ログ/イベントからセキュリティ対策へ!
「セキュリティ・イベントから見つけた脅威の実態」

去る2012年5月11日(金)、東京ビックサイトで開催された「第9回 情報セキュリティExpo 春」で当社社員の有松 龍彦(サイバーインテリジェンスセンター長)が「セキュリティ・イベントから見つけた脅威の実態」と題し、ログ監視センターで発見したイベントの実例やログ管理に生かせる情報をご紹介した。

講師の有松はマネージドセキュリティサービスに従事し始めた2001年より、 数多くのIDS/IPSやFW、その他セキュリティ製品の設計・構築・運用を行った 経験を生かし、当社内においてInfoCIC(Infosec Cyber Intelligence Center)監視センター(※1)や、InfoCICSIRT(※2)を立ち上げた中心人物である。
また、多くの企業の情報セキュリティオペレーションセンターの構築・運用支援に従事し、ログを管理するシステム担当者が抱えている様々な課題を解決するための支援を行ってきたログ管理/監視のスペシャリストである。
これらのログに携わってきた経験をもとに、ログ管理/監視においてまず最初に行うべきことは「ログを管理(監視・収集)する目的を明確にする」ことだと有松は強調した。

講演の中盤、有松がログ監視の現場で実際に発見したインシデント事例を、膨大なアルファベットと数字の羅列 (ログ)を分析し、発見していく手順、そのインシデントを実際に作動させ、どのような現象が起こるのかをデモン ストレーションを行いながらご紹介し、ログの分析には高度な知識や経験、そして時間がかかることを説明した。

ログを管理するシステム担当者の方々は皆同じような悩みを抱えているようで、当セミナー最後の質問コーナーでは 「ログを集めたはいいがどのように取り扱えば?」という質問を多くいただいた。有松は参加された方々からの質問 に対し、ログを利用するに時に有効なフィルタリングのかけ方、分析の仕方をいくつかご紹介し、最後は…

「ログを一気に収集しようと思わず、出来ることから行うこと」
「コストをかければいいというものではない」
「出来ないのであればアウトソースの検討が必要」

と、ログを集めるだけでは問題解決にはならず、日頃からログ管理のプロによる定期的な確認・運用が最も重要だということを強調し講演を締めくくった。

(※1)InfoCIC ネットワークセキュリティ監視サービスについては こちら
(※2)InfoCICSIRTについては こちら