LogStareのSOCの窓 第6回「多機能、次世代、便利なセキュリティ機器の落とし穴」
今回は、大きな被害を生むものではないものの、機会損失や業務効率の低下を招いていた…。SOCアナリストがお客様のファイアウォールのログを分析して見つけた、そんな事例をご紹介します。
製品・サービス・業界動向
業界動向
セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。
それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。
●大きな被害ではない、見えない不利益
“次世代”ファイアウォールなどと呼ばれるように、昨今のファイアウォールには様々な便利な機能が搭載されています。
しかし現場のネットワークエンジニアがそのすべての仕様と正しい設定方法を習得することは難しく、設定の不行き届きから不利益を生み出してしまうことも…。
今回は、大きな被害を生むものではないものの、機会損失や業務効率の低下を招いていた…。SOCアナリストがお客様のファイアウォールのログを分析して見つけた、そんな事例をご紹介します。
Case1:知らぬ間に遮断ポリシーの件数が大幅に増加していた
次世代ファイアウォールには、不審な通信を見つけ自動的に遮断ポリシーを作成する機能を持ったものがある。
あるお客様ではこの機能によっていつの間にか遮断ポリシーが大量に追加されていた。宛先ポートを確認してみると、Windowsアップデートの配信最適化による通信を遮断するポリシーと判明。
このポリシーによって一部のセグメントで、Windowsアップデートの時間にネットワーク帯域がひっ迫していたことが分かったため、設定を変更した。
Case2:正常な HTTPリクエストが WAF に遮断される
WAF(Web Application Firewall)と言えばクロスサイトスクリプティングのような、Webサイトへの悪意ある攻撃を防ぐものというイメージがあるが、HTTPプロトコルに準拠していないリクエストを遮断する機能を持ったものがある。
あるお客様が運営する Webサービスではこの機能によって、HTTP のヘッダーの上限数を超えるリクエストがすべて遮断されてしまい、一部のサイト訪問者がサービスを正しく利用できない状態になっていた。
アタックシグネチャに検知されるような攻撃ならお客様も気づけたが、バイオレーション違反までは見ていなかったため、機会損失を生んでしまった。
もしかして、あなたの会社でも、ファイアウォールの”便利な機能”が見えない不利益を生んでいませんか?
●有効に機能しているはず…と思うのが人の常
いずれもよかれと思って有効にした機能が結果的には不利益を生み出していました。このようなケースは、日々の運用の中ではなかなか気が付かず、むしろ期待通り機能しているものと思って気にも留めないのが常です。
しかしながら、ファイアウォールをはじめ様々なセキュリティ機器は、日々変わっていく攻撃トレンド、組織の状況、利用するシステム環境に適応させるための「運用」が欠かせません。
導入したセキュリティ機器が期待通りの動作をしているか? 過剰な働きをしていないか? 逆にまったく機能しない現代アートと化していないか? それらはファイアウォールを流れる膨大な通信を可視化し、日々チェックして初めて分かります。
そのような”通信を可視化する”手段としてのログレポートを自動で作成し、お客様のご要望によってはその内容を分析し、そこに潜む機会損失や不利益を見つけ出すのが私たち LogStare を含むセキュアヴェイルグループです。
次回も私たちがセキュリティの運用現場で目撃した出来事から、現場の担当者はもちろん、管理層、経営層の方にも気づきを与えられる事例をお届けします。どうぞご期待ください。
今回の教訓:セキュリティ機器の”便利な機能”は、人知れず不利益を生むことがある
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
範を示す ~ MITRE がサイバー攻撃被害公表
「MITRE はこのインシデントを開示しました。これは当団体が公共の利益のために活動し、企業のセキュリティ強化のためのベストプラクティスを提唱し、業界の現在のサイバー防御体制強化に必要な措置を講ずると約束しているからです」
-
AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下
保険契約の申し込みや更新を処理するコストの低下を追求するあまり、保険会社は不正確な査定を行い、さらにはプライバシーを侵害するという最悪の方向に向かっているようだ。
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。