不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方(前編)(3/3 ページ)

» 2018年07月17日 08時00分 公開
[高橋睦美ITmedia]
前のページへ 1|2|3       

 採用の理由として柏崎氏がまず挙げたのは、ライセンスのコストだ。大阪大学では学外と学内の2カ所に脆弱性スキャナーを導入しようと考えており、Nessusを2つ導入するよりも、Tenable.ioの方が安く済むという試算になった。

 それ以上に大きなポイントとなったのが、Tenable.ioに用意されていたREST形式のAPIだ。「プログラマブルになれば、ホスト一つ一つに対し、まるで人間のオペレーターと同じようにケアができるのではないかと考えました。プログラムにとって、10個程度の条件分岐を表現するのはそれほど難しい話ではありません。ユーザーやホストに合致した、柔軟かつ手厚いケアが実現できるわけです」(柏崎氏)

 もともとRubyが好きだったこともあり、柏崎氏はTenable.ioで定義されていたAPIをRubyのクラスに書き換える作業に取り組み始めた。完全に個人の手作業で、irbコマンドを使い、Tenable.ioのインスタンスを作成し、必要なサブクラスを作成してメソッドを実行して……といった処理を手続き的に実行させる仕組みを実装。「自分がいつも行っている作業を、Webインタフェースに一切触れることなく実現できるようにしました」という。

 その上で各処理をパターン化し、状況に基づいてクラス分けすることで、800以上のホストの脆弱性検査を「自動的に、定常的に回してルーティン化させました」(柏崎氏)。2018年6月中にAPI作成を完了し、学内ユーザー向けのインタフェースも、データ解析・可視化ツールの「Kibana」で作成した上で、2018年7月から正式稼働する予定だ。

photo Tenable.io

 中には、予算やサポートの関係で、どうしても年度内にはアップデートなどの対処が難しいシステムもあった。だが、少なくとも脆弱なホストがどこにあるのかが分かれば、迅速な対策も可能になると柏崎氏は言う。

 「脆弱なホストがあり、かつ外部からアクセスできる状態になっているのであれば、そこはきっちり全データの通信を取得し、観測すべきです。『知りませんでした』ではなく、何かが起こる前から観測し、何か起こったら迅速に対応する体制が求められるのだと思います」

 こうして、要点を絞って全データの通信を取得し、他の通信については、負荷やストレージ容量も考え、ヘッダ情報を中心に保存することにした。保存されるデータ量は、圧縮も活用すると300TBほどになる予定だが、データサイエンス研究の土壌としても活用していく方針だという。

 「インシデントが起こったときの物的証拠という目的だけで、これだけ膨大なデータを保存するのはもったいない。ためたデータにパターン認識や統計的な手法、機械学習といった手法を適用して、重要なインサイトを見つけるのは、コンピュータサイエンスの独壇場。格好の研究テーマともいえるのです」(柏崎氏)

 今回Tenable.ioを導入した背景には、柏崎氏が考える「CSIRTのあるべき姿」を模索したい、という意図もあるそうだ。記事後編では、その具体的な内容に迫っていく(後編へ続く)。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ