LogStareのSOCの窓 第6回「多機能、次世代、便利なセキュリティ機器の落とし穴」 | ScanNetSecurity
2024.03.19(火)

LogStareのSOCの窓 第6回「多機能、次世代、便利なセキュリティ機器の落とし穴」

今回は、大きな被害を生むものではないものの、機会損失や業務効率の低下を招いていた…。SOCアナリストがお客様のファイアウォールのログを分析して見つけた、そんな事例をご紹介します。

製品・サービス・業界動向 業界動向
今回の教訓:セキュリティ機器の”便利な機能”は、人知れず不利益を生むことがある
今回の教訓:セキュリティ機器の”便利な機能”は、人知れず不利益を生むことがある 全 1 枚 拡大写真
 株式会社LogStareは「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。

 それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。

●大きな被害ではない、見えない不利益

 “次世代”ファイアウォールなどと呼ばれるように、昨今のファイアウォールには様々な便利な機能が搭載されています。
しかし現場のネットワークエンジニアがそのすべての仕様と正しい設定方法を習得することは難しく、設定の不行き届きから不利益を生み出してしまうことも…。

 今回は、大きな被害を生むものではないものの、機会損失や業務効率の低下を招いていた…。SOCアナリストがお客様のファイアウォールのログを分析して見つけた、そんな事例をご紹介します。

Case1:知らぬ間に遮断ポリシーの件数が大幅に増加していた

 次世代ファイアウォールには、不審な通信を見つけ自動的に遮断ポリシーを作成する機能を持ったものがある。
あるお客様ではこの機能によっていつの間にか遮断ポリシーが大量に追加されていた。宛先ポートを確認してみると、Windowsアップデートの配信最適化による通信を遮断するポリシーと判明。
このポリシーによって一部のセグメントで、Windowsアップデートの時間にネットワーク帯域がひっ迫していたことが分かったため、設定を変更した。

Case2:正常な HTTPリクエストが WAF に遮断される

 WAF(Web Application Firewall)と言えばクロスサイトスクリプティングのような、Webサイトへの悪意ある攻撃を防ぐものというイメージがあるが、HTTPプロトコルに準拠していないリクエストを遮断する機能を持ったものがある。
あるお客様が運営する Webサービスではこの機能によって、HTTP のヘッダーの上限数を超えるリクエストがすべて遮断されてしまい、一部のサイト訪問者がサービスを正しく利用できない状態になっていた。
アタックシグネチャに検知されるような攻撃ならお客様も気づけたが、バイオレーション違反までは見ていなかったため、機会損失を生んでしまった。

 もしかして、あなたの会社でも、ファイアウォールの”便利な機能”が見えない不利益を生んでいませんか?

●有効に機能しているはず…と思うのが人の常

 いずれもよかれと思って有効にした機能が結果的には不利益を生み出していました。このようなケースは、日々の運用の中ではなかなか気が付かず、むしろ期待通り機能しているものと思って気にも留めないのが常です。

 しかしながら、ファイアウォールをはじめ様々なセキュリティ機器は、日々変わっていく攻撃トレンド、組織の状況、利用するシステム環境に適応させるための「運用」が欠かせません。
導入したセキュリティ機器が期待通りの動作をしているか? 過剰な働きをしていないか? 逆にまったく機能しない現代アートと化していないか? それらはファイアウォールを流れる膨大な通信を可視化し、日々チェックして初めて分かります。

 そのような”通信を可視化する”手段としてのログレポートを自動で作成し、お客様のご要望によってはその内容を分析し、そこに潜む機会損失や不利益を見つけ出すのが私たち LogStare を含むセキュアヴェイルグループです。

 次回も私たちがセキュリティの運用現場で目撃した出来事から、現場の担当者はもちろん、管理層、経営層の方にも気づきを与えられる事例をお届けします。どうぞご期待ください。

今回の教訓:セキュリティ機器の”便利な機能”は、人知れず不利益を生むことがある

《株式会社LogStare》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  4. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  5. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  6. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

    愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  7. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

  8. 善意目的でスパム46万通、慈善団体が当局からお目玉

    善意目的でスパム46万通、慈善団体が当局からお目玉

  9. SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

    SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

  10. マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

    マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

ランキングをもっと見る