CISAが新ガイドラインを発表 IT部門が知るべき「イベントログと脅威検出のベストプラクティス」とは？：セキュリティニュースアラート

CISAがイベントログと脅威検出のベストプラクティスに関する新しいガイドラインを発表した。中堅〜大企業のサイバーセキュリティの実務者やIT管理者に向けた、イベントログと脅威検出のベストプラクティスとは。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁（CISA）は2024年8月21日（現地時間、以下同）、イベントログと脅威検出のベストプラクティスに関する新しいガイドラインをリリースした。

　同ガイドラインは現在のサイバー脅威環境における企業の回復力を向上させる推奨事項を伝える。イベントロギングに関する基礎的な知識を読者が持っていることを前提としており、中堅〜大企業のサイバーセキュリティ実務者やIT管理者、運用・制御技術（OT）オペレーター、ネットワーク管理者、ネットワークオペレーターを主な対象にしている。

IT部門が知るべき「イベントログと脅威検出のベストプラクティス」とは？

　では、今回のガイドラインが紹介する具体的な内容とは何か。

　クラウドサービスやエンタープライズネットワーク、企業モビリティ、OTネットワークにおけるイベントロギングと脅威検知のベストプラクティスが紹介されている他、脅威アクターが使用する環境寄生型（LotL）技術にも言及している。

　同ガイドラインでは、LotLバイナリー（LOLBin）やファイルレス型マルウェアのようなLotL技術を使う脅威アクターの増加傾向が懸念されており、こうした脅威に対応するために「Linux」や「Windows」、クラウド環境におけるログの記録方法が詳細に説明されている。WindowsではPowerShellやcmd.exeなどの使用状況を記録し、これを活用してLotLの手法を検出することが推奨されている。

　オーストラリア通信電子局（ASD）のサイバーセキュリティセンター（ACSC）を中心に米国、英国、カナダ、ニュージーランド、日本、韓国、シンガポール、オランダの各国のサイバーセキュリティ機関が同ガイドラインに協力している。

　ガイドラインが推奨する対策を導入することで防御力が強化され、データの保護や運用の継続性が向上するだろう。