LogStareのSOCの窓 第1回「錠前を購入したが施錠せず」 | ScanNetSecurity
2021.06.22(火)

LogStareのSOCの窓 第1回「錠前を購入したが施錠せず」

この連載で、終わりなき運用現場で直接目撃した出来事のうち、現場の管理者にとどまらず、管理層や経営層にも新しい発見があるような、そして腑に落ちるような、そんな出来事やヒントとなる情報をご紹介していきます。

脆弱性と脅威
今回の教訓:セキュリティ企業は機器を「設置」するが「設定」はしない
  • 今回の教訓:セキュリティ企業は機器を「設置」するが「設定」はしない
 株式会社LogStare は「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事が見えてきます。

 それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStare の SOC の窓」として連載でお届けししようと思います。実務やセキュリティ計画策定、セキュリティ投資の判断のお役に立てば幸いです。

●SOC サービスの原点となった出来事

 連載第一回となる今回は、当社の親会社である株式会社セキュアヴェイルが SOC サービスという仕事を行う上で、ひとつの原点ともいえる出来事をご紹介します。

 ある日セキュアヴェイルの SOC の監視員が、新しい顧客となった企業の UTM のダッシュボード(管理コンソール)を開いたとき、監視員の息が止まりました。二度見、そして三度見して、それが事実であることを監視員が知ると、驚きはやがて疑問に変わったそうです。

 そのダッシュボードは、Web アプリケーションファイアウォール(WAF)が「All Accept」と設定されていることを示していました。すなわち、その会社が公開している Web アプリケーションに、どんな悪意のあるパケットを投げても、すべてノーチェックで通してしまう設定だったということです。しかも恐らくその設定は、購入して設置されたときから変わらない可能性が高い。

●それぞれの「ゴール」

 なぜこんなことが起こったのか。そう考えた担当者は、やるせなさと、そして次に、怒りと残念さを感じたといいます。

 おそらくユーザー企業の担当者にとっては、有名なブランド(何しろその UTM 機器は業界で最も名が通っている UTM でした)の機器を入れて設置し、電源を入れることがゴールであったのでしょう。そもそも計画の中に UTM の運用など含まれていなかったのです。担当者ご自身で、ダッシュボードを開いたことは、一度もなかったのかもしれません。日々の多用を極める業務の中で、そんな工数を捻出することなど最初から不可能だったのかもしれません。

 そしてセキュリティ企業もまた、高額な UTM 機器を販売し納品することがゴールだったのでしょう。セキュリティ企業は機器を「設置」はしても「設定」はしてくれないことがほとんどです。あたりまえのことですが、これもセキュアヴェイルが SOC サービスを行うなかで知った事実です。


 もしかして、あなたの会社、UTM の設定が「All Accept」になっていませんか?


●設置は終わりではなくスタート

 IT 投資の多くは、導入までがハイライトです。機器なりクラウドサービスなりを導入して、ユーザー訓練を施してしまえば、後は、定期的なライセンス更新や、たまにバージョンアップや障害に対応するだけです。しかしセキュリティ投資は全く事情が異なります。サイバー攻撃への対処とその運用というハイライトが、終わることなく続くからです。その運用をすべて引き受け、必要なものだけを定期報告あるいはアラート発報し、専門家の立場からときにアドバイスを行うのが、私たち LogStare をはじめセキュアヴェイルグループです。

 私たちはこの連載で、終わりなき運用現場で直接目撃した出来事のうち、現場の管理者にとどまらず、管理層や経営層にも新しい発見があるような、そして腑に落ちるような、そんな出来事やヒントとなる情報をご紹介していきます。どうぞご期待下さい。


今回の教訓:
セキュリティ企業は機器を「設置」するが「設定」はしない
《株式会社LogStare》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  2. Hitachi Application Server ヘルプにXSSの脆弱性

    Hitachi Application Server ヘルプにXSSの脆弱性

  3. 日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性

    日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性

  4. 我らかく戦えり 第2回「努力の払い損にはならない、送信側にも目に見える効果をもたらす DMARC」

  5. Laravel においてデバッグモードが有効な場合に任意のファイル書き込みによる遠隔コード実行が可能となる脆弱性(Scan Tech Report)

  6. 日本学生支援機構の職員を装った詐欺に注意を呼びかけ、4つの事例も紹介(JASSO)

  7. トロイの木馬をダウンロードする不正アプリ、GooglePlay上で28種見つかる(Dr.WEB)

  8. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  9. オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?

  10. LogStareのSOCの窓 第1回「錠前を購入したが施錠せず」

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×