セキュリティ監視の失敗事例から学ぶ、効果的な監視体制の構築ポイント5選

  • Facebookにシェアする
  • Twitterにシェアする
  • はてなブックマークにシェアする

サイバー攻撃が高度化する昨今、企業に求められるのは「防ぐ」だけではなく、「気づく」力です。

本記事では、セキュリティ監視の重要性に焦点を当て、インシデントを迅速に検知・対応するためのポイントとよくある失敗例について解説します。

はじめに

皆様の会社では、インシデントに備えた「セキュリティ監視」をしているでしょうか?
「インシデントを防ぐ取り組み」としてセキュリティ対策製品の導入、社員へのセキュリティ教育などを実施している方は多いことでしょう。しかし、いざ「インシデントが生じてしまった」際に、それに気づき、迅速に対応できる状態になっているでしょうか?

近年、サイバー攻撃はますます巧妙化しており、「そもそもインシデントに気づかない」という状況も多々発生しています。本記事では、インシデントが発生した場合でも迅速に検知・対応できるよう、セキュリティ監視の重要性について解説します。

セキュリティ監視における、よくある失敗

まずは、セキュリティ監視の失敗事例から「セキュリティ監視に必要な性質」を考えたいと思います。

失敗例1 防御しているけれど、監視していない

アンチマルウェア製品は、マルウェア感染を防御するのに有効な手段です。近代的なPC端末では必ず導入されていますし、サーバへの導入もよく見られます。

しかし、集中管理されていない「独立したアンチマルウェア製品」では端末利用者のみに問題が通知されます。 端末利用者がセキュリティ管理者へ報告を怠るとインシデントに気づけません。

検知したセキュリティイベントを集中管理する仕組みが必要です。

失敗例2 監視しているが、検知できない

失敗事例1を読んで「EDR導入してるから大丈夫!」という方もいらっしゃるかもしれません。EDRは端末で生じたマルウェア検知などのセキュリティイベントを集中管理することで、端末利用者の報告に頼ることなく、インシデントがセキュリティ管理者へ通知されます。

一方で、端末防御だけでは防げない攻撃は多々あります。

  • その方法では検知できない攻撃
    近年はファイルレス攻撃など、マルウェア自体の検知が困難な状況も発生しています。
  • 監視箇所以外への攻撃
    インターネットからのWebサービスやクラウド上の情報資産侵害はEDRでは検知できません。
  • 内部からの脅威
    社内からの情報漏洩や不正アクセスも、セキュリティインシデントに繋がります。

システムで想定されるセキュリティリスクを網羅するよう、検知の仕組みが必要です。

失敗例3 検知しているが、捌ききれない

失敗2に学び、エンドポイントからファイアウォールまで、全てのセキュリティ製品からのイベントを監視したとしましょう。これ自体は実現可能ですが、「イベント」にはインシデント以外の様々なノイズが入ります。

例えば、インターネット上の機器は常に様々な攻撃試行に晒されており、そのイベント全てをセキュリティ担当者が確認することは無駄ですし、不可能でしょう。

この問題を解決する方法として、SIEMを用いてイベントを処理することが考えられますが、その処理ルールの整備も課題となります。 また、夜間や週末に検知されたセキュリティイベントへの対応も課題となるでしょう。

ノイズを防ぎ、24時間365日体制で注意すべきセキュリティイベントへ対処できる必要があります。

様々な監視の重要性

失敗例2(監視しているが、検知できない)からも「様々なセキュリティ製品からのイベントを網羅的に監視する」ことの必要性が分かるかと思います。セキュリティ監視は、以下のようにネットワーク、エンドポイント、クラウド環境など、様々な側面から行う必要があります。

ネットワーク監視

  • 不正な通信の検知
  • DDoS攻撃などの大規模攻撃への対策
  • ネットワークの異常なトラフィックの分析

エンドポイント監視

  • マルウェア感染の検知
  • 不審なファイルのアクセス
  • 端末の不正な操作

クラウド環境監視

  • クラウドサービスへの不正アクセス
  • データの漏洩
  • クラウド設定の誤設定

個人情報の掲載、情報持ち出し

  • 社内外のシステムにおける個人情報への不正アクセス
  • 情報持ち出しの検知

効果的な監視体制の構築ポイント5選

さらに、失敗例3(検知しているが、捌ききれない)に挙げたような問題を解消し、効果的なセキュリティ監視体制を構築するためには、以下の点に注意する必要があります。

イベントハンドリング

セキュリティ製品からは毎日膨大な量のイベントが発行されます。これを処理する仕組み(SIEM等)とそのルール整備が必要です。

継続的な監視体制

業務時間だけでなく、24時間365日での監視が求められる場面が増えています。

アラートの迅速な対応

異常を検知した場合には、迅速に対応できる体制を整える必要があります。

インシデント対応計画

インシデント発生時の対応手順を事前に策定し、定期的に訓練を行うことが重要です。

人的要因への対策

社員教育を実施し、セキュリティ意識を高めることが重要です。

イベントハンドリング、24時間365日の監視、アラートの迅速な対応を組織内で行う事はリソース確保やコスト面で困難な場合が多く見られます。このような場合には SOCやMSSなどの外部リソースを活用することも有効です。

まとめ

セキュリティ対策は、ITシステムの運用において欠かせない要素です。特に、近年はサイバー攻撃が高度化しており、多層的な防御と継続的な監視が求められています。

本記事では、セキュリティ監視の重要性について解説しました。貴社のセキュリティ対策を見直し、より安全なIT環境を構築することをご検討ください。

当社では、セキュリティ監視サービスを提供しております。お困りのことがございましたらお気軽にお問い合わせください。

SOC(セキュリティ監視)

SOC(セキュリティ監視)

あらゆるデバイスやクラウド環境のログ監視し、緊急度の高いアラートを通知します。ログの設定から全アラートの月次レポートまで、セキュリティ監視に必要な運用を支援します。

more

この記事に関連する事業

関連記事