×

サイバーキルチェーンを参考にするログ活用

6 Jan 2022

APT (Advanced Persistent Threat)に代表される標的型攻撃など、組織内で情報窃取やシステム破壊などを行うサイバー攻撃に脅威は、高度化され一筋縄では対処できないような時代となりました。

サイバー攻撃に対するセキュリティツールは数多く存在しますが、攻撃者の手口は日々変化し巧妙になってきているため、残念ながら100%防御できるツールは見つかりません。そのためにも、ログを活用し、サイバー攻撃の動きを察知し被害が拡大する前に対処したいところです。それには、敵の攻撃パターンを理解することが重要です。 たとえば、THE CYBER KILL CHAIN(サイバーキルチェーン)は、ロッキード・マーティン社が、情報セキュリティの分野で、サイバー攻撃のコンピュータネットワークへの侵入の手法をモデル化するための方法として使用しています。

THE CYBER KILL CHAIN(サイバーキルチェーン

  1. RECONNAISSANCE(偵察)  ... 攻撃対象者に関する情報を調査

  2. WEAPONIZATION(武器化)  ... マルウェアや、エクスプロイトを作成

  3. DELIVERY(配送)      ... メールやWebサイトからマルウェアを配信

  4. EXPLOITATION(攻撃)    ... 攻撃対象者にマルウェアを実行させる

  5. INSTALL(インストール)   ... マルウェアに感染させる

  6. COMMAND & CONTROL(C&C遠隔操作)  ... マルウェアを介した遠隔操作

  7. ACTIONS ON OBJECTIVES(目的実行) ... 情報の持ち出しや改ざん等の実行

こうして攻撃を典型的な各フェーズに分ければ、その動きに関連する機器やソフトウェアのログからサイバー攻撃を察知できる可能性があります。はじめの偵察や、武器化の部分は、攻撃者が誰か判らない時点では、ログから何か情報を得ることはほぼ難しいといえます。しかしながら、メールからの配信等のログは、メールサーバ等から非常に有力な情報を得ることができるでしょう。他にも、DNSサーバやプロキシサーバのログも参考になります。では、どのような設定をして、どのような分析をすればよいのか?それには、事例を踏まえた有用な多くの情報が必要です。社内の知識ベースだけでは、対応できないため、社外からの情報、専門機関なども情報が不可欠です。

サイバー攻撃の手法を学び、そのためのログ管理システムの構築には、時間も労力も必要です。 近年、サイバー攻撃に対し、どのようなログ管理をすべきか悩むユーザがログ管理を始めやすいように、サイバー攻撃を自動検知する目的でパッケージ化したツールもあります。サイバー攻撃に対する予防保守の観点で、こうしたベンダーのノウハウを利用して、まずスモールスタートでもログ活用をはじめることが、重要なデータを取り扱う組織には必要でしょう。


サイバー攻撃手法から必要なログを分析する


サイバーキルチェーン
by Kasugai

統合ログ管理システム Logstorage

ログ管理システム構築支援

お問合せ