サイバーセキュリティ経営ガイドラインはこうやって実践せよ！S&J 上原孝之氏が解説

１．ネットワーク分離

　主眼は重要業務を行う端末やネットワークを分離することになる。多層防御措置とも言える。しかし、この前にやっておくべきことがある。防御対象を特定してリスクを把握しておくということ。全体像からリスクを把握しておかないと的確にネットワークを分離することができないからだ。 　

　前段階となる防御対象の特定とリスクの把握をするには、組織が持つシステムの出入口を全て洗い出したネットワーク図を作成するところがスタートとなる。そこから守るべき情報資産がどこのサーバーや端末に保存されているかをマッピングして特定していく。そしてこれらのサーバーや端末が緊急時にネットワークから速やかに切り離しが可能かどうか、切り離す手順を確認する。 　

　あとは実際に切り離すための措置を行う。重要な業務を行うネットワークや端末をスイッチやネットワーク機器で分離できるようにする。重要な情報を保存しているサーバーはネットワークを分離するだけではなくファイアウォールを設置し、データには暗号化、アクセス制限、アクセスログの収集ができるようにする。システム管理端末は専用端末とし、ネットワークセグメントを分離して防護しておく。 　

　業務で分けるなら、例えば個人情報を扱う業務のネットワークは通常のインターネットに接続するネットワークから分離するなどする。仮想ブラウザや仮想メールクライアントを用いる方法もある。ユーザーは専用VDIクライアントでWeb閲覧やメール送受信を行い、インターネットへの直接の接続を極力避けるようにする。業務上VDIを導入できない部門や個人に対しては、そのセグメントとイントラネットの間にファイアウォールで制御する。

２．ログ収集・分析

　ログの収集と分析については収集する対象と保存期間も重要になる。ファイアウォールやプロキシサーバーにある自組織から外部に出て行く通信ログだけではなく、サーバーや端末の操作ログ、認証サーバーのアクセスログも収集する必要がある。標的型攻撃だと、攻撃を受けてから検知まで半年から1年近くかかる場合もあるため、ログの保存期間は最低でも半年以上、できれば1年以上が望ましいとされる。検知した時点で「攻撃時のログはすでに廃棄ずみ」では詳しい分析ができなくなってしまう。 　

　ログは収集したら分析も必要だ。ログの分析は高度な技術やノウハウが必要になるため、専門のベンダーなどに依頼して定期的に結果を共有することが多い。外部委託という意味ではインシデント対応など緊急時も想定して、自社でできることと他社に任せることを整理しておき、予算も確保しておく必要がある。 　

　ログなどから得た情報は共有することも大事だ。普段から情報共有活動に参加したり、公的機関から提供される情報を収集しておくことも有益だ。 　

　実際にインシデントが生じると、通信ログなどから感染端末や原因となるマルウェアなどを特定していく。認証サーバーのログからは攻撃をうけていないか、管理者アカウントが不正利用されていないかなどを確認する。こうしたログは原因特定だけではなく証拠保全としても重要になる。 　

　もしログ分析システムを導入するなら、主な流れは下図の通り。脅威シナリオごとに対象ログを整理するというところは、例えば「外部からのメールによるマルウェア侵入/感染」なら対象ログはメールのアンチウイルス、メールのサンドボックス、メールサーバー、アンチウイルス管理サーバーなどになる。

　ログを収集したサーバーは閉じたネットワークに配置するなど、保護も忘れてはならない。肝心のログが削除または改ざんされてしまっていたら正確な分析ができなくなる。統合ログ分析システムと連携したEDR（Endpoint Detection and Response）ツールがあると、各種ログを総合的に監視して一定のリスクスコアを超えると管理者にアラートをあげたり、任意のプロセスを停止するなどの対応がとれるようになる。