「監視、分析、時々棚卸し」をモットーにせよ ホワイトハッカー流IT資産保護のススメ：ITmedia Security Week 2024春 イベントレポート（2/2 ページ）

「IT資産の保護は『監視、分析、時々棚卸し』をモットーにせよ」――ホワイトハッカーの守井浩司氏がエンドポイントセキュリティ保護のポイントと実践的な対策のステップを語った。

[吉田育代，ITmedia]

「監視、分析、時々棚卸し」で進めるセキュリティ対策

　守井氏によると、「監視、分析、時々棚卸し」をモットーにセキュリティ対策を講じるとき、重要となる2つの指針があるという。1つ目はイベントの監視・分析で、2つ目は事後に備えた準備だ。

セキュリティ対策で重要となる2つの指針（出典：守井氏の講演資料）

　守井氏は「イベントの監視・分析については、アンチウイルスソフトを入れておけばいい時代は終わっている。これらから出てきた“ログを“分析する基盤としてSIEM（Security Information and Event Management）やXDRなどを活用したい」と話した。

監視・分析のためのセキュリティ製品の特徴と守井氏の評価（出典：守井氏の講演資料）

　では事後準備については何をすればいいのか。守井氏は「システムのバックアップ・リストアの運用やログ取得の体制構築が必要だ」と語る。

　リストアで注意したいのは、長年のシステム利用でOSやミドルウェアの状況が変わり、作成した手順書通りには復元できないというケースだ。これを避けるためにも定期的なリストアテストの実施は必要不可欠だ。

IT資産の棚卸しで外してはいけない6つのポイント

　次に守井氏はIT資産の棚卸しで重要なポイントとして以下の6つを挙げた。

1. IT資産を把握する
2. 利用者を把握する：　どの部門の誰であるかを特定し、できれば何時から何時まで端末作業を実施する、どういった内容の作業をするといった、業務の把握ができればなお良い
3. 利用実態を把握する：　1つのデバイスを複数人で使っている場合がある。それ自体が問題というわけではなく、そのような使い方をしているということを把握する。テレワークのためにデバイスを外部に持ち出して作業する、といったことを知ることも含まれる
4. 利用しているソフトウェアやツールを把握する：現在利用中のツールやソフトウェアのバージョン、野良ソフトの持ち込みを許容していないかどうかといったことを確認する
5. クラウド資産の利用を把握する：　SaaSを利用しているかどうか、そうでないものも使われているのかどうかといったことを明らかにする
6. ネットワーク利用を把握する：　これは社内利用だけでなく、出張で新幹線のWi-Fiを利用する、取引先でゲストWi-Fiを借りるといった実態まで知っておいた方が良い

　事後に備えた準備という観点では、ログの取得状況把握にも意識を向けたい。守井氏によると、フォレンジックに携わる中で、「ログを取得できていたと思っていたのに、いざインシデントに遭ってチェックしてみたら適切に取得できていなかった」というケースに遭遇することが多いという。

　十分にログが取得できているかどうか、必要量のログが存在するかどうか、どれぐらいの期間のログが保管できているのか、有事の際のログの取り出しと分析方法は決まっているかどうかなどについて、事前に確認しておくことが非常に重要だ。資産管理がきちんとできているかどうか、ログがしっかりと取得できているかどうかによって、フォレンジックに要する期間やコスト、調査範囲も大きく変わってくる。

　守井氏は最後に「信頼できると見なしていた経路からの脅威が増えつつある。ゼロデイ攻撃による被害も増えている。繰り返しになるが、従来のアンチウイルスソフトを入れておけば大丈夫という時代は既に終わっている。EDRやNDR、XDR（Extended Detection and Response）などを導入して監視やセキュリティ対策を強化し、『信頼するな、監視しろ』を合言葉にIT資産の保護を進めてほしい」と締めくくった。