一般

ManageEngineブログの一般記事一覧です。 Visit:

どこで差がついた?ここがヘルプデスク運用効率化の分かれ道!

この記事の所要時間: 約 4分

どこで差がついた?ここがヘルプデスク運用効率の分かれ道!

業務拡大によりますます少ない人数でヘルプデスクの運用を行うことになっていたA君とB君。効率化を検討したものの、いつしか大きな差が生まれてしまう…。今回は、効率的なヘルプデスク運用を目指しながらも、どこで差がつくのか、X社とY社の例を通して紹介しよう。

X社の情報システム部門 A

X社の情報システム部門 A君

新たにヘルプデスク用のツールを導入するのは覚えることも多いし、導入も大変そう。余裕もないし、環境を変えることなく、これまでと同じようにグループウェアや表計算ソフトで管理し続けるのが、結局は効率化につながるのでは?

 

Y社の情報システム部門 B

このままグループウェアや表計算ソフトで管理していては、いずれ限界がくるだろう。少ない人数で効率的に管理するには、低コストで導入しやすく、運用の一部を自動化できるしくみが不可欠…。更に将来的にはITILにも対応する必要もあるだろう。早急に対応ソフトを探さなければ。

異なる2つの道を選んだA君とB君。それぞれどのようなことになるのだろうか。

 

A君の場合

「色々とヘルプデスク運用を効率化するツールもあるようだけれど…導入するには時間もコストも余裕がなさそう。」

こう考えていたA君。例えば導入前にコンサルティングを受けるにしても、現状の課題の洗い出しやインシデントやサービス要求に関する問い合わせの要件をまとめたりするのは難しい。現行の業務と並行しながらツールを導入するのは困難と判断したのだ。

「それにツールを導入しても、自社に合わせてカスタマイズや細かい設定が必要なのでは。新たな操作を覚える必要もあるだろう。」

しかし、メールや電話で届くインシデント情報の管理や入力の手間は増える一方。更にデータベースソフトで作ったツールは、データの増加にともない処理速度が遅くなってきていて、管理やメンテナンス、データ集計にも時間が取られることが分かってきた…。

 

B君の場合

「ヘルプデスク導入のために、コンサルをお願いしたりする時間を取りにくい。自分の予定に合わせやすい無料の評価版を試してみよう!」

B君は導入にかかる時間や手間を減らすためにも、まずは無料評価版で試せるツールを検討。その中でもやはり、導入に負担がかからないのは、自社のヘルプデスク運用に合ったパッケージソフトということが分かった。

「パッケージソフトではカスタマイズはほとんど必要ない。設定も簡単な製品だと、管理側の負担もかなり減る。それに、入力しやすくて分かりやすい画面だと、実際の運用の際にも負担は軽減できそうだ。」

評価版を試す過程で、インシデント管理に関する要件も少しずつ整理していたB君。

低コストで導入しやすく、操作しやすいインターフェースを兼ね備えていることから、ゾーホージャパンの ManageEngine ServiceDesk Plus (マネージエンジン サービスデスクプラス:以下、 ServiceDesk Plus )を選ぶことに。 インシデント管理だけでなく、資産管理・CMDB・問題/変更管理機能も備えた拡張性もポイントだ。…

ITIL ITサービスマネジメント , ServiceDesk Plus , 一般 , 未分類 1 min read

最小限の作業負荷でCMDBを構築するための3ステップ

この記事の所要時間: 約 7分
CMDB構築の3ステップ_トップ画像

CMDBの構築を複雑に考えてはダメ!の図

■ はじめに

ビジネスが拡大するにつれ浮かび上がる社内ITサービスの「品質問題」。品質の低下を引き起こす原因のひとつに資産管理があります。たとえば、従業員数の増加に伴う保有IT資産数の増加です。数が増えれば増えるほどすべてのIT資産がどこで、どのように運用されているのかを正確に把握することは容易ではなくなります。

しかし、難しいからとIT資産の管理者は管理を放棄することはできず、サーバー統合などで複雑化する資産の状況を把握し、故障・サービスの停滞・セキュリティに関する警告などが発生した場合に備え、業務にどのような影響があるのかをあらかじめ可視化しておく必要があります。組織内のITネットワークや資産の運用状況を把握しておらず、資産が他の資産とどのように関係しているかを明確にできないIT運用管理の現場には、障害発生時の影響範囲を即座に特定できない、脆弱性を含みウィルスのターゲットになる恐れのある端末が社内にどれほどあるか把握できていないなどさまざまな危険が潜んでいることは明白です。そこで、これらの危険の軽減を期待できるのが構成管理プロセスの活用です。もともとデータセンターなどで利用されることの多かった構成管理データベース(CMDB)を一般企業でも応用できればIT資産管理の複雑さの解決につながるでしょう。

では、データセンターではない企業が構成管理プロセスをIT資産管理に適用するにはどうすればよいのでしょうか?残念ながら、CMDBの実装を試みて失敗したという話は枚挙に暇がありません。本記事では、CMDBの実装を成功させるためのより簡単な方法について紹介しながら、その他のITへの活用や展開についても言及します。

 

■ CMDBのいろは

CMDBConfiguration Management Databaseの略称で、日本では構成管理データベースとも呼ばれています。 各アイテムの所有者情報や他のアイテムとの依存関係などの重要な情報とともに、必須アイテムのアップタイム、サービスの品質、ユーザーなどへの影響がCMDBに保管されます。 CMDBの機能は次の役割を果たします。

  • 組織内のすべてのIT資産とその構成を明確にする
  • 組織内の実際の構成情報に照らし合わせた構成情報を維持・管理する
  • 正しい構成情報でI Tサービスマネジメントプロセスを支援する

CMDBの目的は、ITサービス管理における正しい決断をするための正しい情報を提供することです。どんな状況でも決断するためには情報収集が必要なように、ITにおいてなんらかのアクションがなされるとき、その背景には必ず決断を促す情報が必要とされます。情報やデータなしの決断は根拠のない直感や当て推量でしかありません。直感で打った球がホームランになる確率が低いのと同様、正しい決断には、正しい裏付けデータが必要なのです。 ITにおいても効果的な決断を下すためには、正しい情報源から正しいデータを参照する必要があります。そして、その正しい情報源となるのがCMDBなのです。ここで、CMDBを構築していなかったとある会社の事例を見てみましょう。

ある日、A社ではインターネット接続の問題が発生しました。 分析の結果、監視ツールを導入するために従業員の1人がファイアーウォール内のポートを開け閉めしていたことが分かりました。 彼はファイアーウォールに2つの主要リンクが繋がっていることを知らなかった ため、ポートを閉じることで業務に与える影響を予測できませんでした。 この小さなインシデントは、結果的に、社内の半数もの人たちがインターネットに接続できなくなるという事態をもたらしました。 ポートを閉じてしまった従業員も、構成アイテムが業務に及ぼす影響を事前に 把握できていれば、より良い対応方法を選択できたでしょう。つまり、適切なCMDBが構築されていれば、インシデントの発生を回避できたのです。

 

■ CMDBの構築は難しい?

ITIL ITサービスマネジメント , ServiceDesk Plus , 一般 , 未分類 1 min read

人が足りない…クレームが減らない…行き詰まった「IT運用」はこうして打開する

この記事の所要時間: 約 7分

■増え続けるIT部門のミッションと悩み

企業経営にITが欠かせないものとなった現在、その運用と管理を行うIT部門に求められる役割は拡大を続けている。

まず、システムの複雑化・増大化が進み、限られた人員で運用管理を行うIT部門の作業負荷は、これまでになく高まっている。さらに近年では、経営へのさらなる貢献がIT部門に期待されるようになった。そのために、自社のビジネス全体を見渡したうえで、効果的なIT戦略を積極的に打ち出していく必要が出てきているのである。

こうした業務範囲の拡大は、今、IT部門には新たな悩みをもたらしている。それが、下の図にまとめたような問題だ。

IT部門が抱える様々な悩み

図1:IT部門が抱える様々な悩み

十分な人材がいない中、日々の運用管理や戦略的取り組みの検討に忙殺され、運用現場の改革が後手に回ることも少なくない。その結果、エンドユーザーからのクレームが減らない、システム障害が減らないといった悩みにつながるケースが少なくない。また、ITが経営にどれだけ貢献できているか、評価される仕組みづくりが進まないことに悩んでいる担当者も少なくないだろう。ビジネスとITの関係を可視化できなければ、優先的に解決すべき課題を特定できず、どれだけのコストや労力を割くべきかの判断も難しくなる。

さらに近年では、大規模災害やパンデミックなどの予期せぬ事象が発生した場合にも、重要なITサービスを継続または早期復旧するため、IT-BCPの策定も重要課題となっている。このように、IT部門の仕事は増えることはあっても減ることはないのだ。

こうした状況を打破するための有効な方策の1つが、「ITIL(Information Technology Infrastructure Library)」の導入である。これは、IT運用管理の成功事例を集めてガイドラインとして書籍化したもの。運用管理上の知識やノウハウが集約されているため、ITILの概念を導入すれば、日々のITサービス業務を標準化でき、組織的な対応が可能になるなど、より効率的・効果的な運用管理の実現を望めるのである。

しかし実際には、ITILを導入したにも関わらず、悩みを解消できなかったという企業が少なくない。また、効果があったと考えている企業でも、ITIL導入によって本来実現できるパフォーマンスを100%引き出せていない可能性もあるのだ。

では、ITIL導入がうまくいかない原因はどこにあり、どのような取り組みによって、効果的な導入が実現できるのだろうか。

 

■なぜ、多くの企業はITIL導入で失敗する?

ニュートンコンサルティング_久野様

ニュートン・コンサルティング株式会社
シニアコンサルタント
久野 陽一郎 氏

「ITILは不完全な形で導入されることが多く、それが、十分な成果につながらない原因となっているのです」と指摘するのは、数多くの企業にITガバナンスに関するコンサルティングを行ってきたニュートン・コンサルティングの久野陽一郎氏である。

ITILは、IT運用管理の実践規範を、きめ細かく、かつ幅広く網羅したもの。これを完全な形で導入できれば、運用管理の効率化はもちろん、課題を発見し、解決・改善につなげるためのPDCAサイクルが確立でき、大きな効果を得ることができる。

「しかし、その詳細にわたる記載内容こそが、実はネックとなるのです。最新版の『ITIL 2011 Edition』全5冊を合わせた厚さは、合計で10㎝にもなります。実に膨大な情報が収められており、詳細についての知識を得やすい一方、すべてを関連づけて理解するには大きな労力が必要です。そのために、運用管理体制の全体像をイメージしにくく、効果につながる導入が難しくなるのです」(久野氏)

そこで、久野氏が提案するのが外部認証を必須としない「ISO20000」の考え方の活用だ。ISO20000は、ITILを基にBSI(英国規格協会)がBS15000として規格化したものを、さらにISO(国際標準化機構)が国際標準規格として策定したもの。カバーする範囲はITILとほぼ同じだが、IT運用管理を行うすべての組織が適用できるように、整えるべき体制がより端的に記載されているのが特徴だ。

「分量も、1部と2部の2冊を合わせても厚さ1㎝程度しかなく、ITILに比べ全体像の把握がしやすくなっています。そこで、まずは『あるべき全体像』をISO20000でイメージし、その上でITILが示す成功事例を『個別プロセス』に適用していく。このように、それぞれの特徴を理解して、上手に併用していくことがポイントになります」(久野氏)

ITILとISO20000の特徴比較

図2:ITILとISO20000の特徴比較
いずれもカバーしている範囲はほぼ同じだが、ITILの内容が詳細なのに対し、ISO20000は内容が簡略化されており、全体像がわかりやすくなっている

いずれもカバーしている範囲はほぼ同じだが、ITILの内容が詳細なのに対し、ISO20000は内容が簡略化されており、全体像がわかりやすくなっている

 

■ITILとISO20000の併用で課題を解決した事例

実際にITILとISO20000を組み合わせて使うことで、課題を解決したケースも存在する。その1つとして久野氏が挙げるのが、金融機関に対して行ったコンサルティング例だ。

このケースでは、IT運用管理に正式な手順が設定されておらず、作業のムダや、対応のばらつきが発生していた。加えて、提供されるITサービスに対する評価が実施されておらず、改善活動のためのPDCAサイクルが回っていないという問題もあったという。「そこでまずは、ISO20000が示す全体像と、当該企業の現状とを照らし合わせてギャップを抽出。今までは課題として認識されていなかった問題点も洗い出し、改善のためのロードマップにまとめました」(久野氏)。

その後、個別のプロセスに関してはITILを参考に、業務プロセスフローの作成、経営の視点からITを統括する責任部門の設置、インシデントへの対応優先度のルール策定、社内で使用される用語の統一などを推進。運用管理を効果的に実施するための体制作りを進めた。「また、一定期間あたりのインシデントの数や、解決に要する時間などに関するKPIも設定。評価の指標を設けることで、IT部門が取り組むべき業務範囲を明確化し、継続的な改善活動にもつなげやすくしました」と久野氏は説明する。…

ITIL ITサービスマネジメント , ServiceDesk Plus , 一般 , 未分類 1 min read

2018年3月末の対応期限迫る! PCI DSS対応ソリューション

この記事の所要時間: 約 1分


2017年3月8日、経済産業省から「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(2016年版の改定)」が新たに策定されました。

実行計画の中で、EC加盟店は2018年3月末までに以下のいずれかの対応を実施することが求められています。

・クレジットカード情報の非保持化
・PCI DSS準拠(クレジットカード情報を保持する場合)
※カード会社およびPSPについては一律でPCI DSSの準拠が必要。

実行計画が公開されたのは2016年2月ですので、既に対応を完了しているケースも多々あるかと思いますが、一方で予算の確保や社内の調整に時間がかかり、駆け込みの対応を進めている企業様もいらっしゃるようです。

弊社が提供するIT運用管理ソフト「ManageEngine」では、PCI DSS準拠に活用できる7種類の製品情報をまとめてご紹介しています。PCI DSSの全要件と、それらに対応する製品機能をまとめた対応表も公開中ですので、ぜひご参照ください。

>>ManageEngineのPCI DSS対応ソリューション

なお、クレジットカード情報を非保持化する場合でも、「きちんと情報が非保持化されているか」の確認や、継続的に情報を保護するための「従業員教育」「ウイルス対策」「デバイス管理」等、種々のセキュリティ対策が求められます。

ManageEngineが提供するセキュリティソリューションについては、下記のコンテンツもご参照ください。

標的型攻撃の内部対策ソリューション
SIEM”以外”の選択肢!ログの「長期保管」と「可視化」をリーズナブルに(統合ログ管理にも!)
Active Directoryのセキュリティ対策ソリューション


【セキュリティ関連セミナー】

Active Directoryセキュリティセミナー:ADの攻撃検知対策と対応製品を紹介
特権ID管理セミナー:ツール導入に必要な「作業項目」「工数」「費用感」を徹底解説! 

 

 

 …

ADAudit Plus , Desktop Central , DeviceExpert , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , ServiceDesk Plus , セキュリティ , 一般 1 min read

中堅・中小企業向け「簡易リスク分析」のススメ!脆弱性診断サービス情報もご紹介

この記事の所要時間: 約 2分

ゾーホージャパンは、「標的型攻撃に対する包括的なソリューションを提供する」事を目的とし、各種ベンダーが企業連合を組んで発足した組織「ベースラインAPT対策コンソーシアム(略称BAPT)」に事務局として参加しています。

ベースラインAPT対策コンソーシアム(BAPT)Webサイト

BAPTでは「出入口対策」「統合ログ管理」「ふるまい検知」「エンドポイント対策」など、お客様の個々のニーズに応じたソリューションを柔軟に組み合わせて提供できる仕組みを整えています(詳細は、以下の図を、ぜひご参照ください)。

しかし、上記のようなソリューションを導入する前段階として「企業が現在どういうリスクを抱えているのか」を明らかにする「リスク診断」がどうしても必要となってきます。

「リスク診断」については、企業内部の状況を俯瞰的に見る必要があるため、ベンダーの立場では対応が難しい領域です。

例えば、弊社が提供するIT運用管理ソフト「ManageEngine」ブランドでは、ログを「長期保管/可視化」し、攻撃検知やアラート生成、またインシデント発生時のフォレンジック監査等に役立てられるようなソリューション(詳細は、こちら)を提供していますが、「具体的にどういうログを見ればいいのか?」といったご質問に対して、各企業様の内部ネットワークの状況を加味した上で、メーカーの立場からお答えすることは、なかなかできません。

このような理由から、BAPTには「セキュリティコンサルティング支援」が行える企業として、ニュートン・コンサルティング社が参加しています。

現在、BAPTではアイティメディアが提供するIT技術者・管理者向けの記事媒体「@IT」にて、連載記事「中堅・中小企業向け、標的型攻撃対策の現実解」を寄稿中です。

第1回目・第2回目は、上記で紹介したニュートン・コンサルティング社による寄稿で、以下の内容となっています。

第1回:中堅・中小企業の現実的なセキュリティ対策を考える

第2回:セキュリティ対策、中堅・中小企業向け「簡易リスク分析」のススメ

記事内では、経済産業省から出されている「サイバーセキュリティ経営ガイドライン」についての解説も含まれており、初心者でも分かり易い内容となっています。

企業や組織におけるセキュリティ担当者として、今後の対策を検討する方にも有益な情報となっておりますので、ぜひご参照ください。

また、ニュートン・コンサルティング社が提供している「脆弱性診断サービス」についても、以下にてご紹介します。

——————————————————————————-
脆弱性診断サービス(ニュートン・コンサルティング社)

何万件もの最新の脆弱性データベースにより、
企業のネットワークやアプリケーションに潜む脆弱性を
効率的に検出することが可能。

・実施期間:1ヵ月-2ヵ月
・成果物:脆弱性診断報告書
※サービス詳細のお問い合わせについては、ニュートン・
コンサルティング社Webページよりお送り頂けますと幸いです。
——————————————————————————-

いかがでしょうか。セキュリティ対策が社会的な義務としても認知され始めた昨今、いま一度、自社が抱えるリスクを洗い出すためのご参考となりましたら、幸いです。

その他、BAPTに対するご要望・ご相談がございましたらお気軽にお寄せください。

>>お問い合わせ先情報(BAPT事務局)


【ManageEngineが提供するセキュリティ関連セミナー】

一般 1 min read

「標的型攻撃」対策を「野球」にたとえてみた ―今年中に対策を開始したいと思ったら、まずどこに相談しますか?―

この記事の所要時間: 約 3分

 

2017年の年明けにも、標的型攻撃による某大手ガス会社の情報流出事件が話題となりました。対岸の火事として見逃す訳にもいかず、対策に頭を悩ませる企業も増えているようです。

「標的型攻撃」というキーワードは1つです。

しかし、これに対抗するための施策には、「出入口対策」から「内部対策」、内部対策の中でも「ログ監査」から「端末管理」まで多岐にわたる施策が想定され、とても1つの部署では検討しきれません。同時に、1つのベンダーで全てのソリューションを提供することも、難しくなります。

例えば、弊社が提供するIT運用管理ソフトのブランド、「ManageEngine」では、ログ監査ソフトや脆弱性パッチ管理ソフトを提供できますが、出入口対策やふるまい検知のためのソリューションは提供できません。昨年、複数のベンダーと情報交換をする機会がありましたが、販促の際はどこも同じ悩みを抱えているようでした。

これは、標的型攻撃対策を「野球」で例えた時に、「今年中にチームを結成して野球の試合をやりたい」と考えている顧客に「グローブとホームベースを売ります」と宣言しているようなものです。

提案された側は「あと何が足りないんだ?」と考えながら他の店を走り回る羽目になります。野球初心者にとっては終わりが見えない重労働な上に、予算がいくらかかるかも検討がつきません。

このような課題を解決するため、2016年10月24日、標的型攻撃の包括的なソリューションを提供できるコンソーシアム(企業連合)が発足しました。

——————————————————————————-
ゾーホージャパン、最適なコストで実現できる標的型攻撃対策の提供目指しコンソーシアムに発起人として参加
——————————————————————————-

組織名は、「ベースラインAPT対策コンソーシアム(略称:BAPT)」です。
最新の動向として、今年2月1日には内部ネットワークの振る舞い検知ソリューションを提供できるメーカーがメンバーに加わりました。

——————————————————————————-
標的型攻撃への対策を提案する企業連合BAPTにPFUが加入:標的型攻撃の内部対策向けに振る舞い検知ソリューションを提案可能に
——————————————————————————-

BAPTは、野球道具を取り扱うベンダーが一所に集まった商店街のようなものだとイメージしてください(各社製品/サービスとソリューションのマッピングについては、下図参照)。セキュリティのリスク診断ができるコンサルティング会社や複数のツール導入をまとめて支援できるSIerも参加しているため、個々の顧客ニーズに合わせた柔軟な対応を、ひとつの窓口から提供可能です。

BAPTソリューションマップ

ご相談がありましたら、ぜひお問い合わせください。

——————————————————————————-
標的型攻撃への包括的なソリューションを最適なコストで「ベースラインAPT対策コンソーシアム」
——————————————————————————-…

イベント情報 , 一般 1 min read

セキュリティを強化するための3つの重要なパスワードポリシー

この記事の所要時間: 約 2分

多くの組織は、Microsoftのパスワードポリシーとそれが提供する機能に精通しています。 MicrosoftのActive Directoryドメインのパスワードポリシーは、17年以上も前から今も同じです。 いくつかの組織では多要素認証を実装する取り組みを行っていますが、これらのテクノロジーは高価だったり、複雑であったりするため、導入するにはエンドユーザーのトレーニングやサポートが必要になります。 多要素認証の導入が不可能な場合は、パスワードを保護するために、いくつかの制限を検討する必要がありますが、パスワードポリシーを定義するために3つの重要な点を解説します。
pak12_101100_tp_v
<1点目>
パスワードは15文字またはそれ以上にする必要があります。セキュリティのため、パスワードとして適切な最小文字数は何年にもわたって議論されてきました。適切な最小文字数はありませんが、考えておかなければいけない事項がいくつかあります。最小文字数が15文字の理由は、LAN Manager(LM)認証プロトコルが関係します。 LM(およびNTLM)のパスワードは最大14文字です。これは、Windows 3.11の時代にハードコードされた制限です。したがって、15文字のパスワードを設定すると、LMとNTLMを認証プロトコルとして使用することはできません。これは、LM / NTLMをサポートするパスワードが弱く、簡単に侵入される可能性があるためです。

<2点目>
パスワードには特殊文字を含める必要があります。攻撃者は、ユーザーがパスワードに特殊文字を含めないで設定することを知っています。そのため、攻撃者は強制的に特殊文字を使用したり、レインボーテーブル(※1)を使ってパスワードをハッキングしたりすることがあります。パスワードに特殊文字を含めることで、これらのパスワードクラッキング手法を無効化することが可能となります。
※1.レインボーテーブル:ハッシュ値と平文が1対1となった情報

<3点目>
ユーザーは、辞書にある単語をパスワードに含めるべきではありません。多くのパスワードクラッキングツールには、パスワードを解読するための 基礎情報として辞書(言語と攻撃パターン)をインポートする機能があります。パスワードを解読するための簡単な方法があれば、新しく設定したパスワードに、辞書に登録されている単語が含まれていないことを確認することが不可欠で、それにより簡単なセキュリティ対策を行なうことができます。簡単な方法ですが、辞書を使用したパスワード解読がもはや不可能となります。

パスワードに関して、全体的な構成を改善するためには、すべての追加の機能、技術、または概念が、設定したパスワードを保護するのに役立ちます。私たちは、攻撃者とパスワードクラッカーの先を行く必要があります。この3つのヒントにより、パスワードのセキュリティを高めることが可能となります。

※この記事は「ManageEngine Blog」に2016年12月29日に投稿された「Three neglected password policy tips that increase security」を翻訳・加筆したものです。

※本ページに掲載されている製品名、会社名などの固有名詞は各社の商標または登録商標です。®マーク、™マークは省略しています。

【翻訳・加筆】
ゾーホージャパン株式会社 宇都宮 隆…

一般 1 min read

標的型攻撃のトレーサビリティ確保!JPCERT推奨「取得すべき5つのシステムログ」

この記事の所要時間: 約 3分

apt_image2

今日、日本年金機構をはじめ、大手旅行会社、大手ガス会社国立大学や政府系機関など、高度標的型メール(APT)攻撃による情報流出報道が後を絶たない。

繰り返される事故報道や事故に関するセキュリティ専門家の見解からも、メールを開いた個人に責任を追求するべきでなく、サイバー攻撃については災害や国際紛争のように余儀なく被害を受けてしまう状況になっている。

災害などのリスク管理においては、「想定外」を無くすという考え方から、有事の際の事後対応に向けて、事前の対応チームや手順の確立、災害発生を想定した上での訓練などが一般的に行われている。いわゆるBCMとかBCPと言われる類の対策だ。

サイバー攻撃においてもこの考え方を当てはめるのであれば、CSIRTなどを設立して、サイバー攻撃を受けてしまった(もしくは受けてしまった可能性がある)際、どういったチームがどういった手順でどのような対応を行うのかについて、事前の対策を行う事になる。

多数の調査実績から、自組織で攻撃を検知できずに、第三者からの通知で攻撃を受けていることに気づくことになるケースが報告されているが、そうした際に、不正通信を正確に検知し、問題となるウィルスなどのプログラムを隔離、根絶することが最も優先される事項だ。

一方、情報流出の可能性が高いと想定される場合には、大組織であればあるほど、どんな情報がいつ、どのくらいの量外部に流出したのかなど、できる限り正確な説明責任を問われる、報道発表が求められる。

その説明責任を果たす上で重要な役割を来すのが、システムが出力するログだ。

大手旅行会社の事故報道では、「特定の通信経路で異常通信のログは取得していたが、正常な通信ログは取得していなかった」という内容であった、そのため、「個人情報を含むデータファイルが外部に送出された際の通信ログを確認できておらず、
漏えいした可能性」という表現に留めざるを得なかった。

上記のようなケースを教訓に、トレーサビリティを確保するためのログの保持について、皆さまの組織においても、改めて見直しを検討してみてはいかがだろうか。

参考になる情報として、
JPCERTから公開される研究・調査レポート
「高度サイバー攻撃への対処におけるログの活用と分析方法」がある。この資料によれば、高度標的型攻撃で取得が優先されるログは、以下の要素になるとのことだ。

・ファイアウォール
・プロキシサーバー
・Active Directory
・DNSサーバー
・メールサーバー

出展元:「高度サイバー攻撃への対処におけるログの活用と分析方法」
https://www.jpcert.or.jp/research/apt-loganalysis.html
2016-10-19 JPCERTコーディネーションセンター
攻撃の各段階に応じて、上記の5つの機器のログを取得すべきという事だ。

・ファイウォールのログ

従来から、ファイアウォールにおける拒否通信を示すdenyログを取得する運用を行っている組織は多いものの、許可通信においても潜在的に脅威が存在する可能性があることから、昨今では、allowログについても取得を考慮する組織が増えてきている。

・プロキシサーバーのログ

ファイアウォールのみのログを取得していても、プロキシサーバーが設置されたネットワーク上においては、不完全な対応となる。ファイアウォールログ上では、すべてプロキシサーバーを送信元としたログしか記録されないからだ。プロキシサーバーのログも取得する事で、どういった端末のどういったユーザーからのアクセスなのかを把握することが可能となる。

・Active Directory のログ

マルウェア感染の上で内部ネットワークに侵入された後にまず狙われるのが、Active Directory(AD)だ。ADを乗っ取ることに成功すれば、侵入の拡大を効率的に進めることができるからだ。言い換えれば、ADに属する、サーバーやPC、DNSサーバーなどあらゆるシステムへのアクセスを許可するフリーパスを攻撃者に与えてしまうようなものだ。また、ADには、ユーザーの氏名や組織名、メールアドレス、上司のユーザー名など多彩な情報が含まれるため、攻撃者はこれらの情報を活用して次段階のメール攻撃を有効に進めたり、ブラックマーケットで販売したりすることが想定される。氏名や組織名、メールアドレスなどは、流出しからといって容易に変更ができない情報のため、機密情報や外部の個人情報に準じて守るべき対象だ。

・DNSサーバー

マルウェア感染後、感染された端末は外部のC&Cサーバーなどと通信を試みる際に、
URLやサーバー名、IPアドレスで通信を確立しようとする。その際に発生する、DNSクエリを参照することで、URLやサーバー名からIPアドレスの関連付けを確認することができる。そういった観点から、DNSのクエリログを取得、保管することが好ましい。

・メールサーバー…

一般 1 min read

i-FILTER ver.9に対応!プロキシ/ファイアウォールログの解析ツールFirewall Analyzer新版登場

この記事の所要時間: 約 2分

wall

多くの企業で、ネットワークの境界にファイアウォールとプロキシを設置して通信の出入りを管理することは、常識となっています。

標的型攻撃が横行する昨今では、これらのログを長期的に保管し、定期的に監視していなければ、怪しい兆候が発生していたとしても気づけず、また、事件が起きたときの原因調査ができません。

例えば、あなたの企業で外部攻撃による情報漏えいの可能性が発覚したとき、ログの保管を1ヶ月しか実施していなかったとすれば、どうでしょう。

最近の標的型攻撃は、侵入後に数ヶ月から(ひどい時には)数年に渡って攻撃者が潜伏しているケースがあります。

メールのアーカイブ情報などを辿り、発覚時点から1年以上前に遡ってウイルス侵入の形跡を確認した場合、直近1カ月のログでは侵入から情報持ち出しに至るまでの詳細な調査が不可能です。

弊社の営業担当者が、つい先日お客様から頂いたご相談も、前述のようなケースでした。

このような場合、「ログの記録が不十分のため漏洩の痕跡をたどれなかった」として公表するしかありませんが、これでは企業としての説明責任を果たしているとは言えません。

こういった事態を防ぐため、独立行政法人情報処理推進機構(IPA)やJPCERTコーディネーショセンター(JPCERT/CC)が発行しているセキュリティガイドラインでも、ファイアウォール/プロキシのログを長期保管することが推奨されています(JPCERT/CCでは、ひとつの目安として1年分のログ保管を推奨)。

高度サイバー攻撃への対処におけるログの活用と分析方法(JPCERT/CC)
『高度標的型攻撃』対策に向けたシステム設計ガイド(IPA)

 

さて、前段が長くなりましたが、ファイアウォールやプロキシのログを見るとき、生のログを扱うのは非常に大変です。

ManageEngineでは、これらのログをWeb上のインファーフェースで簡単に視覚化できるソフトウェア「Firewall Analyzer(ファイアウォール アナライザー)」を提供しています。

従来、Juniper、Cisco、FortiGate、PaloAlto、Squidなどを含む30以上のベンダー機器に対応していましたが、この度、国内からのニーズを多数受けて、i-FILTER ver.9にも対応しました。

i-FILTER対応のログ管理・解析ソフト「Firewall Analyzer」

このFirewall Analyzerは、2016年以降、セキュリティニーズによる導入が増加しています。ご関心がある方は、無料の評価版をぜひお試しください。


【関連情報】

「Firewall Analyzer」製品サイト
・…

Firewall Analyzer , 一般 1 min read

「標的型攻撃対策、何をすれば良い?」疑問に答えるために企業が集結!

この記事の所要時間: 約 1分

top

「標的型攻撃に備えて、何をすれば良いのか?」
多くの企業が抱えるこのような課題に対し、単独で明快な解決策を提示できるベンダーはほとんど存在しません。

今年2月、独立行政法人情報処理推進機構(IPA)は2015年に発生し、社会的影響が大きかったセキュリティ上の脅威として「情報セキュリティ10大脅威2016」を発表しました。その内、「標的型攻撃による情報流出」が組織にとっての脅威1位に挙げられています。

実際、セキュリティ対策については経済産業省とIPAから2015年12月に「サイバーセキュリティ経営ガイドライン」が、2016年11月には「中小企業の情報セキュリティ対策ガイドライン第2版」が提示され、サイバー攻撃の脅威が、国家機関や大企業に限らず、あらゆる企業にとって身近に迫っていることを如実に物語っています。

とは言うものの、冒頭でも述べた通り「では具体的に自社は何をしたらいいのか?」という質問に対して、スッキリとした回答を示せるベンダーはほとんど存在しません。

例えばオフィスビルを警備するにしても、正面玄関だけを見張っていれば良い訳ではなく、裏口の警備、戸締りの徹底、貴重品の金庫保管、不審者に強行突破された場合の警報装置の設置…etc.と、様々なレベルでの対策が必要です。これと同じく、標的型攻撃も「出入口対策」から「内部対策」に至るまで必要な施策が尽きません。このため、単独のベンダーが包括的なソリューションを提供することがほぼ不可能となっているのです。

これは、販促を行わなければならないベンダーにとっても、対策を検討しなければならない顧客にとっても、非常に不幸な状態と言えます。

このような課題を解決するため、弊社では標的型攻撃への対策製品を提供している複数のベンダー、SIer、またコンサルタント企業と連合を組み、標的型攻撃の包括的なソリューションをリーズナブルに提供できる仕組みを構築しました。

ベースラインAPT対策コンソーシアム(Baseline APT-solution Consotium:略称BAPT)です。

弊社ManageEngine製品は内部対策に向けたログ監査製品を提供していますが、これに加えてウォッチガード社(出入口対策)やウェブルート社(エンドポイント対策)、その他にもコンサルティング会社や導入支援を実施できるSIerなど、複数社が集結した企業連合です。

これにより、個々のお客様のリスク診断を元にした各ソリューションの提案から導入/運用支援まで、1つの窓口から提示できます。ぜひお気軽にお問い合わせください。

161024bapt-solutionmap<ベースラインAPT対策コンソーシアム:ソリューションマップ>

 


【関連情報】

ManageEngine:標的型攻撃の内部対策
プレスリリース:ゾーホージャパン、最適なコストで実現できる標的型攻撃対策の提供目指し コンソーシアムに発起人として参加

一般 1 min read