@IT情報マネジメント主催セミナー特別講演レポート

聞け! 日々“3億件”のログと戦う男の声を


宮田 健
@IT編集部
2009/3/25


 2009年2月24日、@IT情報マネジメント編集部主催のセミナー「内部統制だけじゃない、セキュリティを強化するログ活用セミナー」が開催された。特別講演では「あなたは何のためにログを集めますか? 〜3億のログとの戦いの日々〜」と題し、セキュリティの観点からログをどう扱うべきかが語られた。

 講師はSecurity&Trustフォーラムでコラム「川口洋のセキュリティ・プライベート・アイズ」を連載する、ラックの川口洋氏が担当。伝道師という意味を持つ「エバンジェリスト」の肩書きを持つ川口氏が、ログというキーワードで注視している部分はなにか。その模様をレポートしよう。

 1年間で570億件のログ、その内訳は

株式会社ラック
JSOCチーフエバンジェリスト
兼 セキュリティアナリスト
CISSP
川口 洋氏

 川口氏が所属するラックの“JSOC”(Japan Security Operation Center:ジェイソック)では、ファイアウオールやIDS、IPSなどのログが年間570億件収集されるという。これはルータやファイアウォール、IDS/IPSなど各機器で動作するエージェントから送られる生の形のログであり、重要度による分別はなされていない状態だ。そこから相関分析を行い、複数のログを「イベント」としてアナリストが判断、分析を行い、最終的にボット感染や改ざんなどのインシデントとして分類する。最終的に緊急連絡の対象となるものは約1500件程度だという。

 川口氏はまずJSOCが持つシステムのインフラ面から話を始めた。これだけの規模のログを扱うシステムでは、やはりその情報をため込む入れ物、ストレージに気をつかうという。ハードディスクは数百本単位で壊れるものという認識で、簡単に入れ替えができるよう設計されている。そして重要なのはルータやIPS/IDSといった障害が発生しうるポイントが落ちてしまったときに、ログ送受信のコネクションがロストしてしまう可能性があり、場合によっては再送が行われない場合があるなど、ログの完全性の担保についてはLACでも悩んでいるという。

図1 JSOCが収集するログの内訳

 ログ収集システムの1つの目的は、対象となるシステムに脆弱性があるか、そしてその脆弱性が攻撃されているかを確認することだ。どのセキュリティ対策にもいえるが、すべての脆弱性が等しく攻撃されるわけではない。脆弱性があり、かつ攻撃可能なものが真っ先に対処すべきものである。川口氏は「穴があれば必ずドロボウが来るというわけではない。重要度の低いところにお金をかけ、攻撃される可能性の低い脆弱性まで対策しても意味がないので、発生頻度もあわせて考えることが重要」と述べた。

【関連記事】
川口洋のセキュリティ・プライベート・アイズ(13)
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/013.html

 誰が見ても悪いモノはすぐ分かる――ではなにを見る?

 では、攻撃が可能な脆弱性はどのようなものがあるのだろうか。川口氏はJSOCで観測された事例をいくつか紹介した。

 まず、ある民間企業へ届いた、標的型メールの事例を見てみよう。メールは外務省のアドレスを詐称し、ZIP圧縮された実行ファイルが添付されていた。

図2 標的型攻撃を行うメールの例

 このように一見しただけでは怪しくない内容だ。ウイルス対策ソフトにも検知されず、スパムフィルタも通過しているが、その実行ファイルは難読化が施されているものの、特定のサーバと通信しDLLを不正に登録するなど、まさにボットとして活動するようなものであった。また別の事例では、偽のアンチウイルスソフトをインストールさせることで、PCの管理者権限を奪取する動作を行うものも見つかっている。

 このようなマルウェアに対しては、以下の5つのステップで対処するのが一般的だ。

  1. 予防
  2. 感染
  3. 発見
  4. 確認
  5. 対処

 このうちログが活躍するのは、3の「発見」だ。発見のためにはログを監視し、不審な動きを検知する必要がある。さらに細かく見ると、「誰が発見」し、「何で発見」するのかという点を考える必要がある。

 誰が発見するかという点は、自社内で行うのではなく、外部の企業にアウトソースも可能だろう。川口氏はこの点について「例えば『誰が見ても悪いと分かる』であれば発見部分をアウトソースするのも可能だ。しかし組織のルールなど『いつもとちょっと違うこと』というのはそのシステムの持ち主しか分からない」と述べる。

 何で見つけるのかという点では、ウイルス対策ソフトやファイアウォール、IPS/IDSなどの製品が挙げられた。ウイルス対策ソフトは「流れるファイルを見る」ことが得意で、IPS/IDSは「流れる通信を見る」のが得意だ。ログとして特に注目したいのはファイアウォールで、川口氏は特に「社内から社外のログは必ず残し、確認すべし」という。

図3 ファイアウォールでせき止められた通信に注目せよ

 ファイアウォールにおいて、社外から社内への通信はポートスキャンなどのほぼ無害なものであり、ログを残していてもほとんど意味がない。しかし、社内から社外への通信でのログは、「企業のポリシーで許可されていない通信をしようとした」痕跡となる。川口氏はファイアウォールのログを江戸時代における関所の役割を表した「入り鉄砲に出女」の出女に例え、外に出る通信ログを特に注視すべきと述べた。

【関連記事】
川口洋のセキュリティ・プライベート・アイズ(4)
ポートスキャン、私はこう考える
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/004.html

 ウイルス対策については、検知できなかったときには「あきらめるという選択肢もある」という。それに加え川口氏は、企業の情報システム部に、別のセキュリティベンダが提供する製品を1本だけで用意し、万が一のときにダブルチェックできることが有効だと述べた。

1/2

Index
聞け! 日々“3億件”のログと戦う男の声を
Page1
1年間で570億件のログ、その内訳は
誰が見ても悪いモノはすぐ分かる――ではなにを見る?
  Page2
公開システムで注意すべきはやはり「SQLインジェクション」
システムを守るためにどのログを見るべきか

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間