LogStareのSOCの窓 第1回「錠前を購入したが施錠せず」 | ScanNetSecurity
2022.10.02(日)

LogStareのSOCの窓 第1回「錠前を購入したが施錠せず」

この連載で、終わりなき運用現場で直接目撃した出来事のうち、現場の管理者にとどまらず、管理層や経営層にも新しい発見があるような、そして腑に落ちるような、そんな出来事やヒントとなる情報をご紹介していきます。

脆弱性と脅威
今回の教訓:セキュリティ企業は機器を「設置」するが「設定」はしない
  • 今回の教訓:セキュリティ企業は機器を「設置」するが「設定」はしない
 株式会社LogStare は「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事が見えてきます。

 それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStare の SOC の窓」として連載でお届けししようと思います。実務やセキュリティ計画策定、セキュリティ投資の判断のお役に立てば幸いです。

●SOC サービスの原点となった出来事

 連載第一回となる今回は、当社の親会社である株式会社セキュアヴェイルが SOC サービスという仕事を行う上で、ひとつの原点ともいえる出来事をご紹介します。

 ある日セキュアヴェイルの SOC の監視員が、新しい顧客となった企業の UTM のダッシュボード(管理コンソール)を開いたとき、監視員の息が止まりました。二度見、そして三度見して、それが事実であることを監視員が知ると、驚きはやがて疑問に変わったそうです。

 そのダッシュボードは、Web アプリケーションファイアウォール(WAF)が「All Accept」と設定されていることを示していました。すなわち、その会社が公開している Web アプリケーションに、どんな悪意のあるパケットを投げても、すべてノーチェックで通してしまう設定だったということです。しかも恐らくその設定は、購入して設置されたときから変わらない可能性が高い。

●それぞれの「ゴール」

 なぜこんなことが起こったのか。そう考えた担当者は、やるせなさと、そして次に、怒りと残念さを感じたといいます。

 おそらくユーザー企業の担当者にとっては、有名なブランド(何しろその UTM 機器は業界で最も名が通っている UTM でした)の機器を入れて設置し、電源を入れることがゴールであったのでしょう。そもそも計画の中に UTM の運用など含まれていなかったのです。担当者ご自身で、ダッシュボードを開いたことは、一度もなかったのかもしれません。日々の多用を極める業務の中で、そんな工数を捻出することなど最初から不可能だったのかもしれません。

 そしてセキュリティ企業もまた、高額な UTM 機器を販売し納品することがゴールだったのでしょう。セキュリティ企業は機器を「設置」はしても「設定」はしてくれないことがほとんどです。あたりまえのことですが、これもセキュアヴェイルが SOC サービスを行うなかで知った事実です。


 もしかして、あなたの会社、UTM の設定が「All Accept」になっていませんか?


●設置は終わりではなくスタート

 IT 投資の多くは、導入までがハイライトです。機器なりクラウドサービスなりを導入して、ユーザー訓練を施してしまえば、後は、定期的なライセンス更新や、たまにバージョンアップや障害に対応するだけです。しかしセキュリティ投資は全く事情が異なります。サイバー攻撃への対処とその運用というハイライトが、終わることなく続くからです。その運用をすべて引き受け、必要なものだけを定期報告あるいはアラート発報し、専門家の立場からときにアドバイスを行うのが、私たち LogStare をはじめセキュアヴェイルグループです。

 私たちはこの連載で、終わりなき運用現場で直接目撃した出来事のうち、現場の管理者にとどまらず、管理層や経営層にも新しい発見があるような、そして腑に落ちるような、そんな出来事やヒントとなる情報をご紹介していきます。どうぞご期待下さい。


今回の教訓:
セキュリティ企業は機器を「設置」するが「設定」はしない
《株式会社LogStare》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. Android アプリ「あすけん」にアクセス制限不備の脆弱性

    Android アプリ「あすけん」にアクセス制限不備の脆弱性

  2. ユニモテクノロジー製デジタルビデオレコーダに重要な機能に対する認証の欠如の脆弱性

    ユニモテクノロジー製デジタルビデオレコーダに重要な機能に対する認証の欠如の脆弱性

  3. 8月下旬からインターネットバンキングに係る不正送金被害が急増、注意を呼びかけ

    8月下旬からインターネットバンキングに係る不正送金被害が急増、注意を呼びかけ

  4. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  5. Joomla!用プラグイン「AcyMailing」に任意のPHPコードを実行される脆弱性(JVN)

  6. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  7. 「NFC」における脅威に対し、取り入れるべき3つの習慣(トレンドマイクロ)

  8. 北が日本の住宅会社攻撃/侵害報告のお手本/Xiaomiスマホ決済に脆弱性/「まさに同感」 ほか [Scan PREMIUM Monthly Executive Summary 2022年8月度]

  9. 4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止

  10. 「非公開」動画も公開、「TikTok」の脆弱性を発表(チェック・ポイント)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×