内閣サイバーセキュリティセンター(NISC)は8月22日、豪州主導の国際文書「イベントログと脅威検知のためのベストプラクティス」への共同署名について発表した。
豪州通信情報局(ASD)豪州サイバーセキュリティセンター(ACSC)が策定した文書「イベントログと脅威検知のためのベストプラクティス(Best practices for event logging and threat detection)」は、経営層のIT責任者やネットワーク運用者等を対象として、イベントログと脅威検知に関する国際的なベストプラクティス集。検知が困難とされるシステム内寄生(Living Off The Land)戦術への技術的な対策を示すことは、日本のサイバーセキュリティ強化に資するとし、共同署名に加わったという。
同文書に共同署名し協力機関として組織名を列記した国は、豪州、日本の他、米国、英国、カナダ、ニュージーランド、シンガポール、韓国、オランダの9ヶ国。
同文書では、イベントログのベストプラクティスとして、下記の通り記述されている。
1.イベントログポリシー
ログポリシーの作成に当たって考慮すべき事項として、イベントログに含めるべき詳細(保存すべきイベントログの詳細)、内容及びフォーマットの一貫性、タイムスタンプの一貫性、イベントログ保存(保存期間等)を列挙。
2.ログの収集と相関の一元化
企業ネットワーク、Operational Technology、エンタープライズモビリティ、クラウドについて、保存すべきログの優先順位付け(ログソースのリストを詳述)。
3.安全な保存とイベントログの完全性
完全性確保のためのイベントログの保護とアクセス制限。
4.脅威に対する検知戦略
挙動異常の例を列挙するとともに、挙動異常を自動検知できるようにすることを推奨。
