同ガイドではサイバー攻撃などの可能性を検知するための方法やその手掛かりとなるログについても解説。脅威の可能性がある攻撃などを把握したり判断したりするためのデータや情報を「インディケータ」と呼んでいる。
インディケータには、攻撃元のIPアドレスやURLといった基本的なものから、複数システムでの不審な動作、攻撃者の特徴的な手口やパターンなど様々なものがあり、インディケータを企業や組織内だけでなくJPCERT/CCなどの外部機関とも共有することで、より効果的なAPTへの対応につながるという。
インディケータに不可欠なのが、システムやネットワークなどの機器から集められるログとなるとなる。JPCERT/CCは2011年に米国でのインシデント対応事例を調査。特に役立つログとして「DNSログ」「プロキシログ」「ファイアウォールログ」「NetFlow」「サーバログ」「ホストログ」を挙げる。同ガイドではログを保持する期間なども解説。ログのタイムスタンプをUTC(協定世界時間)に合わせることや一元的に収集するといったこともアドバイスしている。
経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長の村上晃氏は、「インディケータは脅威の可能性を把握する重要なもの。大企業などが利用するSIEM(ログを相関分析して脅威を検知するシステム)の導入が難しい中小企業でもログを絞り込んで調べれば、脅威の侵入口や影響の広がりなどをある程度知ることができるので、ぜひ活用してほしい」と話している。
Copyright © ITmedia, Inc. All Rights Reserved.