LogStareのSOCの窓 第4回「ニューノーマル時代に頻発するアラート」
今回は、リモート会議の一般化に伴いアラートポリシーを見直したお客様の事例をご紹介します。
製品・サービス・業界動向
業界動向
セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。
それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。
●ニューノーマルに適さないアラートポリシー
従来、ファイアウォールのログ監視において「社外との長時間の通信」はアラート対象とするのがセオリーでした。大容量のデータを少しずつ社外に転送している、つまり情報を持ち出している可能性があるためです。
しかしリモート会議が日常的に行なわれるようになった今、従来のポリシーでは毎日のようにアラートが発生し、SOC が正しく機能しなくなる事態に陥ってしまいます。
今回は、リモート会議の一般化に伴いアラートポリシーを見直したお客様の事例をご紹介します。
●リモート会議のたびにアラートが検出される
ある日、お客様の IPS(不正侵入防止システム)でアラートが検出され、SOC アナリストがログを確認すると、従業員が貸出用のノート PC で Web会議ツールを使ったことが原因と判明しました。
このお客様では普段は RDS(リモートデスクトップサービス)を利用しているため、ローカルPC での外部との長時間の通信が「不審な通信」として検出されたのです。
お客様に報告したところ、業務上必要な通信だと確認が取れたので、その日は特に対応せずに終わりました。しかし数日後、そのまた数日後、同様の原因で何度もアラートが検出されるのです。
お客様に事情を聞くと、リモートでの商談が増えたために会議室が足りなくなり、休憩スペースにノートPC を持ち込んでリモート会議をする風景が目立つようになったとのこと。
このままでは不必要なアラートを出し続けることになってしまう。SOCアナリストはお客様に相談し、アラートポリシーを見直すことにしました。
対応1
「ローカルPC での外部との長時間の通信」をすべてアラート対象から除外してしまうと、本当に情報流出が疑われる通信を見逃してしまうので、業務上必要ないくつかの Web会議ツールが使われた場合に限りアラート対象から除外することとしました。
対応2
さらに、Web会議ツールを用いた情報流出も考えられるので、ファイアウォールのログから通信量が一定値を超える、つまりファイルの送受信があったとみられるトラフィックのログを抽出し、毎月レポートすることとしました。
これらの対応によって、頻発していたアラートは本当に検出すべきときだけに絞られ、情報流出のリスクも可視化することができ、SOC は従来通り「不審な通信」の監視に注力できるようになりました。
もしかして、あなたの会社でも、古いアラートポリシーが残ったまま、誰かがリモート会議をするたびにアラートが出続けていませんか?
●頻発するアラートはやがて誰も見なくなる
テレワークの急速な普及は企業を流れるネットワークトラフィックの常識を一変させました。
従来のアラートポリシーのままでは業務上必要な通信まで検出されてしまい、頻発するアラートをやがて誰も気にしなくなった、あるいは役に立たなくなったアラート設定を削除した、という経験を持つ運用担当者もいることでしょう。
それらの多くはわずかな設定の見直しで、従来と同じように機能します。
対応1では、宛先 IPアドレスからサービス(アプリケーション)を特定し、業務上必要なサービスだけをアラート対象から除外しました。
対応2では、送信元と宛先の通信量を見ることで、ファイルをアップロードしたのかダウンロードしたのかを特定し、アップロードならばその必要性を確認する運用をしています。
このように長年の SOCサービスで培ったログ分析ノウハウで、お客様の目的に沿った適切なアラートポリシーやログレポート設計を提案するのが私たち LogStare を含むセキュアヴェイルグループです。
次回も私たちがセキュリティの運用現場で目撃した出来事から、現場の担当者はもちろん、管理層、経営層の方にも気づきを与えられる事例をお届けしたいと思います。どうぞご期待ください。
今回の教訓: アラートポリシーにもニューノーマルを
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンスヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
「Smishsmash」とは、SMSを利用した2FAをバイパスする攻撃手法のこと。セキュリティの専門家でありハッカーでもあるトーマス・オロフソン氏、マイケル・ビストロム氏が命名した。
-
BCPにおける究極の自然災害 発生確率
戦争や大量虐殺等々によってもし世界が今日終わるとしたら、中には、人類には守るに値するものはほとんどないと達観し、笑顔で終末を迎える人すらいるかもしれない。
-
Microsoft Windows OS における Winsock でのデータ検証不備に起因する権限昇格が可能となる脆弱性(Scan Tech Report)
2023 年 1 月に、Microsoft Windows OS に SYSTEM 権限への昇格が可能となる脆弱性が報告されています。
-
お粗末な暗号化の仕事ぶり ランサムウェアの身代金払うもデータ破損多し
「身代金」を支払った後の復旧は、支払わないことを決めて自らのバックアップから作業するよりも、多くの場合、費用のかかる面倒な作業になる。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性
キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性
「asahi.com」「サーバー環境の移行」等メールに注意喚起
Tornado にオープンリダイレクトの脆弱性
Androidアプリ「Brother iPrint&Scan」にアクセス制限不備の脆弱性
Qrio Lock (Q-SL2) に Capture-replay による認証回避の脆弱性
インシデント・事故 記事一覧へ
ファイアウォール設定不備で豊見城市教育委員会のメールサーバが不正中継可能な状態に
「Fujitsu MICJET コンビニ交付」システムでの度重なる証明書誤発行、一時停止し一斉点検を実施
「故人」名義で通知書誤送付 上尾市
釜石市で発生した元市職員等による情報漏えい、調査結果を発表
NEXCO東日本「IRメールマガジン」BCC運用、誤送信で計383名のアドレス漏えい
保険者の資格情報誤登録、2021年10月から2022年11月末までに計5件
調査・レポート・白書・ガイドライン 記事一覧へ
IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料
AI は脅威インテリジェンスを生成できるか、NEC技術者検証
日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査
拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か
ChatGPTに個人情報を開示させる実験、MBSD研究者
研修・セミナー・カンファレンス 記事一覧へ
東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催
