Skip to content

セキュリティマガジン TREND PARK

 CSIRT/SOCの効果を高める技術・製品の活用に目を向けることも大切です。その1つが、SOCにおけるログ分析。OSやアプリケーションの動作ログは、これまでインシデント発生時の調査に使われるケースが多くみられましたが、最近は常時監視することで、攻撃の兆候を見つけ、インシデントの早期発見に役立てようという考え方が広まりつつあります。

 攻撃の兆候をみつけるためには、ログやアラートの分析、またこうした情報を相関分析する方法があります。ログ分析ではトリガーとなるアラートを見つけ出すことが重要になります。「ログを見るだけでなく、不正URLとの照合、過去にアラートのあった不審なアカウントとの照合などが有効な手立てとなります」と佐山は述べます。アラートの場合、その危険性と影響有無を判断することがポイントになります。相関分析では、アラートをトリガーに関連するログを調査します。これにより、より詳細な影響度が判断できます。

 こうした相関分析については、製品を利用することも有効です。たとえばWebサーバを改ざんし、不正プログラムをダウンロードさせるような攻撃の場合、ネットワーク型監視センサー(※1)でexeファイルをアップロードする通信を検知し、さらにホスト型監視センサー(※2)ではファイル改ざんを検知する。2つのアラートを相関分析することで、危険と判断できるのです。

 SIEM(Security Incident Event Manager)の活用も有効です。SIEMはログやアラートを収集し、分析・管理を自動化するツール。SOCのオペレーションを効率化し、手動でログ分析する場合に比べて調査工数の大幅な削減を期待できます。「ただし導入するだけで、分析方法が分からなければ、その効果も期待できません。SIEMの効果を高めるには『何を』『どう』分析するかポリシーを明確にし、運用に反映することが大切です」と佐山は訴えます。

ログ分析オペレーションのワークフロー

SOCにおける効果的なログ分析を行うには初動分析やインシデント調査など段階的なオペレーションが必要。この中で初動分析とインシデントの一次調査はSIEMによる自動化の効果が表れやすい部分です。SIEMに関しては「何ができるか」を考慮した上で導入することが大切です

ログ分析オペレーションのワークフロー

 「SOCに関してはインシデントを早期に発見することに主眼を置き、組織・体制の構築を目的とせず、インシデントを発見する機能の構築を最重視します。『効果の可視化』に向けた指標づくりや合意形成を目指すほか、効果的なログ分析や運用のためにはSIEMや外部サ―ビスの利用することも有効でしょう」(佐山)。

打開策として外部サービスの活用も視野に

 このようにCSIRT/SOCが適切に構築・運用されれば、標的型サイバー攻撃に対処する上で非常に有効です。しかし、自社内の技術力や人的リソースだけでCSIRT/SOCの構築・運用定着を図るのは容易ではありません。その場合は外部サービスの活用も視野に入れるとよいでしょう。選択肢の1つとなるのが、トレンドマイクロの「CSIRT/SOC構築・運用支援サービス」です。構築から、構築後の監視運用、インシデント対応まで一気通貫した支援を提供できることが特長です。たとえば、インシデント特定後の対応に不安を抱えているお客様で、このサービスとウイルスバスター コーポレートエディションなどトレンドマイクロ製品をご利用されていれば、攻撃/インシデントを発見後、その脅威情報をトレンドマイクロにお送りいただくことで、パターンファイルへの迅速な反映、駆除までをご支援できます。

 CSIRT/SOCがバズワードとなるか定着ワードとなるかは、適切な構築・運用スキームを実現できるかどうかにかかっています。「体制の構築がゴールではないが、CSIRTを設置することで、外部CSIRTと情報共有できるなどのメリットがあります。一方でSOCの目的はインシデントを発見する機能を作ることです。いずれも、『効果の可視化』に向けた指標づくりや経営陣との合意形成により適切な運用が可能になるでしょう」(佐山)。標的型サイバー攻撃のような脅威が猛威を振るう昨今、SOCで検知した脅威の兆候やインシデントを迅速にCSIRTに報告し、CSIRTでは原因の特定から対応を行う、対応後にはナレッジをSOCに共有する、これを繰り返すことで、組織としてのセキュリティが向上するでしょう。

トレンドマイクロではCSIRT/SOC構築・運用の支援のほか、トレンドマイクロ製品導入後、安心して運用を行っていただくためのご支援もしています。詳しくはこちら

※1 トレンドマイクロの対応製品 Deep Discovery Inspector
※2 トレンドマイクロの対応製品 Trend Micro Deep Security

コアテク・脅威インテリジェンス 記事一覧へ戻る

記事公開日 : 2015.01.15

ページの先頭へ