「最新のネットワークフォレンジック技術と先進事例」 SOC/CSIRTの難所 ネットワークフォレンジックセミナー

 2019.03.15  株式会社ネットワークバリューコンポネンツ

即座に未知の脅威を解明するソリューションを提供するNIKSUN(NIKSUN,Inc.) は、情報セキュリティ強化のためのネットワークフォレンジックセミナーを開催しました。

NIKSUNは、世界の主要国で国防から大手金融機関やテレコム事業者などで採用されているネットワークフォレンジックのトップベンダーです。SOC/CSIRTの難所となるネットワークフォレンジックは、インシデント発生時の真相解析にとって不可欠の技術です。
NIKSUNによる最新のネットワークフォレンジック技術を導入すると、迅速なフォレンジック調査によるインシデント分析だけではなく、リアルタイムのトラフィック監視やレポーティングなど包括的な脅威対策が可能になります。セミナーでは、最新のネットワークフォレンジック技術に加えて最先端の事例を中心にSOC/CSIRTで活用され実績を上げているSIEMとの連携や、インシデント分析などが紹介されました。本記事ではその一部をご紹介します。

最新のネットワークフォレンジック技術

NIKSUNのVP EngineeringのPaul Spencer氏が登壇し、最新のネットワークフォレンジック技術について講演しました。Spencer氏は、世界で発生しているインシデントの傾向について触れ「一年前の統計によれば、フィッシングやマルウェアによる攻撃が43%あり、その被害が検知されるまでに61日間もかかっていました」と説明します。サイバー攻撃は指数関数的に増加の一途をたどり、AVTEST.ORGの統計によれば、2018年だけで8億5662万件のマルウェアが発生してします。そして、さまざまなサーバーが攻撃者の踏み台として悪用されているだけではなく、今後はIPアドレスを持つIoT機器の全てが攻撃の対象へと広がっていく危険性が指摘されています。

最新のネットワークフォレンジック技術

そのIoT機器をベースとしたボットネットだけでも、NIKSUNで調査した実例によれば多くの攻撃が発生していると言います。Spencer氏は、「サイバー攻撃に対するセキュリティ対策として、やるべきことは山積しています。しかし、企業の経営者や担当者は、何をすれば良いのか見えていないのです。サイバー攻撃は、防御の網をかいくぐってきます。これを検知するのは、とても難しく、深度のあるフォレンジック技術による検知能力が必要になります」と解説します。

最新のネットワークフォレンジック技術2

一方で、数多くの独立した監視ツールや検知システムは、導入が高価なだけではなく、統合的な管理も困難な状況にあります。なぜなら、それぞれのツールが独自のデータ形式やシステムとなっているため、統合化され標準化されたデータが存在しないからです。Spencer氏は、「ある企業のIT部門では、多大な時間を費やして増え続ける監視ツールの管理に追われています。そのため、ひとつひとつを監視して、トラブルシューティングしていくので、時間もコストもかかります。そこで、インテリジェンスなネットワークデータベースを構築し、そこで情報を一元的に管理する仕組みが求められているのです」と提言します。

NIKSUNのフレキシブルなビッグデータ解析システムでは、個々の監視ツールから発信されるRaw Dataをアナリティクスエンジンで収集し、ハイレベルで相関関係の構築と分析を実現します。

NIKSUN製品に関するお役立ち資料

フレキシブルなビッグデータ解析を実現するNIKSUN コアサーバーは、プロセッシングとストレージを統合した例えば4RUサイズのサーバーで、クラスタリングによる拡張性を可能にしています。

NIKSUN Core Server

さらに、NIKSUN は取得するデータサイズやネットワーク速度に応じるために、豊富な製品ラインナップを揃えています。手のひらに乗る小型ルーターのサイズから、1Uサイズやクラスタリングに対応した大規模なサーバーまで、すべての機器で同じソフトウェアとユーザーインターフェースを提供しています。Spencer氏は、「仮想化システムやクラウドサービスにも対応しています。AWSやVMware、OpenStackでも利用できます」と補足します。

NIKSUNは、国際的な認証も数多く取得し、その実績からアメリカの国防総省においてもネットワーク防御に採用されています。NIKSUNを導入した企業や政府機関では、Firewallの内側だけを監視するのではなく、外側のネットワークへのモニタリングを強化して、どのような攻撃が仕掛けられているのかを確認しています。Spencer氏は、「NIKSUNによるFirewallの両側(内と外)の監視は、どのような方法で攻撃がすり抜けているのかを理解するために重要です」と説明します。

さらに、SIEM ( Security Information and Event Management:セキュリティ情報イベント管理)にNIKSUN NetDetectorを活用することで、アプリケーションレベルでのデータ再現やパケットレベルでの詳細なフォレンジック調査が可能になります。

Investigating Alarms

[SMART_CONTENT]

ネットワークフォレンジックの先進的な活用事例

ネットワークフォレンジックの先進的な活用事例

続いて、シニアシステムエンジニア のSunny Pruthi氏が登壇し、最新のネットワークフォレンジック技術のデモンストレーションを行いました。Pruthi氏のデモンストレーションでは、Apache Struts ServerとActive Directory Serverで構成されたネットワークにNIKSUNサーバーを接続し、Firewallの内側でパケットとログを収集したシナリオが展開されました。

ネットワークフォレンジックの先進的な活用事例2

Pruthi氏は、NIKSUNサーバーによって収集されたデータをもとに、深刻な警告が発生している様子を紹介します。その警告の内容とは、ソーシャルセキュリティ番号(日本のマイナンバーに相当)が不正に転送された可能性を示すものです。加えて、Apache Struts Serverの脆弱性も指摘されています。

ネットワークフォレンジックの先進的な活用事例3

Pruthi氏は、警告の内容をドリルダウンして、詳細を確認していきます。すると、 ソーシャルセキュリティ番号が外部の特定のIPアドレスに転送されていることが判明します。さらに調査していくと、侵入者がアクセス可能なサーバーやパスワードにファイル転送サービスなどを調べるために、不正なコマンドを注入した痕跡が発見されます。そして、データベースに不正にアクセスして、顧客情報をTEMPDBというファイルに取り出そうとした行動も把握できました。そのTEMPDBの内容を調査してみると、個人のメールアドレスや ソーシャルセキュリティ番号、クレジットカードなどの情報が含まれていました。その情報が、外部に送信されたのだと簡単に調査できたのです。

ネットワークフォレンジックの先進的な活用事例4

デモンストレーションの最後にPruthi氏は、パケット情報とログ情報を組み合わせて、社内で発生していた不具合を解決した事例も紹介しました。その事例では、ある大手企業がウェブサイトの不具合を検知していたものの、理由が特定できずにNIKSUNへ調査を依頼してきました。そこで、NIKSUNでは社外のネットワークとサーバーのトラフィックを調査しました。そこから、どのアプリがエラーを出しているのかを特定するために、サーバーエラーに関するWEBステータスをフィルタリングして、ログ情報から例外を抽出しました。そして、問題が発生しているコードを特定したのです。

Pruthi氏は、「パケット情報だけで、今回のようなコードの問題を短時間で発見するのは困難です。多種多様なユニットから得られる情報を吸い上げて分析するフォレンジック技術による問題の究明は重要です」と提唱します。

セミナーの最後に、Paul Spencer氏が再び登壇してポイントを整理しました。Spencer氏は、「サイバー攻撃は増加の一途にあります。それだけに、フォレンジックの導入が重要です。先日のソニーの事例でも、問題解決には一年以上の時間がかかりました。なぜなら、ソニーにはNIKSUNのようなツールがなかったからです。NIKSUNを活用すると、どのような攻撃手法が用いられてのか、細かい証拠が集まり、解析や犯罪捜査に活用できます。未知の攻撃についてもNIKSUNでは特定できます。このようなツールを活用したフォレンジックは、サイバー攻撃に対抗する不可欠な対策です」と語りました。

株式会社ネットワークバリューコンポネンツでは、NIKSUNに関する導入支援やサービスを提供しています。もし、ご興味がございましたら弊社までお問い合わせください。

[RELATED_POSTS]

NIKSUN ソリューション概要

RECENT POST「コラム」の最新記事


「最新のネットワークフォレンジック技術と先進事例」 SOC/CSIRTの難所 ネットワークフォレンジックセミナー
NIKSUN ソリューション概要

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング

RECENT POST 最新記事

TOPIC トピック一覧