更新情報

情報管理を強化する一手!情報検出ソリューション及び情報台帳

操作ログは、内部不正を調査する最良の情報源!(下)  ~操作ログをモニタリングする秘策を教えます~

操作ログは、内部不正を調査する最良の情報源!(上)  ~どうして操作ログを使いこなせないのか~

第5回 ゼロから始めるSplunk

第4回 ゼロから始めるSplunk

企業グループ全体を守るログ統合管理|ランサムウェア対策に有効な仕組みづくり

第3回 0から始めるSplunk

IDaaSのログを監査する

第2回 0から始めるSplunk

第1回 0から始めるSplunk

Splunk: How to Prevent Insider Threats

5分で分かる「データを行動に変える」Splunk on AWS

What Is Splunk

【FAQ】Splunkとは何ですか?

【FAQ】Splunkはどのような問題を解決できますか?

【FAQ】Splunkの利用対象者は誰ですか?

【FAQ】推奨のハードウェア構成はどういったものでしょうか?

【FAQ】対応可能なOSは何ですか?

Splunk

SCSKセキュリティ株式会社

コンテンツ

HOMEコンテンツコラムコンテンツ

IDaaSのログを監査する ~セキュリティエバンジェリストISOのひとり言~

2023/06/09

IDaaSのログを日々確認していますか?

クラウドシステムの利用が増加し、IDaaS導入が進んでいます。
IDaaSは複数システムにアクセスするために大変便利な反面、一度IDパスワードが漏洩すると、すべてのシステム(クラウドサービス)に不正アクセスできてしまう可能性が出てきてしまいます。

もちろんクライアント証明書や多要素認証、IPアドレスによるアクセス制限などによって、一定の対策は講じられるものの、インターネットから誰でもいつでもアクセスできる環境では、不正なアクセスの有無を確認していかなければ万全のセキュリティ対策とは言えません。

IDaaSのログをアーカイブして、いつでも検索できるようにしているユーザは多いでしょう。しかし、収集したログを分析して、問題の有無を確認している企業はまだまだ少ないのではないでしょうか。

今回、IDaaSのログをどう日々確認していくかを皆さんと一緒に考えていきます。

何を確認するべきか?

大きくは3つの観点でログを見ていきます。

①    不正なアクセスを試みている形跡はないか
②    アクセスしたユーザに疑わしさがないか
③    IDaaSへの設定変更が適切に行われているか

上記3つの観点でログを分析する際にはイベント毎のログを一つ一つトレースしても意味はありません。
どうログを分析するかを考えてみましょう!

どう分析するか?

① 不正なアクセスを試みている形跡はないか


知らぬ間に不正アクセスのターゲットになっていることに早く気づくことが重要です。
ユーザがパスワードを誤入力し、認証に失敗したのか、悪意のある攻撃者が継続的に不正アクセスを試みているかは、その出力ログのインターバルに着眼するという方法があります。

人が認証にただ失敗しているようなケースは、仮にロックされるまでアクセスを続けても一時的なものです。

同一アカウントで、継続的に認証に失敗していたり、一定間隔で認証を試みているようなケースでは、システム的に不正アクセスをしようとしてる兆候とみることができます。

有効な手立ては、認証失敗のログが出力された際に、その出力間隔や回数、期間などを調査しなければなりません。

弊社の実績では、同一の認証失敗ログの出力間隔が一定の場合にアラートを出す仕組みを提供したことがあります。
誰がどこから不正アクセスを試みているかを知る手がかりとして管理したい項目です。

② アクセスしたユーザに疑わしさはないか

実際に認証されたユーザが不正にアクセスしたユーザかどうかを見極めるのは大変難しいことです。
見破るポイントは、IDaaS以外のログを突合して、相関的に調査する方法が有効です。

例えば、IDaaSのログとネットワークのログを関連付けて、短期間に異なるロケーションから同一ユーザでアクセスされていないかを確認する方法が挙げられます。

また、各システム(各クラウドサービス)内でのアクセス拒否に関する情報が多いIDは要注意です。通常正規ユーザはシステムやサービスに関する自分の権限や利用ルールを知っているものです。悪意のある攻撃者は、そうした権限を無視してシステムやサービスに対し様々なアクセスをします。これは複数のアプリケーションのアクセス拒否ログとIDaaSのログを相関させて調査ができるようになります。

ログを相関的に調査できる仕組みを予め作らなければこうした事態に気づくことができないのです。

③ IDaaSへの設定変更が適切に行われているか

最後にIDaaSそのものの設定変更が権限ある担当者が正規のルールで対応しているのか、そうでないのかを見分けなければなりません。
重要システムへの変更管理は承認と履歴の突合が監査上必要です。
承認された内容と実際に変更した内容を人手で個別に確認するのは運用負荷を高め非現実的です。

そこでシステムの変更ログと対になる承認データを生成し自動突合する仕組みを導入することで、不正に設定変更されるような事態を早く検知することができるようになります。

また、権限があって不正を働くようなケースではログを意図的に消去するケースもあり、出力されたログは、複製を別途保存しなければなりません。
承認したデータは出力されたテキストデータとしてどの部分をログと突合するかを予め決めて設計することで、自働化することができます。

なぜログを分析しなければならないか

ログをキーワードでフィルタすれば異常が検知できるような単純なセキュリティインシデントは少なくなりました。内部もしくは外部の攻撃者は密やかに侵入し、気づかれないように静かに目的を全うしようとします。その兆候はひとつひとつのログを見ていてもわかりません。
複数ログの相関調査や同種のログの俯瞰的な分析によって、はじめて気づくことができるのです。

ただ貯めて置き、異常に気付いたときにログを調べるのでは、有効なセキュリティ対策とは言えません。例えば漏洩したデータはもう回収できなくなっているかもしれないからです。

クラウド化しアクセスしやすくなった結果、不正アクセスもしやすくなっています。
今あるログをしっかりと精査し、不正に気付く、ログの調査基盤の導入を是非検討してください。

最近の投稿

カテゴリー

アーカイブ

Splunkとは ソリューション 導入支援メニュー 技術支援メニュー セキュリティ製品 Observability製品 Splunk x HCL BigFix Splunk x Sysdig SCSKセキュリティの魅力

top