APT10に見る解析に必要なログ保存期間

経団連が被害を受けた不正アクセス事件に米司法省が中国人ハッカー集団APT10の関与が疑われている。APT10に関しては、BAEシステムズ、PwCが英国立サイバーセキュリティーセンターと協力してまとめた調査しており、詳細は以下から入手できる。

 

BAE Systemsのリサーチ・ブログ

https://baesystemsai.blogspot.com/2017/04/apt10-operation-cloud-hopper_3.html

 

FireEye社による技術解説

https://www.fireeye.jp/company/press-releases/2017/apt10-menupass-group.html

 

 

きっかけは14年7月に外部から届いたメールを開いた職員のパソコンがウイルスに感染。それから2年以上にわたり、パソコンやサーバーに感染を広げながら潜伏していたとのことだが、情報漏洩の特定には至っていないとのこと。

 

サイバーセキュリティのインシデント解析にはログが必須となるが、では、①どのようなログを取得し、②どの程度の期間保管する必要があるのかというのが主要な論点となる。

①は、脅威モデルを作成したうえで、想定される攻撃経路上に設置される機器の目的を踏まえて定義する必要があるが、機器による差異もあり、具体的な定義は難しい。ただ、闇雲にあるいは、デフォルトの設定のままでは十分とならないため、NISTが発行するSP800シリーズの該当文書を参考にするとよい。

SP800-92 コンピュータセキュリティログ管理ガイド

(IPAのホームページで日本語訳版が公表されている)


では、②はどうか。

  • 保存期間は明確に決められていないが、90日とする場合が多い。

 (例)犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案により通信履歴の電磁的記録の保全要請の制度が新設

  • 内閣サイバーセキュリティセンター(NISC)は、平成24年にログ保存期間として1年以上を推奨している。
  • PCIDSS (Payment Card Industry Data Security Standard) では、即時にアクセスできるオンラ インに保存で 3 か月間、オフライン保存で 1 年間を監査証跡の履歴保持に関する要件 (10.7) と している。

色々な考え方が提示されているものの、明確な数字はないようだ。ではどう考えるか?一つは、平均的な攻撃発覚までの期間は遡って調査が出来るようにするというもの。

  • Mandiant社の「APT1」のレポートによれば、標的型攻撃は平均で1年程度、最長では4年10 ヶ月継続している。
  • 独立行政法人情報処理推進機構 (IPA) は、標的型攻撃メールが 9 組織に対して 31 ヶ月間に渡 り送られる攻撃を確認したと平成 27 年に報告している。 

APT10では2年以上に渡って潜伏、感染拡大されていたことを考えると、90日や1年ではどうやら心もとない。一方で、ログ保存期間が延びる、対象ログ項目が増えるとなると、ログ保管用のストレージ容量増加、アーカイブや、大量ログの一元管理ツール、相関分析ツール(SIEM)といったものがないとログを溜め込むだけとなり、解析や早期検知に活かすことは出来ないが、追加投資も必要となり投資効果の説明を要求されるジレンマに陥る。

 

定期的にまとめて分析をするというのではなく、リアルタイムに近い分析、検知をできるほうが現実的には効果も高く、組織にその運用が定着すると考えられる。ただ、リアルタイムに分析できる体制を作るのが人材面でそもそも大変なのであり、そうなると外部の力(Managed Security Service)を使うというのが当面の現実解になるのではないだろうか。

ただ、これは自組織に脅威がある、その脅威に対応する必要があると認識できた場合。多くの組織ではそれをしないため、結局投資もされない。実はこの場合がセキュリティ投資としては最強となる。(投資対効果の分母が0となるため)。セキュリティ担当としては、如何に脅威の合意形成が経営層から利用者まで一貫したものとして出来るか?ということになり、ベンチマーク、同業他社の取り組み、事例・判例を駆使することになる。

本来は、自組織の何をどういう脅威から守るかを入り口にすべきだが、残念ながら横並び意識のほうが現実的には勝ってしまっているのが日本のお寒いセキュリティの実態ではないだろうか。

 

データアーキテクチャ策定

昨今、データを活用した新たなビジネス、商品、サービスの開発、顧客接点強化によるクロスセル、アップセルの実現のため、データ基盤の整備の支援を依頼されることが多い。これまではData Lake(構造化データ、非構造化データを物理的に一箇所に集約する大きな入れ物)にデータを集め、そこで必要なデータ分析、活用を進めるというのが基本セオリー、アーキテクチャとされていた。

しかしながら、何のためにデータ分析・活用をするのか、そのためにどんなデータ項目が必要となるのかの前段の検討が不十分なまま、なんでも出来そうな(出来るわけではない)箱をシステムとしては用意するものの結局使えない、集めたデータの項目定義、精度にバラツキがありそのまま使ってもデータ分析、活用として有効性が低いといった事例も多い。

本来は、IT部門とユーザ部門が一体となった組織(仮想的に集約した組織でも問題なし)で、ユースケース、データ活用戦略、データアーキテクチャ、データ定義、基盤の実装と進められるのが理想、いや、古い進め方である。組織として一体となって推進する必要性は変わらないものの、ユースケースときっちり決めようとすると、この状況では”鶏が先か、卵が先か”の論争になってしまい、プロジェクトが立ち上がらなくなってしまう。

これを避けるためには、

1.データ活用の目的、対象範囲は、関係者で合意形成を図る(仮説とするなら、仮説であることを前提に合意する)

2.既存データのカタログ化を最小工数で進め、今あるデータ資産が何かを明らかにする(データレポジトリがなければ可能な限りツールで自動化する方法を導入)

3.1.と2.を踏まえ、データアーキテクチャをスコープを決めて具体化し、その妥当性を仮説→検証を繰り返す

 

これまで、データ戦略、データアーキテクチャはウォーター・フォール型で工程毎にきっちり決めて進めることを基本としていたが、結局ビジネスの変動性に合わせられる推進方法に変えて行くことが求めれる点がポイント。目的、要求される精度、スピードに合った方法論、失敗の許容度の3つが整合しないとチグハグなものが出来上がったり、PoCまでは総論賛成で進められるもの、いざ全社展開となると急にブレーキが掛かってしまうといったことになる。

全体を目的に照らして俯瞰しながら進めるって、本当に難しい。

情報処理安全確保支援士合格発表

2018年10月に実施したIPAの情報処理技術者試験の結果が発表となった。

その中でも、セキュリティ対策の技能や知識を備えた人材を確保する目的で設けられた名称独占の国家資格である情報処理安全確保支援士制度(RISS)は、2818人が合格(合格率は18.5%)

 

情報処理安全確保支援士は春、秋の2回実施しており、年間で約5,000名の合格者を排出しているが、受験者数は減少傾向。

 

 29年春:25,138名

 29年秋:23,452名

 30年春:23,180名

 30年秋:23,447名

(IPA発表資料より作成)

 

セキュリティ人材の不足が叫ばれる中、応募者が減少していることが気掛かり。国は2020年までに3万人の支援士登録を目指しているが、2018年10月時点で17,360名。この内、支援士試験の合格者(2017年春、秋、2018年春の3回)は2,268名。2018年秋、2019年春、秋の3回でも同様の登録者数と仮定すると合計は約2万人が現実的なところか。

3万人の妥当性はさておき、これだけセキュリティの重要性が叫ばれるなか支援士のニーズ(=受験者)が伸びないのはこの資格の本質的な価値が市場と乖離している可能性を示唆しているのではないだろうか。