ログから始める！ハイブリッドクラウドのサイバー ... · 2017-09-12 · 運用担当者の作業ログ 10.10.2 システム使用状況の監視 10.10.5 障害のログ取得

Infoscience Corporationwww.infoscience.co.jp

[email protected]

Tel: 03-5427-3503 Fax: 03-5427-3889

ログから始める！ハイブリッドクラウドの

サイバーセキュリティと運用

インフォサイエンス株式会社プロダクト事業部

2017/08/30

Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.

インフォサイエンス株式会社概要

2

設立

1995年10月

代表者宮紀雄

事業内容

•パッケージソフトウェア

「Logstorage」シリーズの開発

•データセンタ運営

•受託システム開発サービス

•包括システム運用サービス

所在地

東京都港区芝浦2丁目4番1号

インフォサイエンスビル


ログから始める！ハイブリッドクラウドのサイバーセキュリティと運用

1. ログ管理とは？

2. Logstorageラインナップ紹介

3. 効率的なクラウドセキュリティ・インフラ運用

4. 標的型攻撃対策の決定版！VISUACT-Xご紹介

5. 事例ご紹介

3


なぜログ管理が必要か？

4

「ログ管理」の目的とは？

脅威対策

• 脅威の検出（標的型攻撃／内部情報漏えい）

• フォレンジック（攻撃を受けた際の証拠保全）

コンプライアンス• 各種法令、ガイドラインへのログ管理要件への充足

システム運用

• 構築／運用作業の可視化と再現

• システムのコスト把握と最適化


ログでないと検出できない脅威(1)

5

従来の対策は「入口・出口」でのポイントの対策

外部攻撃者

C&Cサーバ

ファイルサーバ社員・職員端末

悪意のある社員・職員

アンチウイルスで防御

プロキシ・ファイアウォールで外部通信の制限

従来はネットワークの入口・出口での防御や制限が中心だったが・・・

アクセス制御で不正なアクセス

の制限

デバイス制御で不正な利用の制限



6

外部攻撃者

C&Cサーバ



マルウェアの検知が困難に

マルウェアの巧妙化で外部通信を抑止できず

設定漏れ、ミスで不正なデバイス利用

設定漏れ、ミスによる重要ファイルへの

アクセス

入口・出口での個別の対策は限界に達しつつある

・アンチウイルスソフトのマルウェア検出手法の限界・アクセス制御の漏れ、設定ミスを防止しきれない

「入口・出口」対策の限界



7

外部攻撃者

C&Cサーバ



メール・ウイルス検知ログ

プロキシ・ファイアウォールログ

• システム内のログを横断的に収集・分析を行い、いち早く侵入を検出

• 「侵入されていることを前提とした」対策へシフト

ファイルサーバアクセスログ

デバイス利用・アクセスログ

ログを横断的に収集、分析して侵入を検出

「ログ管理」で侵入を前提とした対策へ


法令等に於けるログ管理要件

8

ログ管理に関する要件が明記されている法令・ガイドライン

発行者タイトル

政府等個人情報保護法

金融商品取引法

マイナンバー／番号法

政府機関等の情報セキュリティ対策のための統一基準群

民間／ガイドライン等

経済産業省クラウドセキュリティガイドライン

PCIDSS（クレジットカード）

ISO27001/ISMS

組織における内部不正防止ガイドライン

経産省クラウドサービス利用のための情報セキュリティマネジメントガイドライン

10.10 監視システムを監視することが望ましく，また，情報セキュリティ事象を記録することが望ましい。

具体的な要件

10.10.1 監査ログ取得 10.10.4 実務管理者及び運用担当者の作業ログ

10.10.2 システム使用状況の監視

10.10.5 障害のログ取得

10.10.3 ログ情報の保護 10.10.6 クロックの同期

クラウド環境を含め、システムのログ管理を行うことは、セキュリティを確保する上でもはや「前提条件」となっている


システム運用に於けるログ管理

9

システム運用に際してもログ管理は必須

システムの各マシンに毎回ログインしてログを見るのは非効率的

ログ管理システム Logstorageにログを集約させることでログ閲覧を効率化

確認

• ログを集約することで、運用のコスト・負荷を低減させることが重要

• 必要なログだけを抽出、自動的に管理者に送る事ができればさらに効率的

なシステム運用が可能

• N/W機器はストレージ容量が少ない傾向に有り、ログを保管する観点から

はログを転送して保存することが不可欠

• クラウドではさらに運用情報を集約・可視化することがコストに直結する


「ログ管理」に必要な要件

10

「ログ管理」に求められる機能・要件とは？

ログを集める

• 多様なファイル、転送方式でログを集約する

• 侵入者からログを守る

ログを保存する

• 集約したログの安全な保管

• 大容量となるログの効率的な保存

ログを検知する

• システム側で能動的にイベントを検出し、管理者にアクションを促す

ログを調査する

• 大容量のログから横断的に高速・ピンポイントで検索

• レポートで定期的にレビュー

Logstorageはオールインワンで「ログ管理」に対応！







5. 事例ご紹介

11


Logstorage ご紹介

12

あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。

出典：ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2016(統合ログ管理市場)」

10年連続市場シェアNo.1導入実績累計 2,200社！

「Logstorage」とは

Logstorage

A製品

その他

B製品

C製品

38.9％


Logstorage ラインナップ

13

統合ログ管理製品の決定版

日本国内のセキュリティ運用にフィットしたSIEM製品

AWSを始めとする、Microsoft Azure等の様々なパブリッククラウドのログ管

理ツール


機能・システム構成

14

ログ収集機能

[受信機能]・Syslog / FTP(S) / 共有フォルダ / SNMP

[ログ送信・取得機能]・Agent・EventLogCollector・SecureBatchTransfer

ログ保管機能

ログ検知機能検索・集計・レポート機能

・ポリシーに合致したログのアラート・ポリシーはストーリー的に定義可能

(シナリオ検知)

・ログの圧縮保存／高速検索・ログの高速検索用インデックス作成・ログの改ざんチェック機能・ログに対する意味（タグ）付け・ログの暗号化保存・保存期間を経過したログを自動アーカイブ

<Logstorage システム構成>

・ログの検索／集計／レポート生成・インデックスを用いた高速検索・検索結果に対する、クリック操作による絞込み・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)


ログ収集実績/連携製品

15

日本国内で利用されているソフトウェア・機器を中心に250種以上のログ収集実績

［OSシステム・イベント］・Windows

・Solaris

・AIX

・HP-UX

・Linux

・BSD

［Web/プロキシ］・Apache

・IIS

・BlueCoat

・i-FILTER

・squid

・WebSense

・WebSphere

・WebLogic

・Apache Tomcat

・Cosminexus

［ネットワーク機器］・Cisco PIX/ASA

・Cisco Catalyst

・NetScreen/SSG

・PaloAlto PA

・VPN-1

・Firewall-1

・Check Point IP

・SSL-VPN

・FortiGate

・NOKIA IP

・Alteon

・SonicWall

・FortiGate

・BIG-IP

・IronPort

・ServerIron

・Proventia

［クライアント操作］・LanScope Cat

・InfoTrace

・CWAT

・MylogStar

・IVEX Logger

・秘文・SeP

・QND/QOH

［データベース］・Oracle

・SQLServer

・DB2

・PostgreSQL

・MySQL［サーバアクセス］・ALogコンバータ・VISUACT

・File Server Audit

・CA Access Control

［データベース監査］・PISO

・Chakra

・SecureSphere DMG/DSG

・SSDB監査・AUDIT MASTER

・IPLocks

・Guardium

［メール］・MS Exchange

・sendmail

・Postfix

・qmail

・Exim［ICカード認証］・SmartOn

・ARCACLAVIS Revo ［その他］・AWS CloudTrail

・AWS Config

・AWS CloudWatch Logs

・VMware vCenter

・SAP R/3 (ERP)

・NetApp (NAS)

・ex-SG (入退室管理)

・MSIESER

・iSecurity

・Desk Net’s

・HP NonStop Server

…その他

［運用監視］・Nagios

・JP1

・Systemwalker

・OpenView

［アンチウィルス］・Symantec AntiVirus

・TrendMicro InterScan

・McAfee VirusScan

・HDE Anti Vuris

［Lotus Domino］・Lotus Domino

・Notes AccessAnalyzer2

・Auge AccessWatcher

［複合機］・imageRunner

・Apeos

・SecurePrint!

【Logstorageアライアンス製品】

LanScope Cat SecureCube / AccessCheck

CWAT InfoTrace

MylogStar IVEX Logger シリーズ

i-FILTER MaLion

VISUACT SSDB監査

PISO SKYSEA Client View

Palo Alto Networks NGFW Amazon Web Service (AWS)

Microsoft Azure


Logstorage X/SIEM

16

リアルタイムでの高度なログ分析を提供

ログ収集機能

[受信機能]・Syslog / 共有フォルダ

[ログ送信・取得機能]・Agent・EventLogCollector

アラート

・ユーザが自由に作成・編集可能な高度なポリシー・ポリシーに合致したログのアラート・相関分析を用いた動的かつ高度なポリシーの作成・メール、または外部コマンドの実行

検索／高度なGUI

・ログの検索・容易かつ高度な検知ポリシー作成・編集・ダッシュボードを用いた同時監視・リアルタイムモニタ

高度な連携

・脅威DBとの連携機能提供（提供元との別途ご契約が必要）

receive

Firewallルータースイッチ

Windows

ELCAgent

ファイルサーバ Linux

sensor

APIGUI

web

アラート（メール、コマンド実行）

indexer


クラウド対応ラインナップ

17

Logstorage for AWS/Logstorage連携パック for AWS

Logstorage Azure 連携パック

Logstorageクラウド向けログ収集モジュール

Logstorageはマルチ／ハイブリッドクラウド対応を進めています

Logstorageはパブリッククラウドサービスへの取り組みを通じて、来るマルチ／ハイブリッドクラウドへの対応を進めています。

box 監査ログ、 Office365 監査ログに対応

アクティビティログ、仮想マシン、ストレージ、ネットワークセキュリティグループに対応

本日 V1.0 リリース！







5. 事例ご紹介

18


AWSの共有責任モデル

19

AWSを利用する上でのユーザが負担すべき責任

・ユーザのデータ・アプリケーション・セキュリティグループ・OS

・アカウント管理・ネットワーク設定・OSのF/W

・ファシリティ・物理セキュリティ・物理インフラ

・ネットワークインフラ・仮想インフラ

ユーザが管理

AWSが管理

AWS EC2の責任共有モデル

AWSユーザが管理する必要があるポイント

各種法令／ガイドラインへの準拠の際にも注意が必要

セキュリティ対策やガイドライン準拠の際には、ユーザが管理すべきポイントは自ら管理を行わなくてはならない


パブリッククラウドログの管理

20

パブリッククラウドのログを管理する目的とは？

脅威対策コンプライアンスシステム運用

考え方は通常のシステムと同じだが・・・

ログ管理を始めるタイミングがカギとなる

一般的なシステム構築

パブリッククラウド構築

設計構築試験運用

設計構築試験運用

ログ管理

ログ管理

一般的なシステム構築では運用開始とともにログ管理を行うケースが大半だが、パブリッククラウド構築はより早い段階からログ管理を行う必要がある

「クラウドファースト」＝「ログファースト」


クラウドは「ログファースト」

21

パブリッククラウドのログ管理は「構築前」から

オンプレミスでの作業パブリッククラウドでの作業

H/W調達実機を購入 API/Webでインスタンス作成

データセンター設置データセンター搬入同上

ネットワーク接続、設定ケーブル結線ルーター設定の操作

API/Webで設定

ファイアウォール設置、設定ファイアウォール設定の操作同上

• パブリッククラウドシステムの構築はWebGUIやAPIで操作が行われるため、作業／操作内容が把握しづらい

• 構築時のログを残しておくことで、障害／セキュリティ事象に際して、環境の再現を容易に行うことが出来る

パブリッククラウド上のH/Wの構築状況や操作／設定内容を把握するには、構築が始まる「前」からログを収集し、構築状況を「可視化」する必要がある


ログや性能からコストを検討

22

性能やログからEC2インスタンスのコストを考える

Amazon EC2 0%

50%

100%

0 2 5 7 9 11 13 15 17 19 21 23

CPU使用率

0

10000

20000

0 2 5 7 9 11 13 15 17 19 21 23

ログ行数

とある業務システム用のEC2インスタンスのCPU使用率とログ量を集計してグラフ化

ログ行数からわかること

AM8時～20時まではユーザが利用しているため、ログが出力されているが、21時～翌7時まではあまり利用されていない

CPU使用率からわかること

ユーザ利用に伴ってCPU使用率が増加するが、最大でも50%に達しない

このEC2インスタンスを効率よく使うにはどうすればよいか？


ログに依るコスト改善

23

リソースに余裕があるEC2インスタンスの改善

awsのAPI等を利用し、利用時間のみEC2インスタンスを起動、時間外になったら自動的に停止させる

不要なEC2インスタンスを停止させ、利用料金を抑制する

インスタンスタイプの変更も合わせて実施しても良い

夜間など、一定期間EC2インスタンスを停止させて良い場合

CPUの利用率が最大でも50%を超えないため、場合によってはより安価なインスタンスタイプに変更する

AWSやAzureの仮想ホストはあくまで利用時間に対する課金で、CPU使用率は費用に反映されない

ただし、長期的に性能やログの出力状態を把握していないと、時期によって利用が活発化した際に対応できなくなる

原則としてEC2インスタンスを停止させられない場合

運用当初からログや性能情報をしっかりと把握し、長期的な傾向も踏まえて最適化を行う必要がある


クラウドに対する脅威

24

標的型攻撃対策の必要性

標的型攻撃はオンプレミス・パブリッククラウドを問わず、どの環境からも侵入され、相互に侵害が発生する可能性があります。

想定される攻撃例• EC2インスタンスへのマルウェア感染

• DDoS踏み台化• RDSからの重要情報漏えい

• boxからのファイル漏えい、削除

標的型メール攻撃でPCがマルウェア感染

標的型攻撃を境界で防ぐことが難しくなっている上に、ハイブリッドクラウド環境はシステム構成が複雑化する傾向にあります。そのような環境下でいかに侵入をいち早く検出し、被害を押さえ込むことが重要なポイントです。

標的型攻撃は侵入場所を問わない


ハイブリットクラウドの課題

25

各種パブリッククラウドサービスのログ取得の実装、ログ内容はサービス毎に異なります。ログ取得処理を自ら開発・運用したり、フォーマット・意味付けの異なるログをレビューしていては、運用コストの増大を招きかねません。

AWSCloudTrail

AmazonEC2

運用担当者

オンプレミス

システムは複雑化しても監査・管理は必要


Logstorageでまとめて解析

26

ハイブリッドクラウドを統合管理することで効率的に管理する

ハイブリッドクラウドの複雑な構成をLogstorageを用いて効率的にセキュリティ対策を行うことが可能です。

オンプレミス

各環境からのログ収集、フォーマット整形、分析はLogstorageが実施

運用担当者はLogstoageで横断的にログやイベントを確認

Logstorageクラウド連携ラインナップで、様々なパブリッククラウドのログを容易に収集、管理、監査することが可能です







5. 事例ご紹介

27


入口での対策は限界に来ている

28

入口対策の限界

DMZ上のサーバファイルサーバ

一般社員端末 AD ドメインコントローラ

一般社員端末

管理者アカウント・パスワードの窃取

重要ファイルの窃取

ファイアウォールをすり抜け、DMZ上のサーバへの侵入を許してしまう

アンチウイルスソフトやIDS/IPSをすり抜けマルウェアに感染侵入者に基盤を構築

され、要所への不正アクセスが発生

入口での脅威対策が困難になる中、いかにいち早く攻撃の予兆を捉えて対策を施すことが重要になってきている


VISUACT-X 概要

29

• ITシステムの内部への侵入を許してしまったサイバー攻撃をリアルタイムで検知します

• 拡散、攻撃基盤構築などの攻撃準備をしている段階でもいち早く検知することで、大きな被害が発生する前に対策を取ることが可能になります

• 攻撃検知だけでなく、予兆から攻撃実行までの攻撃関連の証跡を保存します

概要

偵察武器化配送感染侵入/調査

目的遂行

対象組織調査マルウェア作成送付・設置マルウェア実行攻撃基盤構築内部侵入と探索情報の窃取

拡大

攻撃予兆攻撃実行

侵入を早期検出/被害を予防

入口内部

ファイアウォール、アンチウイルスソフト等での入口対策では侵入を防ぎきれない

サイバーキルチェーンの検出に絶大な効果を発揮！

※VISUACTシリーズはアズビルセキュリティフライデー株式会社の製品です。※VISUACTはアズビル株式会社の商標です。


VISUACT-Xによる攻撃検出

30

膨大なネットワークアクセスからサイバー攻撃「だけ」を抽出

ログ生成フィルタ

(ポイント付加)検知ログ

TAAN1™テクノロジサイバー攻撃に利用されるWindowsAPIが実行された際のネットワークパケットを多面的に分析することでサイバー攻撃を検知します

管理者ログ

ネットワークパケット

高速検索(インデックス)

定期レポート

コマンド連携(他ログ突合)

リアルタイムアラート

• LAN環境を飛び交う膨大なネットワークパケットをTAAN1™テクノロジで解析、サイバー攻撃だけを確実に検知、通知します

• Logstorageと連携することで、事象解析や定期的なレポート出力が容易になります


容易な導入で効果的な検出が可能

31

稼働中のシステムでも容易に導入できます

ActiveDirectoryドメインコントローラ

ファイルサーバ

スイッチ

ミラーポートに接続

• ネットワーク監視型のため、稼働中のITシステムの構成を変更することなく導入できます

• 監視ポイントのスイッチのミラーポートに接続するだけで、すぐに監視可能です

• 特に、ActiveDirectoryドメインコントローラやファイルサーバに接続されているスイッチを利用すると、効率的に監視を行うことが出来ます


VISUACT-X + Logstorage = ?

32

VISUACT-X + Logstorageで効果的な標的型攻撃対策を

VISUACT-X + Logstorage 活用事例

検索機能不審なPCのログだけを抽出スコアリングされたIPアドレスを一旦例外として除外

集計機能不審なPCを件数順に出力日毎の件数のグラフ化特定のプロトコルを使用したクライアントの棚卸し

検知機能高スコアのログが出力されたら即時に管理者にメール通知

レポート機能これらの日次・週次・月次での自動レポート作成とメール送付

昨今話題となった「WannaCry」対策として、未だにSMB Version.1を利用しているクライアント一覧を抽出

日毎のアタックログの件数をグラフ化し、傾向の把握と対策の検討、経営層向け説明への利用

Copyright(C) 2017 Infoscience Corporation. All Rights Reserved. 33

VISUACT-X お問い合わせ先・開発元

アズビルセキュリティフライデー株式会社

営業部

TEL 0466-26-5666

http://www.securityfriday.com/jp/

mail : [email protected]

また、本日はインフォサイエンスブースでも展示等行っております。是非お立ち寄りください！







5. 事例ご紹介

34


[事例1] cloudpack様

35

ログ収集対象

ルータ

スイッチ

認証サーバ

踏み台サーバ

NATインスタンス

セキュリティ端末

その他、セキュリティ管理サーバ

全顧客の AWS CloudTrail ログ

全顧客の AWS Config ログ

ログ収集対象

Logstorage導入目的

・各種セキュリティ認証の取得(PCI DSS / ISO27001)

・SOC2 への取り組み・上記への対応を通じ、セキュリティへの取り組みについて客観的な評価に基づく透明性の確保、高度なセキュリティ体制の実現

認証サーバ Logstorage

その他管理サーバ

踏み台サーバ

社内インフラVPC

ルータ VPN装置

閉塞網 Internet

セキュリティ端末

東京拠点

ルータ

東品川データセンター

Direct Connect(専用線接続)

セキュリティネットワーク

Customergateway

Logstorage導入環境


[事例1] cloudpack様コメント

36

○SOC 2報告書

○PCI DSS認証

『Logstorageは、PCI DSSで求められるログの暗号化と改ざん検出に標準機能で対応しており、別の製品と組み合わせる必要なく対応できた』

『結果、PCI DSS認証取得において、ログに関する指摘事項は無かった』

『Logstorageを利用したログの一元管理はSOC2対応でも踏襲した。AWSを対象としたフルマネージドサービス事業で、国内で初めてSOC 2報告書を受領した。』

『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』

『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対応は助かった。』

○その他

cloudpack（アイレット株式会社）様から頂いたコメント


[事例2] 複数アカウントログの管理

37

複数のAWSアカウントのCloudTrail/Configログを統合管理

AWSCloudTrail

AWSConfig

複数のユーザアカウント統合管理用アカウント

集約されたログを一括で検索、確認

ハンズラボ株式会社様

導入目的：• 内部統制、PCIDSS対応• エンジニア全員がAWSを利用しており、AWS上の作業の監視

• AWS上のログデータの統合的な管理

• ログの集中管理を行うことで、有事の際の迅速な対応

頂いたコメント（抜粋）・複数アカウントのログを集中管理でき、調べたい情報（検索結果）を得るスピードが格段に向上しました。「Logstorage for AWS」に含まれる有用なテンプレートも使用していますが、任意の検索条件を容易に作成することもできるので、目的に応じ活用しています。


[事例3] ハイブリッド運用

38

社内ルーター router LogGate（ログ収集サーバ）

ELBWebAPサーバ

AmazonRDS

LogGate（ログ収集サーバ）

Console（管理／GUIサーバ）

事業者データセンター

AWSから一般ユーザ向けにWebサービ

スを展開

凡例Webサービスの経路ログデータの経路Logstorage検索処理

SecureCube AccessCheck でデータセンタ機器とAWS EC2への事前承認のないアクセスを排除

SecureCube AccessCheckのログも収集し、機器・EC2の

ログと突合する

AccessCheckを経由しない違反アクセスを監査

ログデータ自体はデータセンターとEC2でそれぞれ別個に保存し、検索結果だけをAWSから取得させることで、AWSからの転送コストを低減

各環境にSecureCube AccessCheckを用いて特権ID管理を実施、ハイブリッドクラウドでの不正アクセス監査を実現


Logstorage 関連資料

URL: http://www.logstorage.com/product/product_materials.html

- Logstorage ご紹介資料

- Logstorage for AWS ご紹介資料

その他、ログ活用資料掲載中。

お問い合わせ先・開発元

インフォサイエンス株式会社プロダクト事業部

TEL 03-5427-3503 FAX 03-5427-3889

http://www.logstorage.com/ mail : [email protected]


ログから始める！

ハイブリッドクラウドのサイバーセキュリティと運用

2017/08/30

インフォサイエンス株式会社

プロダクト事業部

ご清聴ありがとうございました

お手数ですが、お手元のアンケート記入にご協力お願いいたします

Documents

ログから始める！ ハイブリッドクラウドの サイバー ... · 2017-09-12 · 運用担当者の作業ログ 10.10.2 システム使用状 況の監視 10.10.5 障害のログ取得

ログから始める！ハイブリッドクラウドのサイバー ... · 2017-09-12 · 運用担当者の作業ログ 10.10.2 システム使用状況の監視 10.10.5 障害のログ取得