ROIを最大化する システム監査・サーバー監視ツールの実力とは?

ROIを最大化する

サーバーアクセスログ
監視ツールの実力とは?

機密情報が組織ネットワークから窃取される情報漏えい事件が世界中で起きている。国内で判明した個人情報漏えい事案は年間1,000件超が報告(※1)されており、企業の13.5%が情報漏えい、あるいはその疑いがある事案を経験(※2)している。個人情報漏えいの損害賠償額は 漏えい事案1件あたり数億~10億円超 と想定され、ブランド毀損を含め経営上の重要なリスクとみなされ、セキュリティとコンプライアンスの強化は最重要なリスクマネジメントのテーマとなっている。しかし投資余力に限りがある中、ITガバナンス強化の「次の一手」に悩む企業は多いはず。そこで注目されているのがサーバーアクセスログ管理ツールだ。情報資産が集中するサーバーを最適投資で効果的に守る、システム目付け役として期待されているのがこのツール。本ホワイトペーパーでは、ラネクシーが提供する「Netwrix Auditor」を例に、なぜ同ツールが注目されるのかを解説していく。
ROIを最大化する

サーバーアクセスログ
監視ツールの実力とは?

機密情報が組織ネットワークから窃取される情報漏えい事件が世界中で起きている。国内で判明した個人情報漏えい事案は年間1,000件超が報告(※1)されており、企業の13.5%が情報漏えい、あるいはその疑いがある事案を経験(※2)している。個人情報漏えいの損害賠償額は 漏えい事案1件あたり数億~10億円超 と想定され、ブランド毀損を含め経営上の重要なリスクとみなされ、セキュリティとコンプライアンスの強化は最重要なリスクマネジメントのテーマとなっている。しかし投資余力に限りがある中、ITガバナンス強化の「次の一手」に悩む企業は多いはず。そこで注目されているのがサーバーアクセスログ管理ツールだ。情報資産が集中するサーバーを最適投資で効果的に守る、システム目付け役として期待されているのがこのツール。本ホワイトペーパーでは、ラネクシーが提供する「Netwrix Auditor」を例に、なぜ同ツールが注目されるのかを解説していく。

内部ネットワークは安全?崩れ去ったセキュリティの常識

企業システムのセキュリティ投資は増加してきたが、攻撃被害は投資に比例して減少しているわけではない。その大きな要因は、2010年頃から標的型攻撃(APT)に代表されるシステムの脆弱性を狙う、ターゲットを絞った巧妙な攻撃が従来のセキュリティ対策の限界を露わにしたからだ。
標的型攻撃は、標的型メールによって組織内部にマルウェアを侵入させ、存在を隠蔽しながら組織内部に攻撃用の基地を作る。その基地と外部の攻撃用サーバーとの通信を確立すると、リモート操作によりネットワーク中の重要情報を探り、外部へと流出させる。攻撃者はあたかも内部のシステム管理者であるかのように自らを偽装しながら、内部システムを蹂躙するのである。
従来のセキュリティ対策は「内部ネットワークは安全」という仮定のもとに、「外部からの脅威を防御」することが優先されてきた。標的型攻撃はその前提を根本から覆してしまった。

機密情報漏えいの実態は?

しかし内部ネットワークが安全というのも神話的な仮定だった。システム管理者やユーザーがその気になれば情報漏えいは簡単に起こりうる。昔も今も情報漏えいの最大媒体は紙。その延長上にUSBメモリなどの外部情報記録媒体により大量情報を持ち出す内部不正がある。現在では多数のWebサービスが利用可能になり、流出ルートは数限りなく存在している。こうした環境は同時に、メール誤送信やWebの設定ミスによる情報露出など人的ミスや管理ミスによる情報漏えいも引き起こす。2016年は、約1400万人分の個人データが漏えいし、漏えい事案1件あたりの漏えい人数は約3万人分、平均想定損害賠償額は約6億2800万円だ(※1)。その原因は、管理ミスや誤操作その他の内部的な要因によるものが75%を占め、ウイルスや不正アクセスなどの外部要因によるものは23%だった。一方、漏えい人数を見ると「ワーム・ウイルス」「不正アクセス」による漏えいが8割以上を占めていた。振り返ると、大手教材会社の内部不正事件が起きた2014年には「内部犯罪・内部不正」による情報漏えい人数が約4864万人にのぼり、全漏えい人数の97.3%を占めていた(※2)。つまり、個人情報漏えいは企業内部で悪意の有無にかかわらずさまざまな要因で起きており、大規模な漏えいは主にウイルスと不正アクセスとともに、内部犯罪・内部不正が引き起こしているといえるだろう。
なお個人情報以外にも、設計図面、技術文書、契約書、見積書などは高額転売が期待できターゲットになりやすい。漏えい事実が公表されることは稀だが、2012年の経済産業省調査(※3)によると、約3000社の調査対象企業のうち、人を通じた情報漏えいが明らかにあったとする企業が6.6%、情報流出があったと推定する企業が6.9%あった。中途退職者を介した漏えいが5割を超えており、退職後も削除されなかったシステム利用権限の悪用がその中には含まれるものと推定される。

図:情報漏えいインシデント概要データ(2016年)

漏えい人数 1,396万5,227人
インシデント件数 468件
想定損害賠償額 2,788億7,979万円
一件当たりの漏えい人数(※1) 3万1,453人
一件当たりの平均想定損害賠償額(※1) 6億2,811万円
一人当たりの平均想定損害賠償額(※2) 3万1,646円

情報漏えいインシデントの原因比率(件数)(2016年)

内部要因 件数
管理ミス 159
誤操作 73
紛失・置き忘れ 61
不正な情報持ち出し 32
設定ミス 22
内部犯罪・内部不正行為 4
目的外使用 2
外部要因/その他 件数
不正アクセス 68
盗難 25
バグ・セキュリティホール 8
ワーム・ウイルス 5
その他 9

情報漏えいインシデントの原因比率(人数)(2016年)

(出展:JNSA「2016年 情報セキュリティインシデントに関する調査報告書 個人情報漏えい編」)

  • 1 JNSA(特定非営利活動法人 日本ネットワークセキュリティ協会)
     「2016年 情報セキュリティインシデントに関する調査報告書 個人情報漏えい編」より。
  • 2 「2014年 情報セキュリティインシデントに関する調査報告書 個人情報漏えい編」より。
  • 3 経済産業省「人材を通じた技術流出に関する調査研究(2012年)」より。

サイバー攻撃と内部不正を食い止める対策は?

標的型攻撃をはじめとするサイバー攻撃と、内部関係者による内部不正やミスへの対策が急務であることは明らかだ。しかしコスト面と技術面で対策導入には困難が伴う。
サイバー攻撃対策として大企業ではゲートウェイにファイアウォール、IPS/IDS、アンチウイルス、WAF、メール/Webフィルタリング、サンドボックス、アンチウイルスなどの各ツールを導入し多層防御を図るケースが多いが、数千万円と言われるような投資を行っても、巧妙な攻撃を完璧には防げていないのが現実だ。近年のセキュリティ対策は、むしろマルウェアが社内システムに侵入することを前提に、早期の攻撃発見、対応、事後対応の体制作りの方に対策の重点がシフトしてきている。
内部不正の対策としてはセキュリティポリシーとシステム利用規程の遵守が何よりも大事。かつてはUSBメモリの使用制限などの強制的手段がよく取られたが、PCの持出し、インターネットの恣意的な利用などが放置されている状況では効果は限定的。こちらは利用者と管理者のアクセス権限の詳細な設定と管理を行い、適時にアクセス状況の監査を行うことで不正の早期発見できる体制作りがトレンドになった。

サーバーのアクセスログ管理がサイバー攻撃と内部不正の防波堤に

サイバー攻撃と内部不正に共通する要因は、突き詰めればITシステム内のファイルの閲覧やコピーである。重要情報が集中して保管されているのはファイルサーバーやデータベースだ。それらへのアクセスを監視し、異常操作を発見できれば情報漏えいの未然防止、あるいは被害の最小化が可能になる。サーバーアクセスログ管理ツールの主な役割はここにある。下図で画面を紹介するNetwrix Auditorはその1つ。これを導入すると、監視対象サーバーへのアクセス、保管されているファイルへのアクセスの状況が克明に記録される。一般にアクセスログは膨大な量にのぼり、高度な専門スキルを持つ技術者による分析が不可欠だが、Netwrix Auditorは「いつ、誰が、どのファイルにアクセスし、どんな行動をしたか」を、誰にでも理解できる形で可視化してくれる(図)。

図:Netwrix Auditorのトップ画面
図:ファイルサーバーへのアクセス状況の可視化

また、攻撃者はより高レベルの管理者権限を取得することを目指す。アクセス権限を管理するディレクトリサーバーは攻撃者の最初の攻略目標になりがちだ。Netwrix Auditorは異常頻度でのアクセス、ありえない時刻のログイン、異常なログイン失敗回数など怪しい動きを検知し、状況を一目瞭然に表示、レポート化してくれる(図)。

図:失敗したログイン状況の可視化
図:特権ユーザーのログイン状況の可視化

またシステム管理者が持つ特権ユーザー権限の悪用を防ぐために、権限の付与状況をリストアップし、個々のアクセス状況をデータとして記録するだけでなく、操作の動画記録・再生を行うことにより、操作の全容把握を可能にしている(図)。

図:特権ユーザーの操作動画の記録・再生機能

加えて、定期レポートばかりでなく、設定したしきい値に基づく異常アクセスのアラート発報機能(各監視対象へのエージェント導入が必要)も備えている。昨今猛威を振るうランサムウェアも、その活動を捉えた時点での発報により、被害を最小に抑えることができる。

ROIを最大化するクラウド/オンプレミスのハイブリッドI T環境対応製品

統合ログ管理製品は高コスト、PCログ管理製品は運用管理負荷がネックになり、導入に踏み切れない企業は多い。しかし台数が限定的なサーバーの監視ツールなら導入・運用の敷居は低い。しかも従来のサーバー監視製品の多くはサーバー毎にライセンスコストがかかるが、Netwrix Auditorはユーザー単位の料金体系で、サーバーが何台あろうとユーザー数で価格が決まる。これはユーザー数が比較的少ない企業には大きな利点になろう。またAWSなどのクラウド上のサーバーも監視対象として統合管理が可能なところも、これからますます増加が見込まれるオンプレミス/クラウドのハイブリッドIT環境に好適な特徴である(図)。

図:オンプレミス/クラウドのハイブリッドIT環境を統合管理

ISMS、PCI DSS取得・運用のためにはアクセスログ監視は不可欠要素

なお、国際セキュリティ標準としてISMS(情報セキュリティマネジメントシステム。ISO/IEC27001)認証と、クレジット業界の国際標準PCI DSS(Payment Card Industry Data Security Standard)の認証取得企業が、大企業ばかりでなく中堅・中小企業にも増えている。取引先や協力企業に準拠を求められることも多くなった。どちらの認証も定期監査は必須。
Netwrix Auditorには、ISMSやPCI DSSの監査に対応したレポート出力機能(図)が備えられており、監査対応に時間と労力をかけずに済む。認証取得後の運用に不安を感じる企業には、こうしたツールの導入に一考の価値がある。

図:各種監査に対応するレポートが簡単に出力可能

以上、最近のセキュリティ脅威の状況と、それに対応する新しい対策の方法について解説した。サーバーアクセスログ管理ツールが唯一の解答ではないが、最適ROIでセキュリティとコンプライアンス強化を実現し、ITガバナンスを効かせて情報漏えい防止を果たす企業の有力な選択肢となることは間違いない。

ホワイトペーパーをご提供しています<無料>

各種サーバーの変更ログをエージェントレスで収集・一元管理し、さらに容易にレポートを自動生成することで、企業のコンプライアンスを見える化し、企業の“安心”を構築できるITシステム変更管理ソフトウェアが「Netwrix Auditor(ネットリックスオーディター」です。

※本ホワイトペーパーは資料請求にて無料でダウンロードできます。

お問い合わせ・資料請求