そのソリューションの導入は何のため?~「できる」「できない」、ネットワークの監視を一例とした、適切なソリューションの見極め力 ~ ブックマークが追加されました
近年、サイバー攻撃による脅威が増大しており、組織は被害の抑止やビジネスまで被害が及ばないように影響のコントロールをする等、対応に追われている。様々なシステムがネットワークにつながり、外部からのアタックサーフェス(想定される攻撃対象や経路)が増加しているとともに、攻撃手法はより巧妙化している。それらに対応する形で様々なソリューションが生み出されている。ネットワーク、アイデンティティ&アクセス管理、エンドポイントセキュリティ、暗号、セキュリティ運用といった数多くのソリューションから、抱えているリスクに対して適切なソリューションの選択が求められるが、組織は適切な選択ができているだろうか。
ソリューションの選択には、組織に対する脅威を洗い出し、組織の脆弱性とかけ合わせて算出したリスクから優先度を決定し、ソリューションの検討を行うというステップが必要となる。本稿ではこうした一連の過程の中から、ソリューションの検討に焦点を当てる。ネットワークのセキュリティ対策を一例に、ネットワークを監視するソリューションを導入する際の忘れがちな観点を紐解き、組織が管理しなければならないリスクと各ソリューションの特徴を捉えた導入の重要性を解説する。
ネットワークのセキュリティ対策では、多くの組織でパケットモニタリングが導入されている。ネットワークの監視を担うパケットモニタリングは、攻撃者が不正に侵入を試みた際も、リアルタイムで監視をすることにより不正な通信を検知し、アラートを挙げる。パケットモニタリングは組織内部と外部の境界に立つ警備員のような存在であり、不正な通信を検知するには非常に強力な対策と言える。
経営層から上記のような発言を耳にするかもしれない。Xという脅威に対しては、Yというソリューションを導入しているので対策は十分だという発言だ。今回はネットワーク上で実施するセキュリティ対策を例に挙げるが、A氏の発言にあるように、IDS(Intrusion Detection System:侵入検知システム)は組織に出入りをする通信をリアルタイムで監視をし、攻撃の検知が可能な非常に頼もしいソリューションの一つである。IDSのようなパケットモニタリングのみに頼った運用はネットワーク上のセキュリティ対策として死角がないのか、パケットモニタリングとは何かを解説し、紐解いていく。
パケットモニタリングとはネットワーク上の通信、主にインターネットと組織の間のパケットをリアルタイムに監視を行うことを指す(図1)。パケットとは、効率よく送信先へ届けるために、通信データを分割し、送信先、送信元等の情報を付加したものである。インターネットの世界ではパケットの単位で通信の送信、受信を行う。リアルタイムで流れているパケットに、公開されている脅威情報(攻撃者のIPアドレスといった送信元に関する情報等)や攻撃パターンに一致する通信がないかを監視し、自組織が外部から攻撃を受けていないかを判断する。
次にパケットモニタリングの監視する場所、対象、検知の仕組みについて、解説する。監視する場所は、組織の通信の出入り口(ルータ)が多い。組織内外からの不正通信を監視する目的で、組織とインターネットをはじめとした境界をリアルタイムに監視し、外部からの攻撃を検知する。また、監視する対象は、組織内に出入りするすべてのパケットであり、送信先、送信元、送信内容といったパケット内部のすべてを監視する。
検知の仕組みは、あらかじめ定められた通信のパターンを識別し、攻撃を検知するシグネチャ型と、正常な通信パターン(トラフィック量等)を記憶し、通常とは異なる通信パターン(業務時間外にトラフィックが急増する等)を検知するアノマリ検知型の2種類がある。この2種類の検知方法により、組織を狙う攻撃と思われる異常な通信を検知する。
組織に出入りする通信のすべてをリアルタイムで監視しているのだから、セキュリティ対策は万全に見える。しかし、攻撃方法を少し工夫することにより、自組織が攻撃されていることに気が付くことが困難な場合がある。以下にパケットモニタリングで防ぐことのできない3つの脅威の例を挙げる。提示した例以外にもパケットのペイロードが暗号化されている場合等は同様に検知することができない。
先に記述した通り、シグネチャ型のパケットモニタリングでは、定義された攻撃のパターン以外を検知することはできない。ゼロデイ攻撃と呼ばれる、脆弱性(セキュリティ上の不備)のパッチ(修正)や対応策、脆弱性そのものが認知されていない状態で、その脆弱性を狙った攻撃は検知できない攻撃の代表例である。あるセキュリティベンダーの調査では、80%を超えるエクスプロイト(攻撃に使用するコード)が脆弱性の識別番号であるCVE(共通脆弱性識別子)の公開前に公開されていることを報告している。シグネチャ型では日々、攻撃のパターンが登録されているが、脆弱性が認知されるまでタイムラグがあるため、依然として未知の攻撃の脅威は残存する。
パケットモニタリングはパケットのすべてを監視しているようで、見えている範囲は狭い。例えば、攻撃者がマルウェアを作成し、組織へマルウェアを送信した時、通信データは複数のパケットに分割される。この時、パケットモニタリングでパケットの1つ1つを監視しても、そのパケットがどのようなデータなのかを理解することはできない。組織へ到着したパケットは組織内で復元され、1つのファイル(マルウェア)となり、脅威に変化する。
組織へのサイバー攻撃の脅威は必ずしも外部からであるとは限らない。組織の資産に対するセキュリティ上の脅威は外部からの攻撃のみではなく、標的型攻撃により既に侵入されているケースや内部不正等、内部からの攻撃も存在する。標的型攻撃により感染した端末が組織内ネットワークに接続したことにより、感染端末から他の組織内の端末へ感染が広がるといった具合である。また内部不正は、自組織の従業員によるデータの持ち出し、データの改ざん等が挙げられる。例えば、不正にデータの持ち出しをするために外部のメールアドレス宛にデータを送信したり、オンラインストレージにデータを不正にアップロードしたりする場合は、職責に基づいて付与された正しい権限を使った行動であることが多く、パケットモニタリングで検知することは難しい(その結果、特定のフリーメールアドレスへのメール転送やオンラインストレージへのアクセスをファイアウォール等で制限している組織も多い)。その際、1日に1ファイルずつアップロードをしていれば、通常とは異なる通信パターンを検知するアノマリ型を使用しても検知することが難しい。
以上のように、組織の出入口をリアルタイムに監視をしていても、巧妙化した外部からの脅威や内部不正といった内部からの脅威を防ぐことは難しい。では、どのような対策を実施するのが良いのか。
対策の1つとして検討していただきたいのが、ログモニタリングである。図2で示すように、ログモニタリングは、様々なデバイス(ルータや複合機、データベース、PC等)のログ(そのデバイスでいつ、誰が、何を実行したのかの記録)を集約し、集約したログ同士の紐づけや相関分析をすることで、攻撃の検知を行う。また、過去の攻撃の傾向と比較する等、リアルタイムのパケットモニタリングで見逃してしまった攻撃を後から検知することができる。
ログモニタリングツールの一つであるSIEM(Security Information and Event Management)は、組織内にある様々なシステムやデバイス等から出力されるログを集約し、相関分析を行う。SIEMを用いることで、退職届を出したある社員が機密データをダウンロードする回数が増加した等をトリガーに、内部で行われている不審な挙動を検知することも可能である。
以下に一般的なパケットモニタリングとログモニタリングの監視範囲や検知方法の比較を示す。
この表が示すように、どちらの監視方法も一長一短であり、いずれか片方のみを実施すればいいというわけではない。パケットモニタリングの検知漏れをログモニタリングでカバーが可能である。また、ログモニタリングで検知する前にパケットモニタリングを用いてリアルタイムで検知し、被害を最小限にすることができる。このように、それぞれの監視方法の弱点を補うように、パケットモニタリングとログモニタリングを併用して、日々巧妙化するサイバー攻撃からのリスクの低減が可能である。
今回はネットワーク上で実施するセキュリティ対策を一例として、単一ソリューションのみに頼る運用の落とし穴を取り上げた。ネットワークのセキュリティ対策だからと言って、ネットワーク監視のソリューションの導入をすれば、対策が完了するわけではない。現在のソリューションはどれも、1つを導入すれば良いというものではなく、一見対策が完了したように見えても、強みと弱みが存在する。パケットモニタリングでは、既知の攻撃や異常なトラフィックの検知は得意とするが、未知の攻撃や正規の通信と区別がつかない攻撃、パケット復元後に脅威となる攻撃、内部不正等には弱みがあった。各ソリューションの強み、弱みを理解し、弱みを補うような別のソリューションを検討することが必要である。
今回の事例では、ログモニタリング以外では、CASB(Cloud Access Security Broker)、DLP(Data Loss Prevention)といったソリューションでも組織内のデータの漏洩といった面では対応ができる。本稿では、一例として、パケットモニタリングのみに頼るのではなく、ログモニタリングを併用し、外部からの脅威に備える手法を推奨した。ネットワークからの脅威だからネットワークのソリューションの導入をするというのではなく、自社にある守るべき資産に対してリスク分析を行い、そのリスクを低減する対策としてどのソリューションが適切か、場合によってはどのソリューションを組み合わせればよいかといった観点で対策を検討することが望ましい。もちろん、すべてのソリューションを導入するといった過剰な対策ではなく、リスクの大きさを加味した適度な対策の実施も重要だ。
自社の資産への脅威は何か、その脅威を低減するためのソリューションは何かを検討したうえで、過不足のない対策の実施を願いたい。
高木 翼/Tsubasa Takaki
デロイト トーマツ サイバー合同会社
デロイト トーマツ参画後、外部公開システムやモバイルアプリケーションに対する脆弱性診断業務をはじめ、セキュリティ態勢評価、CSIRT高度運用に向けた支援等、幅広い業務に従事。
近年ではゼロトラストをキーワードに、ゼロトラストでのガバナンスの在り方から要件定義までのゼロトラスト推進に向けたコンサルティング業務に関与。
※所属などの情報は執筆当時のものです。