第3回 招かざるセキュリティの脅威、マシンデータから見つけるには：実践 Splunk道場（3/3 ページ）

[矢崎誠二，ITmedia]

T shapeアナリティクスの実現

　例えば、ある一つの事象を考えてみる。完全でないにしても既知の事象であれば、IDSやIPS（侵入防御システム）で脆弱性を利用したエクスプロイトコードをネットワーク上で見つけることができる。また、サンドボックスを利用して添付に含まれるマルウェアや、その後のコールバック通信の判断ができるであろう。未修正の脆弱性を悪用した「0-day」の検出は特に難しい。

　セキュリティ対策は、こうした事実を見つけて終わりではない。セキュリティ上の事象へ組織的に対応する「CSIRT」のインシデントハンドリングには、影響範囲や真因の特定において多忙を極める。それは攻撃のコードを見極めることに加え、人に近いところで以下のような“泥臭い”対応が必要不可欠であり、サイバー攻撃などへの対応は大変なことである。

• そこで見つかった問題は？
• いつからいつまで？　何週間、何カ月？
• 何回？　何百回、何千回？
• 方法は？　外部、内部、マルウェア、脆弱性？
• どこから？　日本、海外、匿名Proxy？
• どのあて先に？　サーバ、端末？
• どのファイルに？　機密レベルは？
• どのDBに？　インデックス数は？　なぜアクセスできる？

　某企業の情報漏えい事故では、社会的なインパクトの大きいインシデントの分析と報告に半年以上の時間を費やしている。Splunkにはインシデントをすぐに分析するための機能があり、専用ダッシュボードを利用することで分析時間が劇的に早くなる。このことは調査の正確性にも寄与するだろう。

• 認証状況分析ダッシュボード
• ユーザーアクセス分析ダッシュボード
• エンドポイント分析ダッシュボード
• マルウェア分析ダッシュボード
• ネットワーク分析ダッシュボード
• プロトコル（メール、DNS、HTTP）分析ダッシュボード
• 不正アクセス分析ダッシュボード
• 脆弱性分析ダッシュボード
• アセット管理ダッシュボード

セキュリティのApps

　Splunkプラットフォーム上で利用できるAppsが多数あることを以前紹介したが、セキュリティだけでも300以上のAppsを利用できる。

　セキュリティーベンダーが提供する製品に特化したダッシュボードや、サーチのサンプル特集、可視化の方法、機械学習の方法などがあり、サーチを作らなくても、テンプレートであるAppsを利用することでSplunkによる問題の検出、分析をすぐに始められる（図7参照）。Spunkを初めて利用するユーザーであっても、容易にSplunkのコマンドを理解し、セキュリティ運用を俯瞰する大きな助けとなるだろう。

StreamsとサンプルDashboardの紹介

　これらを実現するためにはいくつかのマシンデータが必要になる。マシンデータを集めること、データソース数あるいはデータ量が多ければ多いほど骨の折れるように感じるが、実際にはこれが最も近い道のりなのではなかろうか。

　また、ガイドラインという意味では「SAN TOP20 クリティカルセキュリティコントロール（CSC）」が存在する。CSCでは対策すべきサイバーセキュリティ空間でのガイドラインが列挙されており、特にTop5はベストプラクティスとして最初に行うべき項目と推奨されている。CSCを利用するのであれば、組織体でのセキュリティマネジメントをどのように運用するかというガイドもSplunkで提供しているのでぜひ参考にしていただきたい。

著者：矢崎誠二（Splunk Services Japan／シニアセールスエンジニア）

1999年よりインターネットセキュリティに特化した事業、サービスを専任。セキュリティ黎明期より、脆弱性・不正侵入検知の分野を中心としたセキュリティコンサルティングサービスに参画する。セキュリティ監査およびペネトレーションテストを日本の様々な顧客に提供するとともに、IDアクセス管理、アプリケーションセキュリティ、SIEMなどを含めセキュリティフレームワーク全体のソフトウェアに関する技術支援を遂行する。近年はビッグデータにおけるセキュリティ分析に従事。