一般財団法人 日本海事協会

脅威監視における自社運用プロセスを確立し
迅速かつ的確な対処を実現

概要

ログ分析では脅威の迅速な把握が困難

海上における人命と財産の安全確保及び海洋環境の汚染防止のために全力を尽くす日本海事協会。公正な第三者機関として、設計図面の審査、建造中と就航後の船舶検査、材料、機器並びに艤装品の承認など、幅広くサービスを提供している。

世界中の主要海事都市にサービス拠点を持ち、多様な情報を取り扱う同協会にとって、セキュリティ確保は必須の課題だ。特に近年、脅威はより悪質化・巧妙化しており、従来のパターンマッチングによる対策だけでは、脅威の侵入を防ぐことが困難になりつつあった。

被害を防ぐためには、対策を突破して侵入した脅威を自力で検知するしかなく、同協会では、サーバから収集可能な通信の“生ログ”を分析し、脅威の早期発見に努めてきた。しかし、ログの分析には専門的な知識が必要なうえ、不審なものとそうでないものとの切り分けが難しい。分析作業には多大な手間と時間がかかっていたという。

この課題を解決するために、同協会が導入したのがトレンドマイクロの「Deep Discovery™ Inspector(以下、DDI)」だ。

DDIは、カスタムサンドボックスを備え、ネットワーク内部を可視化するソリューションである。通常とは異なる端末間の通信や外部との通信など、あやしい「ふるまい」を検知して、わかりやすくコンソールに表示。侵入した脅威を即座に発見することができ、気付くことが難しい標的型攻撃などによる被害の拡大を防止できる。

同協会は、まず検証機を設置してトライアルを実施。結果、ログの分析では対応しきれなかった、潜在的な脅威までを可視化できることを実感し、本格導入に踏み切った。

脅威の状況に応じた柔軟な対応が可能に

ネットワーク内部が可視化されたメリットは非常に大きく、同協会は潜伏する脅威を複数検知したうえ、脅威のリスクの大きさに応じて、適切かつ柔軟な対応が可能になった。

一般的に脅威は、侵入した後にネットワーク内部で段階的に準備を整え、ある段階で攻撃を開始する。DDIは様々なリスクを検知したうえで、こうした攻撃の段階、危険度までをわかりやすく把握することができる。

このDDIの特長を活かし、同協会は、C&C通信を開始するなど、重大な脅威を検知した際には、感染端末を即座にネットワークから隔離し、端末をフォーマットするといった対応を行う一方で、危険度の小さな脅威に関しては、業務を優先しつつ経過を観察するという柔軟な対応を行っている。

今後、同協会は、国内拠点で培ったDDI運用のノウハウを活かし、海外拠点へも監視範囲を拡大することを検討。グローバルな脅威監視体制の実現を目指す考えだ。

運用プロセス

国内23拠点、約1,500端末の脅威状況を監視

当協会では2012年よりDDIを活用しています。現在は、インフラ構築・運用を担当する情報技術部にて、ネットワークインフラを担当するスタッフ数名が他の業務と兼務しながら脅威監視を行っています。監視範囲は、国内23拠点、約1,500台の端末に及びます。

拠点間は、閉域網で接続しており、このネットワークのうち、公開サーバ群の通信、コアスイッチから外部への通信、コアスイッチとディストリビューションスイッチ間の通信をDDIの監視ポイントとして設定。不正Webサイトへの通信、サーバ群に対する不正な通信などを検知しています(図)。

図:Deep Discovery™ Inspectorを活用した日本海事協会のネットワーク監視イメージ

コンソール上で脅威の状況をすぐに把握

担当者は、DDIのコンソールをデスク上のモニターに常時表示して、脅威の検出状況をチェックしています。主に使用するのは、ダッシュボートと検出したすべての脅威を一覧表示する「すべての検出」画面の2つです。

まずダッシュボードには、C&Cサーバとの通信やランサムウェアの検出など、脅威の種類ごとに影響を受けたホストがどれだけあるかが、アイコンとともに大きく表示されます。一方、「すべての検出」画面には、ダッシュボード上に表示された脅威も含む、すべての脅威が一覧表示されます。これらの情報は、クリックしてドリルダウンすることで、関与している端末など、さらに詳細な情報を確認することができます。

検出した各脅威は、「重大度」に応じて1〜10にランク付けされており、スコアが10〜8のものは「重大」、7〜4のものは「メジャー」、3〜2は「マイナー」、1は「軽微」と定義され、色分け表示されます。特に重大な脅威の検知については、担当者にメールでも通知されるように設定しています。

例えば、すでに攻撃行動に移ったと考えられるC&Cサーバへの通信などは「重大」な脅威に当たります。したがって、ダッシュボード上にC&Cサーバとの通信「1件」、と表示された場合は、即座に関与している端末を特定し、ネットワークから隔離するなどの対処を開始します。

このように「重大」な脅威を中心に対処していくのが基本的な運用となりますが、メジャー以下の脅威でも、あやしいと感じたものについては、継続的に監視して状況を把握するようにしています。具体的には「ログインエラーが多い」「業務時間外に外部サイトにアクセスしている」といったふるまいです。これらは、正規の通信を装った攻撃である可能性があるためです。

業務への影響を最小にした対処が可能

脅威への対処の際に心がけているのが、できるだけ業務への影響を小さくすることです。脅威を検知した段階で端末をフォーマットしてしまうのは簡単ですが、業務が完全に止まってしまううえ、データも失われ、その後の業務にも大きな影響を与えます。したがって、消失した不正サイトへつなごうとするC&C通信の名残りなど、実害に発展する恐れがないと判断できる脅威については、フォーマットまでは実施せず、マルウェアの駆除などで対応しています。このような柔軟な対応が行えるのは、可視化ツールであるDDIだからこそです。

また、可視化した脅威情報は、これから、どんな対策が必要かを検討する有力な材料となっています。脅威や被害の動向を見て、的確な対策を実装していくという「セキュリティのPDCAサイクル」の構築につながっているのです。先日、サーバ保護のための「Trend Micro Deep Security™」を導入したのも、このサイクルの一環です。

さらにDDIは、組織全体のセキュリティ啓蒙活動でも重要な役割を担っています。

DDIが検知した情報をもとに、インシデントの発生日時や内容、対応結果などをExcelに落とし込み、週次レポートサマリを作成してチーム内で共有。さらに月次でも集計表を作成し、こちらは部全体に共有しています。どんな攻撃を受け、どんな被害があったのかを現場にも報告することが注意喚起につながり、従業員のセキュリティ意識の向上に役立っています。

関連サイト

運用プロセス確立の経緯

トレンドマイクロと共に可視化の照準を定める

現在のDDI運用プロセスは、すぐに実現できたわけではありません。2012年のDDI導入から、様々なチューニングを実施し確立してきたものです。

例えば、導入直後は、DDIの検出画面を見て「これを全部チェックしなければならないのか?」と青ざめました。というのも、導入初期段階では、サーバ間や端末間のP2P通信などをすべて拾ったりするため、検出件数が膨大になってしまうのです。

しかし、中にはシステム間のデータの受け渡しなど、我々が把握している正規の通信も存在します。こうした通信は、ポートを指定しつつ「特定のポートを使用するアプリケーションの通信は検出対象から外す」といった設定を行うことで、監視対象から除外。段階的に検出対象を最適化していくことができます。

また、脅威への対応についても、重大以下の脅威をどの程度まで把握すべきかなどという疑問もありました。すべて把握し、対処しようとすると手が回らなくなる一方、絞り込みすぎるとリスクを放置することにもつながりかねない。どこに照準を合わせるかがDDI運用のカギとなります。先に菅谷が述べた通り、現在は「重大」な脅威を中心に対処し、それ以外については、あやしいと感じたものを継続的に監視するなどしています。

トレンドマイクロのパートナーに運用を依頼するという選択もありましたが、我々は、適宜、トレンドマイクロのサポートを受けながら自分たちで運用することを選びました。

例えば、自分たちが考えた運用プロセスに疑問を感じた際などには、「トレンドマイクロ セキュリティエキスパートサービス」の支援を受けたり、必要なトレーニングメニューを用意してもらったりしています。トレンドマイクロは、常に我々の課題に応じた提案を行ってくれ、提供してもらった知見やノウハウは、運用を改善していくうえで、今でも非常に参考になっています。

検出した脅威

ランサムウェアを検知し、感染拡大を防止

最近、DDIによるネットワーク可視化の効果を実感したのが、ランサムウェアの検出です。

ランサムウェアは感染したPCをロックしたり、ファイルを暗号化したりして使用不能にし、元に戻すことと引き換えに「身代金」を要求するマルウェア。標的型攻撃とともに近年被害が拡大しているサイバー攻撃です。

実は我々もランサムウェアの被害に遭ったことがあります。

DDIがランサムウェアを検知したのですが、当時、担当者が会議で席を外しており、対応が遅れてしまったのです。利用者から「画面がおかしい」という連絡を受け、すぐに端末をLANケーブルから抜くように指示したのですが、残念ながら、端末内のデータの一部がすでに暗号化されていました。

しかし、DDIのおかげで被害を最小化することができました。

DDIを通じて同じアドレスにアクセスした履歴を持つ端末を検索。感染リスクのある端末を特定したうえ、調査の結果、すでにランサムウェアに侵入されている端末を見つけることができたのです。ランサムウェアの中には、目に見えないところで徐々に暗号化などを行い、利用者ですら感染に気付かない場合もあるといいますから、これは大きな成果です。もし感染に気付かなければ、ほかの端末に連鎖的に感染し、被害はもっと大きなものになっていたでしょう。

※ 記載内容は2016年9月現在のものです。内容は予告なく変更される場合があります。