セキュリティログの分析に力を入れるジャパンネット銀行
ジャパンネット銀行では現在、各種セキュリティ対策施策の一環としてCSIRTの活動にも力を入れており、日本CSIRT協議会に加盟するほか、金融機関が集まってサイバー攻撃に関する情報共有を行う業界団体「金融ISAC」でも積極的に活動している。岩本氏自身も運営委員を務めるほか、不正送金対策ワーキンググループの座長としての活動にも従事している。(参考記事:なぜジャパンネット銀行はセキュリティ対策ノウハウを惜しみなく披露するのか?)
そんな同社では数年前より、セキュリティログの内容を分析する活動に力を入れているという。
「弊社は社員300人程度の小さな所帯ですが、それでもさまざまな工夫を凝らすことで、外部に頼ることなく自分たちだけで一定レベルのセキュリティログ分析を行っています。ログ分析の内製を検討する上では、まずは分析の対象とするシステムや攻撃種類を特定し、現状のログ取得状況を可視化した上で、具体的にどのログを取得・分析するか優先順位付けを行うことが重要です」
ジャパンネット銀行 IT統括部 サイバーセキュリティ対策室長 岩本俊二氏
同社では2015年から、まずは第一段階として社内OAシステムのファイアウォールおよびプロキシのログを検索する仕組みの導入から始め、その有効性を確認してから徐々に対象システムをインターネットバンキングの勘定系システムへと拡大し、またログの利用法も単純な検索から集計・分析、さらにはモニタリングへと段階的に拡大してきた。現在では、社内OAシステムとインターネットバンキングシステム双方のログをSplunkサーバへ集約し、日々さまざまな角度から分析を行っているという。
出所:ジャパンネット銀行 岩本俊二氏、Security Online Day(主催:翔泳社)講演資料より
[クリックすると図が拡大します]
