株式会社LogStareは「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。 それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。●ニューノーマルに適さないアラートポリシー 従来、ファイアウォールのログ監視において「社外との長時間の通信」はアラート対象とするのがセオリーでした。大容量のデータを少しずつ社外に転送している、つまり情報を持ち出している可能性があるためです。 しかしリモート会議が日常的に行なわれるようになった今、従来のポリシーでは毎日のようにアラートが発生し、SOC が正しく機能しなくなる事態に陥ってしまいます。 今回は、リモート会議の一般化に伴いアラートポリシーを見直したお客様の事例をご紹介します。●リモート会議のたびにアラートが検出される ある日、お客様の IPS(不正侵入防止システム)でアラートが検出され、SOC アナリストがログを確認すると、従業員が貸出用のノート PC で Web会議ツールを使ったことが原因と判明しました。 このお客様では普段は RDS(リモートデスクトップサービス)を利用しているため、ローカルPC での外部との長時間の通信が「不審な通信」として検出されたのです。 お客様に報告したところ、業務上必要な通信だと確認が取れたので、その日は特に対応せずに終わりました。しかし数日後、そのまた数日後、同様の原因で何度もアラートが検出されるのです。 お客様に事情を聞くと、リモートでの商談が増えたために会議室が足りなくなり、休憩スペースにノートPC を持ち込んでリモート会議をする風景が目立つようになったとのこと。 このままでは不必要なアラートを出し続けることになってしまう。SOCアナリストはお客様に相談し、アラートポリシーを見直すことにしました。対応1「ローカルPC での外部との長時間の通信」をすべてアラート対象から除外してしまうと、本当に情報流出が疑われる通信を見逃してしまうので、業務上必要ないくつかの Web会議ツールが使われた場合に限りアラート対象から除外することとしました。対応2さらに、Web会議ツールを用いた情報流出も考えられるので、ファイアウォールのログから通信量が一定値を超える、つまりファイルの送受信があったとみられるトラフィックのログを抽出し、毎月レポートすることとしました。 これらの対応によって、頻発していたアラートは本当に検出すべきときだけに絞られ、情報流出のリスクも可視化することができ、SOC は従来通り「不審な通信」の監視に注力できるようになりました。 もしかして、あなたの会社でも、古いアラートポリシーが残ったまま、誰かがリモート会議をするたびにアラートが出続けていませんか?●頻発するアラートはやがて誰も見なくなる テレワークの急速な普及は企業を流れるネットワークトラフィックの常識を一変させました。 従来のアラートポリシーのままでは業務上必要な通信まで検出されてしまい、頻発するアラートをやがて誰も気にしなくなった、あるいは役に立たなくなったアラート設定を削除した、という経験を持つ運用担当者もいることでしょう。 それらの多くはわずかな設定の見直しで、従来と同じように機能します。 対応1では、宛先 IPアドレスからサービス(アプリケーション)を特定し、業務上必要なサービスだけをアラート対象から除外しました。 対応2では、送信元と宛先の通信量を見ることで、ファイルをアップロードしたのかダウンロードしたのかを特定し、アップロードならばその必要性を確認する運用をしています。 このように長年の SOCサービスで培ったログ分析ノウハウで、お客様の目的に沿った適切なアラートポリシーやログレポート設計を提案するのが私たち LogStare を含むセキュアヴェイルグループです。 次回も私たちがセキュリティの運用現場で目撃した出来事から、現場の担当者はもちろん、管理層、経営層の方にも気づきを与えられる事例をお届けしたいと思います。どうぞご期待ください。今回の教訓: アラートポリシーにもニューノーマルを
