LogStareのSOCの窓 第1回「錠前を購入したが施錠せず」
この連載で、終わりなき運用現場で直接目撃した出来事のうち、現場の管理者にとどまらず、管理層や経営層にも新しい発見があるような、そして腑に落ちるような、そんな出来事やヒントとなる情報をご紹介していきます。
脆弱性と脅威
![今回の教訓:セキュリティ企業は機器を「設置」するが「設定」はしない](/imgs/p/hJtuSU37jUUtaOmDwCp9jp0KMwUhBQQDAgEA/34320.jpg)
セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事が見えてきます。
それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStare の SOC の窓」として連載でお届けししようと思います。実務やセキュリティ計画策定、セキュリティ投資の判断のお役に立てば幸いです。
●SOC サービスの原点となった出来事
連載第一回となる今回は、当社の親会社である株式会社セキュアヴェイルが SOC サービスという仕事を行う上で、ひとつの原点ともいえる出来事をご紹介します。
ある日セキュアヴェイルの SOC の監視員が、新しい顧客となった企業の UTM のダッシュボード(管理コンソール)を開いたとき、監視員の息が止まりました。二度見、そして三度見して、それが事実であることを監視員が知ると、驚きはやがて疑問に変わったそうです。
そのダッシュボードは、Web アプリケーションファイアウォール(WAF)が「All Accept」と設定されていることを示していました。すなわち、その会社が公開している Web アプリケーションに、どんな悪意のあるパケットを投げても、すべてノーチェックで通してしまう設定だったということです。しかも恐らくその設定は、購入して設置されたときから変わらない可能性が高い。
●それぞれの「ゴール」
なぜこんなことが起こったのか。そう考えた担当者は、やるせなさと、そして次に、怒りと残念さを感じたといいます。
おそらくユーザー企業の担当者にとっては、有名なブランド(何しろその UTM 機器は業界で最も名が通っている UTM でした)の機器を入れて設置し、電源を入れることがゴールであったのでしょう。そもそも計画の中に UTM の運用など含まれていなかったのです。担当者ご自身で、ダッシュボードを開いたことは、一度もなかったのかもしれません。日々の多用を極める業務の中で、そんな工数を捻出することなど最初から不可能だったのかもしれません。
そしてセキュリティ企業もまた、高額な UTM 機器を販売し納品することがゴールだったのでしょう。セキュリティ企業は機器を「設置」はしても「設定」はしてくれないことがほとんどです。あたりまえのことですが、これもセキュアヴェイルが SOC サービスを行うなかで知った事実です。
もしかして、あなたの会社、UTM の設定が「All Accept」になっていませんか?
●設置は終わりではなくスタート
IT 投資の多くは、導入までがハイライトです。機器なりクラウドサービスなりを導入して、ユーザー訓練を施してしまえば、後は、定期的なライセンス更新や、たまにバージョンアップや障害に対応するだけです。しかしセキュリティ投資は全く事情が異なります。サイバー攻撃への対処とその運用というハイライトが、終わることなく続くからです。その運用をすべて引き受け、必要なものだけを定期報告あるいはアラート発報し、専門家の立場からときにアドバイスを行うのが、私たち LogStare をはじめセキュアヴェイルグループです。
私たちはこの連載で、終わりなき運用現場で直接目撃した出来事のうち、現場の管理者にとどまらず、管理層や経営層にも新しい発見があるような、そして腑に落ちるような、そんな出来事やヒントとなる情報をご紹介していきます。どうぞご期待下さい。
今回の教訓:
セキュリティ企業は機器を「設置」するが「設定」はしない
関連リンク
編集部おすすめの記事
特集
株式会社LogStare
-
「LogStare」生成 AI を活用したログ分析機能のアルファ版
株式会社LogStareは6月12日、同社が独自に開発・販売するセキ…
-
「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載
-
医療機関向けに「ランサムウェア検知サービス」の無償キャンペーン実施
-
セキュアヴェイル、医療機関向けセキュリティ対策に特化「NetStare for Medical」
-
LogStare と GSX 協業、ログ分析プラットフォーム「LogStare M365」と診断をワンストップで提供
-
「LogStare for AWS」提供開始、分析対象は CloudTrail・WAF・Network Firewall から選択
-
「LogStare Collector」新バージョン 2.3.4 リリース、Windows Server 2022、Red Hat Enterprise Linux 9 に対応
-
「EDR? あるよ」~ NOC+SOC+エンドポイント監視、NetStareが目指すところ
SOC(セキュリティ オペレーション センター)
-
「イエラエが、今、SOCサービスを始める意義」とは? 「IERAE DAYS」トークセッションレポート公開
GMOサイバーセキュリティ byイエラエ株式会社は3月28日、2023…
-
GMOイエラエSOC用賀 エピソードゼロ:IERAE DAYS 2023 レポート
-
2024年2月 MBSD-SOC 検知傾向、Ivanti 社製品の脆弱性狙う攻撃が増加
-
“世界一自由、世界一ユニーク” 壁のないSOC 「GMOイエラエSOC 用賀」
-
SOCの壁を壊すサービスを提供、「GMOイエラエSOC 用賀」開設
-
Microsoft 365と Microsoft Azure の統合監視「JBS SOC」提供、S&J と共同開発
-
国際標準ITU-T 勧告 X.1060 が定義するサイバーディフェンスセンター(CDC)と、それを支える監視基盤 Elasticsearch
-
パロアルトネットワークスが提案する「次世代 SOC」「次世代 SIEM」とは?
脆弱性と脅威 アクセスランキング
-
Assimp にヒープベースのバッファオーバーフローの脆弱性
-
「アダルトサイトを閲覧している姿を撮影した」脅迫メールの報告が急増(IPA)
-
スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題
-
「ポケモンセンターオンライン」を装ったフィッシングサイトに注意喚起(ポケモンセンター)
-
NETGEAR 製ルータにバッファオーバーフローの脆弱性
-
JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説~対策マニュアルとしても有効
-
PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも
-
Apache HTTP Server 2.4 に複数の脆弱性
-
メルカリがフィッシング詐欺に注意喚起、アプリの利用など推奨
-
「GROWI」にWebブラウザ上で任意のスクリプトを実行される複数の脆弱性(JVN)