本講義における「セキュリティ監視」の定義
<aside>
✅ 組織内で発生するセキュリティ上の問題を、継続的に分析・検知・調査をすること
</aside>
- 「セキュリティ上の問題」
- 脆弱性
- 利用している3rd partyソフトウェアの脆弱性
- 開発しているソフトウェアの脆弱性
- 利用しているシステムの脆弱な利用
- インシデント
- 外部の悪意ある第三者による攻撃(優先度低)
- 外部の悪意ある第三者による侵入
- 内部の悪意ある人による攻撃
- 内部の悪意のない人によるミス
- 「継続的に」
- 監査のように長い周期かつ稀に実施する方法では、問題発生から検知・対応までの時間がかかりすぎてしまう
- 短い周期で検知し、早急に対応できるようにすることで影響を極小化する
<aside>
💡 「セキュリティ監視」も広義の「監視」に含まれますが、広義の「監視」はよりSRE的な文脈が強くあらわれます。着眼点も可用性やパフォーマンスといったものがより中心的になっています。(参考文献:入門監視 2019 Mike Julian 著、松浦 隼人 訳 )
</aside>
セキュリティ監視が必要な理由
最近の脅威トレンド
- サプライチェーン攻撃
- 境界の突破
- 影響の大きい脆弱性
多層防御とセキュリティ監視
- どのような防御も突破される前提で考える
- 2層以上の対策を用意しておくことで、1層が突破・無効化されても時間を稼げる
- ただし突破された後、放置していると多層化していても影響がでうる
- 突破・無効化されたことを迅速に検知し、対応につなげてこそ有効
- そのため継続的な監視によって組織内の異常を検出する必要がある
防御対象(人、システム)の負担が少ない
- 防止系のセキュリティ対策は制限をかけることである
- 制限が大きいほどユーザビリティが損なわれる
- システムの機能が制限され開発などが困難になる
- 監視は直接的な干渉が少ない
- ユーザビリティに影響を与えにくい
- 後から追跡可能にすることで許容できるリスクもある
コンプライアンスや規制への対応
- NIST 800-53 (連邦情報システムおよび組織に対する推奨セキュリティコントロールのセット)