システムへの自動バックアップ、アーカイブ ログ集中管理ネットワーク構築 | WinSyslog syslog-ng Store Box (SSB) |
SIEM(セキュリティ情報およびイベント管理) | Logpoint(次世代のSIEM製品:SOARとUEBAを統合) SolarWinds Security Event Manager (SEM)(操作性最優先の軽量SIEMソリューション) |
(2) 平時(攻撃を受けない状態)のログ解析とレポート作成
攻撃の開始を可能な限り早期に発見し、さらに継続する攻撃を発見するためには定期的にログを解析し平時のアクセスパターンのベースラインを把握することがセキュリティ担当者の任務です。そのためには指定時刻あるいは一定間隔で膨大なログファイルを読み、分析を行い、自動的にレポートを作成するようなソフトウェアの利用が不可欠です。
同時に必要なことはレポートを分析し、通常と異なるパターンでのアクセスを素早く見つける訓練です。ベースラインと異なる傾向のアクセスを見つけたら、さらに何を分析すべきかを判断し、緻密な分析作業を通してその原因を明確にしなければなりません。
(3) 攻撃の分析
攻撃を受けていることが推測されたら、その内容をピンポイントで把握し、あらゆる情報を取得しなければなりません。外部に持ち出された情報の種類や範囲の特定、攻撃者やそのルート、攻撃方法の推測などです。
そのためには膨大な量のログから、キーワードで高速に特定のログエントリーを検索する機能が必要です。指定できるキーワードの柔軟性、検索速度そのものが重要です。複数のログを時刻横断的に検索できることも必要です。もちろんこれらの作業に従事する技術者の分析力が必要なことは言うまでもありませんが、効果的なツール無しに、求める結果を得ることは困難です。
弊社推奨製品
高速ログ検索 | Retrospective(WinSyslog検索パッケージの一部) syslog-ng Store Box (SSB)(外部媒体にバックアップやアーカイブしたログの検索も可能) |
SIEM(セキュリティ情報およびイベント管理) | Logpoint(次世代のSIEM製品:SOARとUEBAを統合) SolarWinds Security Event Manager (SEM)(操作性最優先の軽量SIEMソリューション) |
標的型攻撃対策製品一覧
Syslogサーバー
Kiwi Syslog Server
Windowsで稼働する手軽なSyslogサーバーとして業界屈指の出荷実績を誇ります。サイバー攻撃の被害を最小限に抑えるためには必要なログをすべて収集し保存することが最も重要です。
Syslogサーバー
WinSyslog
rsyslog の開発元としても知られている、ドイツの Adiscon社が開発したSyslogサーバーです。
日本語GUIで、日本語ログ処理にも対応しています。
アプライアンス
Syslogサーバー
syslog-ng Store Box
ログを高速収集、暗号化して一元管理を可能にする統合ログ管理アプライアンスです。高速処理に加え、長期保存のためのセキュリティ機能やクラウド化の流れに対応した製品です。
PCI DSS準拠サポート, アプライアンス
ログ検索・閲覧
Retrospective
ログファイル閲覧・検索ソリューションです。攻撃を受けていることが推測されたら、詳細を把握し情報を取得しなければなりません。膨大な量のログ検索を行い、攻撃範囲などの特定に役立ちます。
SIEM
Logpoint
世界で最高レベルの安全性(EAL3+)を認定された次世代のSIEM製品。ITインフラからのあらゆるログデータを収集・保存・分析して、疑わしい活動を検出することで脅威に対応。
SIEM
SolarWinds Security Event Manager
SolarWinds社ITセキュリティ製品の一つです。操作性に優れ、軽量かつ低価格で利用できるセキュリティ情報及びイベント管理ソリューション。
参考資料
- 文書名:「高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて」
段落2.7, 3.3
付録文書 「ログ保管に関する分析レポート」
https://www.jpcert.or.jp/research/apt-guide.html - 文書名:標的型攻撃についての調査
https://www.jpcert.or.jp/research/targeted.html - 文書名:「高度サイバー攻撃への対処におけるログの活用と分析方法」
文書名:「ログを活用とした高度サイバー攻撃の早期発見と分析」
https://www.jpcert.or.jp/research/apt-loganalysis.html