標的型攻撃対策におけるログ管理の必要性
標的型攻撃の特性上、ネットワーク内部への侵入を防ぐことはほぼ不可能です。そのため標的型攻撃に対しては、ログ管理を徹底し侵入された場合を想定したセキュリティ対策が求められています。
コンピューターセキュリティの情報を収集・分析する一般社団法人「JPCERT/CC」でも、ログ管理がサイバー攻撃の対策として重要だという見解を出しています。
では、ログ管理は具体的にどのような効果を発揮するのでしょうか。
長期的なログ保存により、攻撃の原因究明ができる
標的型攻撃にあった場合、外部と内部からイレギュラーな通信が発生し、通信路上にあるファイアーウォールやDNSサーバ、Webプロキシサーバなどに痕跡が残り、ログとして記録されます。
長期間にわたってログを保存していれば、攻撃の原因を特定できます。それをもとにセキュリティ対策を強化し、次の攻撃を未然に防ぐことも可能です。
ただし、これらのサーバで個別に管理しているログは、保存期間が短いので長期間潜伏していた標的型攻撃を追跡できません。攻撃された原因を突き止めるのは難しくなります。
そのため、ログの保存期間は、各サーバのデフォルト設定のままでは短いので、設定の変更をおすすめします。また、ログ管理ソフトだと、さまざまなサーバのログを長期間にわたって取得・保存できるようになり、管理は省力化されます。
定期的なログ解析により、攻撃されてもすぐ気付ける
攻撃を受けてない状態の解析を定期的に行うことで、異常をすぐに察知でき問題に素早く対処できます。
たとえばWebプロキシサーバにおいて、外部に異常な量のデータを通信したり、業務時間外に外部通信したりという痕跡が見つかったとします。平時と比較すれば、異常だとすぐに見抜けるでしょう。
多くの企業では通常時と攻撃時のパターンの違いを見分けるための訓練を行い、標的型攻撃への対処力を日々高めています。
攻撃内容やルートの解析により、具体策を打ち出せる
ログ管理によって、流出した情報・攻撃範囲を特定し、攻撃者や攻撃ルート・攻撃方法などを迅速に推定できるため、より具体的な対策を打ち出せます。
たとえば標的型攻撃メールの受信が疑われる場合は、メールサーバのログを解析し、過去確認された標的型攻撃メールの送信元や添付ファイル名がないか調べるのが効果的です。
機密情報の社外への持出しが疑われる場合は、Webプロキシサーバのログを解析し、外部に大量のデータ送信が行われていないかを確認します。
ただし、攻撃の手口ごとに対応方法が異なるため、ログから正確な情報を読み取って効果的な対策を打ち出すには、ある程度のスキルが必要です。
標的型攻撃対策としてログ管理する際のポイント
標的型攻撃対策としてログ管理を実施する場合、どのような点に注目すればよいのでしょうか。
システムの時刻同期を徹底する
システムの同期ができていないと、ログの時刻がバラバラになります。複数のログを比較しても時系列にズレが生じてしまい、正確な分析ができません。システム内の時刻は必ず同期しましょう。
一般的なコンピューター・ルータ・ファイアウォールなどは、NTPというプロトコルでシステム間の時刻を同期しています。
ログの収集・保存は網羅的かつ安全に行う
ログは網羅的に収集・保存することで、初めて意味を持ちます。ログが不完全だと、攻撃者の足跡を辿れず、標的型攻撃の原因や目的も特定できません。対策を行う際は、少なくとも以下のログを用意しておきましょう。
- ■ファイアウォール
- ■侵入検知システム
- ■侵入防止システム
- ■DHCPサーバ
- ■ファイルサーバ
- ■情報システム
- ■Webサーバ
- ■Webプロキシサーバ
- ■データベースサーバ
- ■アプリケーション
- ■パソコン
また、ログを安全に保管するために、通常のデータベースとは別に管理するとよいでしょう。専用の記憶領域に保管すれば、データの改ざんを防げます。ネットワーク内部ではなく、外部記憶媒体に保存するのもおすすめです。最低でも2~3年前のものはいつでも確認できるようにしましょう。
ログ管理を標的型攻撃対策にも役立てて、自社を守ろう!
さまざまなサーバのログを管理すれば、標的型攻撃の原因を究明し、具体的な解決策を立案するのに役立ちます。ログ解析を定期的に行えば、ちょっとした異常も察知し、攻撃を未然に防ぐことも可能で、セキュリティを強化します。
導入の際は、システムの時刻同期を徹底し、ログを網羅的・安全に収集・保存して、正確な分析を行ってください。
ログ管理を標的型攻撃対策にも役立てて、自社の情報資産を守りましょう。
