マイナビニュースマイナビ

サイバー攻撃には共同で立ち向かえ! ジャパンネット銀行が取り組むCSIRT活動

[2017/09/15 07:00]齋藤公二 ブックマーク ブックマーク

自前で行うログ解析、そのポイントは?

ジャパンネット銀行では、ログ解析も自前で行っている。JNB-CSIRTの活動のうちの1つで、セキュリティ機器から出力されるログを「Splunk」で分析する。「CSIRT自らがレポートを作成し、ログ解析を実施することで、スキルも向上します。インシデントハンドリングやセキュリティ意識の啓蒙活動、インシデント演習、セキュリティ人材育成などもJNB-CSIRTの業務ですが、これらに生かしています」(二宮氏)という。

ログは、ファイアウォールの通信成功/失敗ログ、Palo Altoのトラフィックログ、プロキシのアクセスログ/フィルタログ、ADのログオン成功/失敗ログ、Webサーバ(Akamai)のアクセスログ、Webサーバ(Akamai Cloud Monitor)のリクエストヘッダ/レスポンスヘッダ、IPアドレスGeo情報、勘定系データベースの取引ログなど。1日当たり15.5GBという容量で、これらを相関分析して不正検知につなげている。

「当初は社内OA環境のファイアウォールログを対象に単純なキーワード検索だけを行っていました。ツールに慣れ、取り込むログの種類が増えるにつれ、用途が拡大し、解析手法も高度化していきました。いまでは、不正送金対策やなりすましログイン対策に効果を発揮しています。メンバーのスキルも次第に向上していき、いつのまにか社内SOCが誕生していたという実感です」(二宮氏)

ログ解析のポイントとして、氏はまず「レポートを毎日30分くらいは見ること」を挙げた。平常時の状態を頭に入れておくことで、以上に気づきやすくなるという。また、レポートやアラートは日々改善することが重要だ。検知精度を上げ、誤検知を減らすことはもちろん、さまざまな観点を検討することでメンバーのスキル向上につながりやすいという。さらに、精度・鮮度の高いインジケータとぶつけることもポイントだ。例えば、他社で不正が行われたIPアドレスやUser Agentなどは自社でも使われていないかすぐチェックしてみるといいという。

最後に二宮氏は、「セキュリティは非競争領域です。積極的に情報を発信し、交換することで、コミュニティ全体でセキュリティレベルを向上させることができます。サイバー攻撃に対して、共同で戦っていくという姿勢が大切です」と述べ、講演を締めくくった。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

成長の裏にネットインフラの進化アリ! そして「Software Defined XX」へ

成長の裏にネットインフラの進化アリ! そして「Software Defined XX」へ

パロアルトネットワークスは9月12日、都内で「Palo Alto Networks Day 2017」を開催した。午前中のジェネラルセッションには、リクルートテクノロジーズ ITソリューション統括部の保科弘氏が登壇。「今の答えはマルチクラウド。柔軟性でビジネススピードを支えるリクルートテクノロジーズが掲げるIT戦略について」と題して、リクルートテクノロジーズ…

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る