【ウイルスバスター™ コーポレートエディションの
ログからわかる自社のウイークポイント】
本稿では、いま使用しているセキュリティソフトが蓄積しているログを利用し、自社環境のウイークポイントを簡単に診断する方法を紹介する。
ウイルスバスター™ コーポレートエディション(以下、ウイルスバスター Corp.)を導入されている企業において、管理者はパターンファイルのアップデートやアラートへの対応を運用業務として遂行されていることは一般的だ。しかし一方で、ログをチェックすることにより、自社に潜在する脅威やウイークポイントを診断できることはあまり知られていない。ウイルスバスター Corp.のログは図1の管理画面から確認、抽出できる。
図1:ウイルスバスター Corp.の管理画面(アクセス方法)
ここで抽出したログから、まずは表1の通り、11項目のみを集計する。例えば、Excelのピボット機能で集計すると比較的容易に集計できる。
表1:簡易チェックの11項目
① 総レコード数(検出件数)
ファイアーウォールやゲートウェイを通過して、エンドポイントに着弾している件数が多い場合は、入口対策の見直しが有効です。また、クライアントに直接入り込む可能性として、USBメモリなどのリムーバブルメディアや、クライアント端末自体の持ち出し、持込みが原因となっている可能性もあります。
② 検出台数
1は検出の総数ですが、これは検出した端末の数です。目安として全体台数の5%以上の検出があると多いと評価してよいでしょう。検出した各端末についてコンピュータ名やドメイン情報から個々のケースに対する調査と対処が必要になります。数が多く、端末個別に対応しきれない場合や、1台でもサーバが感染している場合は、ネットワークレイヤでの監視や対処を検討します。
③ 手動・予約検索による検出
手動検索や予約検索で検出されたレコードがある場合は、対象の端末で一定の期間、不正な活動が行われていた可能性があります。同様の検出が多い場合には、ネットワーク内部での横展開による感染も疑われます。エンドポイントでのウイルスバスター Corp.のセキュリティ機能が十分に有効化されていないケースもあるので、パターンファイル以外のセキュリティ機能として機械学習や挙動監視等の設定を見直すことがお勧めです。
④ 危険なマルウェアの検出
情報漏えいにつながるバックドア型マルウェア等の検出です。入口であるゲートウェイの対策や、エンドポイントでの対策が十分であれば、情報が内部から外部へ送信される際の出口の対策を見直しましょう。対象端末の調査と共に、アクセス可能な重要情報を保存しているサーバ側に侵害がないかも確認しておく必要があります。
本稿で紹介したのは概要であり、一般的な対処案に過ぎませんが、もちろん個々の環境によって取得できるログは異なり、見えてくるセキュリティの改善策も異なります。インシデントが起きる前に自社のウイークポイントを把握し、効率的にセキュリティ強化されることをお勧めします。
【Webフォームからのご相談】
お問い合わせフォーム
※ お問い合わせ内容に「ログチェックのWebを見た」と入力お願いします。
【電話でのご相談】
TEL:03-5334-3601
(9時~12時 13時~18時。土日祝祭日を除く)
※ 電話で「ログチェックのWebを見た」とお伝えください。
記事公開日 : 2018.7.9
この記事は、公開日時点での情報です
TREND MICRO、および ウイルスバスター はトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2018年6月現在のものです。内容は予告なく変更になる場合がございます。
