セキュリティマイスターコラム 第12回

初心者でもわかる!セキュリティアナリストの解析現場
第二回「情報収集と分析」

サイバー攻撃による脅威が増加している中、セキュリティアナリストは日々サイバー攻撃の解析業務を行なっています。本コラムでは、数回にわたり様々な解析現場をわかりやすく紹介していきます。第二回は、「情報」についてです。セキュリティアナリストは、日々様々な脅威に関しての情報を認知、理解し、インシデントレスポンスや対策に活用しています。

情報は分析して活用する

セキュリティに関する情報といった場合、皆さんはどのような情報を思い浮かべるでしょうか?
関わっている業務やミッションによって、その情報の種類は異なるかもしれません。普段からサイバー攻撃に対するインシデント解析業務に関わっている私が思い浮かべる情報は以下のようなものがあります。

  • マルウェア情報
    サイバー攻撃に使用されるマルウェアの情報。アンチウィルスでの検知名、挙動、通信するC&Cサーバ(攻撃者がマルウェアに指令を送信するためのサーバ)* などの情報。
  • セキュリティインシデント情報
    実際に発生したセキュリティインシデントに関する侵入方法や被害情報など。
  • 脆弱性情報
    コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となっているセキュリティ上の欠陥に関する情報。
  • 攻撃キャンペーン情報
    攻撃者がある目的のために、戦略をもって一定期間持続して行われる一連の攻撃の集合を攻撃キャンペーンと呼んでおり、このような攻撃キャンペーンに関する情報。
  • セキュリティ対策関連の情報
    セキュリティ対策に関するガイドラインや考え方、セキュリティ製品、サービス等に関する情報

例えば、「A株式会社でサイバー攻撃によって××××件の個人情報漏洩が発生」といったようなセキュリティインシデントに関する情報を、我々はインターネットやニュースなどで容易に入手することができます。しかしセキュリティの現場で活用できる情報にするには、もう一歩踏み込んで、関連情報の収集、収集した情報の整理・分析をおこなうことが必要です。

  • C&Cサーバ
    コマンド・アンド・コントロールサーバ。攻撃者がマルウェアに対し攻撃の指令を送るサーバ。

セキュリティアナリストが実践する情報収集・分析プロセス

我々が現場で実践している情報収集と分析のプロセスについて、少しご紹介しましょう。

①定期的な情報収集

まずは情報を日々収集することから始まります。主に、インターネット上の著名なニュースサイトやセキュリティベンダのサイト、セキュリティ業界の著名な人のSNSなども収集先とすることがあります。また、連携している組織間での情報共有もあります。信頼性のある情報ソースであることが重要です。

②収集した情報の理解

収集した情報に関して、その本質や重要性を正しく理解することが必要です。最近では、情報漏洩などのセキュリティインシデントにあった組織が、その経緯等の詳細情報を公開するケースもあります。また、海外サイトの情報も対象になるため、英語や中国語、ロシア語といった様々な言語の情報を理解する必要があります。場合により、翻訳ツールなども活用しながら行います。

③関連情報の調査

対象としている情報の関連情報を収集・調査します。関連情報は、対象としている情報の前提の情報、理解を深める情報、足りていない部分を埋めてくれる情報であったりします。このようにして、ひとつの情報ソースからでは理解できない、足りていない部分を関連情報と組み合わせることで、正確かつ十分な情報に組み立てます。

④調査した情報を分析し、活用

関連情報を調査し、正確かつ十分な情報となったら、情報を整理・分析した上で活用します。

例えば、情報漏洩に関するセキュリティインシデント情報であれば、漏洩にいたる原因、攻撃方法、対策などを整理した情報にすることで、自組織が同様の攻撃に耐えられるかどうかの検査や、今後の対策検討に役立てます。

また、IOC(Indicator Of Compromise)と呼ばれる情報を活用すると、同様の攻撃に自組織が既にあっていないかどうかを確認することができます。IOCは攻撃の痕跡を表す情報で、攻撃者が使用するマルウェアのファイル名や、C&C サーバのIPアドレスなどが含まれます。IOCを使い、自組織のネットワークログやクライアントログを検査することで同様の攻撃の痕跡がないかを洗い出し、安全を確認します。

サイバー攻撃は、日々その攻撃方法や技術がめまぐるしく移り変わっていく世界です。現時点、適用している対策で守られていたとしても、近い将来も守られるとは限りません。そのため、世の中ではどのような攻撃が行われているか、その攻撃方法はどう変化しているか、最新の対策技術は何か、といったような様々な情報を収集、分析することが、迅速なインシデントレスポンスやサイバー攻撃リスク軽減のキーとなります。

セキュリティアナリストレポートの例

[図]

2018年7月30日

富士通株式会社
大迫 剛史
[ハイマスター領域]コンピュータウィザード

高度な分析を実施する分析ラボ(A3L:エーキューブラボ)を2015年に立上げて、同ラボにてセキュリティインシデント対応やマルウェア解析に従事している。近年は、Cyber Threat Intelligence(サイバー脅威情報)に関する技術推進にも従事しており、OSINT分析を活用したサイバー脅威情報に関する分析も実施中。

セキュリティマイスター紹介ページ

[写真]

「サイバーセキュリティ」に関するお問い合わせ・ご相談

Webでのお問い合わせ

お電話でのお問い合わせ

ページの先頭へ