１．CSIRT 設置のハードルを消防団のような仮想組織とすることで乗り切る

Q：官民挙げてCSIRT設置の必要性が叫ばれているものの、いざ社内に構築するにあたりさまざまなご苦労があったかと思います。どのように体制作りやルール作りに取り組まれましたか？

A：調査権限を持つCSIRT室を社内で設置するにあたりハードルが高いことは事実です。当社は以前より、組織化されないまでもCSIRT的な取り組みを行っていた実績があったので、テクニカル的な面や実務的なことはあまり大きな問題ではありませんでした。半面、CSIRT 室に参加するリーダーは職位なのか、どのような権限を持つのかを決めるためにさまざまな議論がありました。そのため、T-SIRT は “消防署” のような固定の組織ではなく “消防団” のような仮想組織であり、平時は IT 部門長が権限者で T-SIRT は権限を持たないこと、有事の際には社長や CRO に最高権限が移行すること、平時は仮想的にその権限を移譲された形でT-SIRT が調査権を持つことなどを決め、職位や管理職を増やさず機能ユニットとして活動するを明確にしました。

また、当初はCSIRTの規程を有事に絞って考えていましたが、調査を進める中で平時の取り組みも重要だということが指摘され、平時での体制作りや改善活動なども規程に追加することになりました。

Q：経営層に対して、CSIRT の必要性をどのように説得し理解を得られたのでしょうか？

A：社内規定にCSIRTの設立を組み込むため、取締役への説明に 1 ヶ月半ほど時間がかかりました。その際に、内閣官房情報セキュリティ政策会議においてCSIRT設立を要請 していること、また政府一般調達においても契約書の条件にCSIRTを整備し経営責任者の関与と責任の明確化を盛り込むことなどが提言されている旨を説明し、そうした国の施策の流れに乗り遅れてはならない点を強調したことで理解を得ました。

２．複数ログの統合検索と分析を行う情報セキュリティビッグデータに Splunkを採用

Q：Macnica Networks DAY 2014 の講演では、T-SIRT の役割として、サイバーキルチェーン（※）の断絶と、ログ分析によるサイバー攻撃の見える化、情報セキュリティビッグデータにおける検知可否事象の明確化などについて力説されていました。

A：サイバーキルチェーンを断ち切るために、ファイアウォールやアンチウイルス、IPS などが存在しますが、それらは「既知の攻撃」であることを前提としたシステムで あり、標的型攻撃対策では「未知の攻撃」や「ゼロディ攻撃」であることが多く、100％守ることは非常に困難です。中に入ってきたものを一刻も早く検知／発見することが重要 になります。

T-SIRT では直接のインシデント報告以外にも、ヘルプデスクを設置して 1 日 150 ～ 200 件の報告を受け付けているほか、監視マシンからエスカレーションされるアラートなどでセキュリティインシデントを発見しています。その基となるのがログです。しかしログはタイミングを逃すと埋もれてしまうため、複数のログソースを統合して高速に検索し、時系列分析や相関分析を行うことで攻撃者の足跡を追跡する情報セキュリティビッグデータの解析が必要になるのです。

従来は、ファイル内の文字列検索でログを掘り起こす、いわゆる “grep” することが基本だといわれてきましたが、1度の grep で数十分もかかっていては攻撃者のスピードに追いつくことができません。そこで巡り会ったのがマクニカが提供するマシンデータ分析プラットフォーム「Splunk」でした。

※サイバーキルチェーン：米軍の攻撃シーケンスである「キルチェーン」（発見→固定→追跡→照準→交戦→査定）の各ステップを、標的型サイバー　攻撃などで行われる「偵察」→「武器化」→「デリバリ」→「エクスプロイト」→「インストール」→「C2」→「目的の実行」に置き換えたもの

３．Splunk の最大の強みは超高速検索とドリルダウンによる多様な分析能力

Q：Splunk を選択した理由や、選定の決め手となった技術的優位性について教えてください。

A：Splunk のことは以前より知っていましたが、ログ管理製品の一種だと思い込んでいたのであまり注目していませんでした。しかし、2013 年 5 月に開催された「情報セキュリティ EXPO 春」でマクニカのブースを訪れた際、Splunk の機能をデモで詳しく紹介され、ログ解析ツールとしても非常に優れていることを初めて知りました。

それまで当社は、ログ分析に着手しておらず、ログサーバを設置して一箇所にログを貯め grep のみを行っていました。しかし、Splunk を SIEM やログ管理製品と比較した結果、ログをさまざまな形で管理・可視化して、grep よりも格段に高速検索が可能な上に、ドリルダウンによってさまざまな評価軸で分析できることを発見し、今までやってきたことは何だったのかと衝撃を受けたほどです（笑）。

特に検索機能では、攻撃はどこから来ているのかがグラフで表示され、リアルタイムに可視化できる点に注目しました。他社製品では全ての結果が出ない限り表示されませんが、Splunk は検索で捕捉したものから表示してくれるので、目的のログを見つけ次第、次の検索に移行でき、非常に効率的です。また、サーバの監視やログの抽出などの SOC（セキュリティ管理センター）業務を社外の協力会社にアウトソースしているので、SOC 側の作業時間や人件費も大幅に削減できるメリットも感じました。

４．「Splunk 導入支援・構築サービス」を活用し早期の稼働開始を実現

Q：情報セキュリティ EXPO 春での出会いから導入までのスケジュールと現在の具体的な運用方法について教えてください。

A：デモを体験した後、すぐに私と他のメンバーがマクニカのハンズオンセミナーを受講して、Splunk の独自機能や特徴などをより深く学んでいきました。Splunk はセキュリティ機器のみならず、さまざまな IT システムから生成されるデータの収集・検索・分析が可能なことを知ったのも、そのハンズオンセミナーからだったと記憶しています。

そして、2013 年 11 月頃に RFP をかけて、マクニカを含む複数ベンダーからの提案を受け、実際のログを入力した検証デモを行ない、検証の結果を受けて 2014 年 3 月に Splunk の導入を正式に決定しました。マクニカの「Splunk 導入支援・構築サービス」を活用し、POC（Proof Of Concept）を経て 6 月から本格稼働を開始しています。

マクニカには Splunk 運用の環境構築のほか、ダッシュボードのメニューに当社独自の監視項目を 8 項目ほどカスタマイズして組込んでもらい、情報企画部や株式会社大成情報システム（TAIS）、SOC アウトソーサーの関係者全員が Splunk を使いこなせるように整えてもらいました。

現在は、ネットワークやセキュリティ機器のログを全て相関分析しています。その数は 10 ～ 20 ほどです。イベントやインディケーターが発見された時に分析したり、コンテンツフィルターに引っかかった場合に定期的に分析したりしています。

５．何でもできる Splunk を活用するにはのめり込まない精神力も必要

Q：導入後まだ日が浅いのですが、Splunk 活用の効果についてご説明ください。

A：セキュリティ機器はもちろん、全ての IT 機器のログでも自由に検索をかけられ、ドリルダウンして追跡できる汎用性の高さには改めて驚いています。もし、定性的な画面で現状を確認したり統計的に分析したりするのであれば SIEM でも十分ですが、ひとつのイベントやインシデントの原因を深く追跡していく場合は専門家ではない一般企業の担当者では SIEM は使いこなせない可能性もあります。サイバーキルチェーンの一つひとつからアラートが上がってくることを考えれば、それを全部見ることができるSplunk が最適だと考えています。

Q：Splunk の本格稼働後に、何かのアラートをトリガーに分析した結果発見したケースはありますか？

A：幸い、まだ外部からのサイバー攻撃によるインシデントは発生していませんが、社内での間違った使い方については検知し是正するようにしています。しかし、一般の企業なら禁止するような、“ギャンブル” や “ゲーム”といったキーワードも、建設業という仕事柄、公営競馬場やアミューズメント施設の建設も手掛けているため、世界中のさまざまな知識や情報を知る上では情報を収集する必要があり、規制することはできないのが現状です。そのため柔軟性の高い Splunk を大いに活用しようと考えています。

ただし、Splunk はセキュリティインシデント調査以外にも、システムの安定稼働やビジネス活用に向けた調査など何でも簡単にできてしまうため、分析作業にのめり込まないよう、自制する勇気も必要だと感じているところです（笑）。

Q：今後の Splunk の運用予定についてお聞かせください。

A：Splunk に経営情報を投入して戦略分析するような活用機会も出始めており、従来とは異なる使い方に展開できるのではないかと期待しているところです。

６．セキュリティ対策活動の全てがビジネスを実現するために必要な行動と考える

Q：今回の Splunk 導入プロジェクトを通して、マクニカが貢献できたこととは何でしょうか？

A：2013年 4月 5日に総務省が発表した「情報セキュリティ政策の推進に関する提言」では、情報セキュリティのリスクは常に存在し、サイバー攻撃に迅速に対応できるようCSIRT設置の必要性を述べていますが、インシデントハンドリング（緊急対応）を実現するため提案されていたのが 「OODA（監視、情勢判断、意思決定、行動）ループ」と呼ばれる事故前提の対応体制です。OODA ループにおける知識が少なかったため、マクニカのセキュリティ研究センターの助言を得て、徐々に整備し始めているところです。

OODA ループの前段における、モニタリングとイベントの監視、見える化とトリアージによる情勢判断のキーポイントとなるのが Splunk であり、Splunk を活用する T-SIRT のスタッフに対しては、そうした図解できる運用フレームワークがあるとサイバーキルチェーンへの対処が説明しやすいと考えています。

今後もマクニカには、マルチベンダーの強みを活かして国内外の最新技術情報を幅広く提案していただきたいと思っています。

Q：最後に、講演の終盤で触れられた、"Information security as business enabler" （ビジネスを推進するための情報セキュリティ）というスローガンは、情報セキュリティこそがビジネスに貢献しているという北村様の信念に通じるように感じますが、この言葉に託した思いをお聞かせください。

A：当社は、2002 年 4 月に全社員にワンタイムパスワード発生器を配付し、二要素認証を社内で実施することで電子情報を社内の正式文書として活用し始めました。それもセキュリティが確保されていたからこそ実現できたことで、何のためのセキュリティ対策なのかを考えるにあたり、その全てがビジネスや何かを実現するために必要な行動であるべきなのです。ですから、情報セキュリティにたずさわる皆様には、ぜひ情報セキュリティこそがビジネスを加速しているのだというプライドを持って日々の業務に取り組んでいただきたいと思っています。

User Profile

045-476-2010
月～金 8：45～17：30

お問い合わせ
お気軽にご相談ください

無償セミナー
各種セミナーはこちら

資料ダウンロード
各種資料はこちら