技術や仕組み

【専門家監修】セキュリティ監視の失敗事例から学ぶ、効果的な監視体制の構築ポイント5選

【専門家監修】セキュリティ監視の失敗事例から学ぶ、効果的な監視体制の構築ポイント5選
監修者情報
監修者アイコン
中村 丈洋

形式手法および高信頼ソフトウェアの研究に従事、博士号(工学博士)を取得。2013年より株式会社SHIFTにてソフトウェアテスト支援ツール開発および非機能テストに従事。SHIFT SECURITY の設立に携わる。同社では脆弱性診断手法とツール開発、およびセキュリティコンサルティング業務に従事。2018年よりSHIFT SECURITY 執行役員に就任。現在に至る。

サイバー攻撃が高度化する昨今、企業に求められるのは「防ぐ」だけではなく、「気づく」力です。本記事では、セキュリティ監視の重要性に焦点を当て、インシデントを迅速に検知・対応するためのポイントとよくある失敗例について解説します。

目次
    • はじめに
    • セキュリティ監視における良くある失敗
    • 失敗例1 防御しているけれど、監視していない
    • 失敗例2 監視してるけど、検知できない
    • 失敗例3 検知しているけど、捌ききれない
    • 様々な監視の重要性
    • ネットワーク監視
    • エンドポイント監視
    • クラウド環境監視
    • 個人情報の掲載、情報持ち出し
    • 効果的な監視体制の構築ポイント5選
    • イベントハンドリング
    • 継続的な監視体制
    • アラートの迅速な対応
    • インシデント対応計画
    • 人的要因への対策
    • まとめ

はじめに

皆様の会社では、インシデントに備えた「セキュリティ監視」をしているでしょうか?
「インシデントを防ぐ取り組み」としてセキュリティ対策製品の導入、社員へのセキュリティ教育などを実施している方は多いことでしょう。しかし、いざ「インシデントが生じてしまった」際に、それに気づき、迅速に対応できる状態になっているでしょうか?

近年、サイバー攻撃はますます巧妙化しており、「そもそもインシデントに気づかない」という状況も多々発生しています。本記事では、インシデントが発生した場合でも迅速に検知・対応できるよう、セキュリティ監視の重要性について解説します。

セキュリティ監視における良くある失敗

話を始める前に、セキュリティ監視の失敗事例から「セキュリティ監視に必要な性質」を考えたいと思います。

失敗例1: 防御しているけれど、監視していない

失敗例2: 監視してるけど、検知できない

失敗例3: 検知しているけど、捌ききれない

失敗例1 防御しているけれど、監視していない

アンチマルウェア製品は、マルウェア感染を防御するのに有効な手段です。近代的なPC端末では必ず導入されていますし、サーバへの導入もよく見られます。しかし、集中管理されていない「独立したアンチマルウェア製品」では端末利用者のみに問題が通知されます。 端末利用者がセキュリティ管理者へ報告を怠るとインシデントに気づけません。

💡

必要な性質:【集中管理】検知したセキュリティイベントを集中管理する仕組みが必要です。

失敗例2 監視してるけど、検知できない

失敗事例1を読んで「EDR導入してるから大丈夫!」という方も居るかと思います。EDRは端末で生じたマルウェア検知などのセキュリティイベントを集中管理することで、端末利用者の報告に頼ることなく、インシデントがセキュリティ管理者へ通知されます。一方で、端末防御だけでは防げない攻撃は多々あります。

  • その方法では検知できない攻撃

    近年はファイルレス攻撃など、マルウェア自体の検知が困難な状況も発生しています。

  • 監視箇所以外への攻撃

    インターネットからのWebサービスやクラウド上の情報資産侵害はEDRでは検知できません。

  • 内部からの脅威

    社内からの情報漏洩や不正アクセスも、セキュリティインシデントに繋がります。

💡

必要な性質:【網羅性】システムで想定されるセキュリティリスクを網羅するよう、検知の仕組が必要です。

失敗例3 検知しているけど、捌ききれない

失敗2に学び、エンドポイントからファイアウォールまで、全てのセキュリティ製品からのイベントを監視したとしましょう。これ自体は実現可能ですが、「イベント」にはインシデント以外の様々なノイズが入ります。 例えば、インターネット上の機器は常に様々な攻撃試行に晒されており、そのイベント全てをセキュリティ担当者が確認することは無駄ですし、不可能でしょう。この問題を解決する方法として、SIEMを用いてイベントを処理することが考えられますが、その処理ルールの整備も課題となります。 また、夜間や週末に検知されたセキュリティイベントへの対応も課題となるでしょう。

💡

必要な性質:【ノイズ耐性・常時性】ノイズを防ぎ、24/365で注意すべきセキュリティイベントへ対処できる必要があります

様々な監視の重要性

失敗例2(監視してるけど、検知できない)からも「様々なセキュリティ製品からのイベントを網羅的に監視する」ことの必要性が分かるかと思います。セキュリティ監視は、以下のようにネットワーク、エンドポイント、クラウド環境など、様々な側面から行う必要があります。

ネットワーク監視

  • 不正な通信の検知
  • DDoS攻撃などの大規模攻撃への対策
  • ネットワークの異常なトラフィックの分析

エンドポイント監視

  • マルウェア感染の検知
  • 不審なファイルのアクセス
  • 端末の不正な操作

クラウド環境監視

  • クラウドサービスへの不正アクセス
  • データの漏洩
  • クラウド設定の誤設定

個人情報の掲載、情報持ち出し

  • 社内外のシステムにおける個人情報への不正アクセス
  • 情報持ち出しの検知

効果的な監視体制の構築ポイント5選

さらに、失敗例3(検知しているけど、捌ききれない)に挙げたような問題を解消し、効果的なセキュリティ監視体制を構築するためには、以下の点に注意する必要があります。

イベントハンドリング

セキュリティ製品からは毎日膨大な量のイベントが発行されます。これを処理する仕組み(SIEM等)とそのルール整備が必要です。

継続的な監視体制

業務時間だけでなく、24時間365日での監視が求められる場面が増えています。

アラートの迅速な対応

異常を検知した場合には、迅速に対応できる体制を整える必要があります。

インシデント対応計画

インシデント発生時の対応手順を事前に策定し、定期的に訓練を行うことが重要です。

人的要因への対策

社員教育を実施し、セキュリティ意識を高めることが重要です。

イベントハンドリング、24時間365日の監視、アラートの迅速な対応を組織内で行う事はリソース確保やコスト面で困難な場合が多く見られます。このような場合には SOCやMSSなどの外部リソースを活用することも有効です。

まとめ

セキュリティ対策は、ITシステムの運用において欠かせない要素です。特に、近年はサイバー攻撃が高度化しており、多層的な防御と継続的な監視が求められています。本記事では、セキュリティ監視の重要性について解説しました。貴社のセキュリティ対策を見直し、より安全なIT環境を構築することをご検討ください。

セキュリティ監視・分析はSHIFT SECURITYにお任せください

ctaバナー

情報セキュリティの標準化と仕組化により解決し、高品質 低価格 柔軟性 の監視サービスを実施

監視・運用支援ページはこちら
\ 記事をシェアする /
facebook twitter
SHIFT SECURITY

セキュリティ
対策のお悩み
お気軽にご相談ください

お問い合わせはこちら
CATEGORY

こちらの記事もおすすめ

関連カテゴリ記事

CATEGORY

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-1707-3537
サイトTOPへ