目的設定における分析事象・観点の具体例

第3章では、情報システムにおけるログ取得・分析の目的を検討する際の基本的な考え方を概説した。

本章では、これを踏まえ、システムの特性に応じた脅威の洗い出し方法を解説するとともに、代表的な政府情報システムを例に、想定される脅威とそれに対応した分析事象・観点の具体例を示す。

脅威分析

脅威分析にあたっては、まずシステム特性の整理が前提となる。これらを整理した上で、当該システムに対して想定される脅威の特定に関しては、国際的に広く認知された分析手法が存在する。代表的なものとしては、脅威を6つの類型(Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege)に分類する STRIDE モデルや、攻撃者の戦術・技術・手順(Tactics, Techniques, and Procedures = TTPs)を体系的に整理した MITRE ATT&CK フレームワークが挙げられる。これらの枠組みに則り、体系的に脅威を列挙することは有効なアプローチの一つである。

また、国内においては、デジタル庁が策定した「政府情報システムにおけるセキュリティリスク分析ガイドライン」[^3]を参照することを推奨したい。特に、同ガイドライン第3.3節「システム・プロファイルの作成」は、対象システムの特性を整理し、脅威の抽出を体系的に行う上で有益である。

システム管理者は、こうした手法を用いて、自らが管理する情報システムにおいて想定される脅威を洗い出し、それらの脅威の特徴を踏まえ、ログ分析を通じて検知する方法を検討することが要求される。なお、本書では、いくつかの代表的な政府情報システムの類型(4.4にて解説)を例に取り、各類型において想定される脅威及びその特徴を整理するとともに、それらを検知するために必要となるログの取得要件及び分析要件を提示する。

想定される脅威

ログ取得・分析の目的を設定するにあたっては、まずログ分析を通じて検知すべき事象を明確に定義することが不可欠である。検知すべき事象が適切に定義されない場合、最適な分析手法を採用できず、結果として検知精度の低下を招く可能性がある。

本書では、ログ取得・分析の主たる目的を「脅威及びその兆候を発見すること」と位置付け、検知すべき事象を定義するための前段の整理として、独立行政法人情報処理推進機構(IPA)が公表する組織を対象とした「10大脅威」を参照し、政府情報システムに対して代表的に想定される脅威を整理し、代表的な脅威の一例として取り上げる。以下に示す整理は、以降のログ取得・分析目的の検討に資する基礎的な枠組みとして位置付けられる。

表 4-1 本書で扱う代表的な脅威

検知に必要なログ及び分析観点

前節で整理した脅威を適切に検知するためには、各脅威及びその兆候を判別するための「特徴」と、その特徴を識別するために必要な「情報」を事前に明確化しておくことが不可欠である。本書においては、この「特徴」を検知すべき事象として定義する。

例えば、「同一のIPアドレスから多数のアカウントに対して不正な認証試行が行われている」という特徴を検知する場合、最低限以下の情報を含む認証ログが必要となる。

  • 認証試行が行われた日時

  • 認証試行を行ったクライアントの接続元IPアドレス

  • 認証試行が行われたアカウントの識別子(アカウント名、メールアドレス、ID等)

  • 認証の成否

このように、各脅威や被害の検知に必要な情報を体系的に整理することにより、対象システムにおいて「どの部位から、どのようなログを取得すべきか」及び「取得したログをどのような観点で分析すべきか」を明確にすることができる。これにより、効率的かつ効果的なログ分析体制の構築が可能となり、システム全体のセキュリティ強化に資することが期待される。

以下に、代表的な政府情報システムの構成例を基に、各脅威の「特徴」と検知に必要な「情報」を示す。以下の図4-1は、デジタル庁GCASガイド[^4]にて公開されている「電子申請・審査システム」のリファレンスアーキテクチャを簡略化し、ログの流れを追加したものである。なお、本書では、クラウド環境上で稼働するシステムにおけるログ分析に焦点を当て、職員や利用者が使用するクライアント端末等エンドポイントに関するログ分析については、高度な専門性を要することから対象外とする。

代表的な脅威詳細と分析観点

不正アクセス

一般に、不特定多数に向けて認証機能が公開されているシステムにおいては、正規の認証を回避して、通常は認証済みユーザのみが利用できる機能や情報へ不正にアクセスしようとする脅威が想定される。具体的な攻撃手法としては、不正に取得した認証情報の悪用や、ブルートフォース攻撃やパスワードリスト型攻撃といった手法に加え、アプリケーションのロジックに起因する脆弱性(例えば、認証認可の不備や入力検証の欠如)を悪用する手法が挙げられる。

こうした不正アクセスが成功した場合、攻撃者は管理者権限等の強い権限を取得し得るおそれがあり、それを契機としてシステムやウェブサイトの改ざん、未公開情報の不正取得、さらには二次的な攻撃の踏み台化といった深刻な被害へ発展する可能性がある。

認証に起因する攻撃に対しては、安全なパスワードの必須化、多要素認証の導入、パスキーに代表されるパスワードレス認証への移行、IPアドレス制限、ボット対策ソリューション等の予防的対策が望ましい。他方、これらの対策により完全には予防できない事象については、ログ分析を通じた検知的対策により補完する必要がある。具体的には、以下のような攻撃の特徴を踏まえ、認証試行ログを継続的に収集・分析することにより、攻撃を検知することが期待される。

特徴
  • 特定の接続元(IPアドレス)から短時間に大量の認証試行が行われる
  • 単純なブルートフォースやパスワードリスト型攻撃がこれに該当する場合がある。

  • 短時間ではないものの、特定の接続元(IPアドレス)から大量に認証試行が行われており、認証の成功率が低い

    • 洗練されたブルートフォース攻撃やパスワードリスト型攻撃の中には、短時間で大量の認証試行を行うことで検知されることを避けるため、あえて試行間隔を長く取り、低頻度で長期間にわたって継続的に認証試行を行う手法(いわゆる「Low and Slow」攻撃)が存在する。こうした攻撃では、「1つのIPアドレスから1分間で1,000回認証試行があった」といった短時間における異常な試行パターンは観測されない一方で、例えば「1つのIPアドレスから1週間にわたって1,000アカウントを対象とする合計2,000回の認証試行が行われ、成功率が0.1%であった」といった、長期間・広範囲にわたる累積的なパターンが検出され得る。したがって、これらを把握・検知するためには、短時間の閾値による単純な監視のみならず、広範囲のログを長期にわたって集計・統計的に分析する手法が必要である。

  • 通常とは異なる地域からアクセスされている

    • 通常の利用が日本国内に限定されているにもかかわらず外国のIPアドレスからのアクセスが検出される場合、あるいは特定の職員が平常時に用いる接続元IPアドレスとは異なるIPアドレスからアクセスしている場合は、不正利用やアカウントの不正取得の疑いが生じ得る。また、短時間のうちに物理的に離れた複数の地点から同一アカウントへのアクセスが発生する事象(例:ある職員のアカウントに対して日本からのアクセスの10分後に他国からのアクセスが発生した場合)は、本人による正当な利用とは矛盾する挙動として注視すべきである。

  • 通常とは異なるリクエストパターンでアクセスされている

    • 攻撃者が認証機能やアプリケーションの脆弱性を悪用する際には、通常の利用とは異なるリクエストパターンによるアクセスが観測されることがある。具体例としては、通常の操作では送信されない不正なURLパス、想定外または異常なパラメータ値、あるいは許可されていないHTTPメソッドの使用等が挙げられる。

  • 権限のない操作が繰り返されている

    • クラウド環境において認証情報(アクセストークン等)を不正に取得した攻撃者は、取得した資格情報の有効性や権限範囲を確認するために、クラウド環境上の各種機能を呼び出したり、リソースの列挙やスキャンを行ったりする行動を取ることが多い。これに伴い、API呼び出しやサービス利用に関して大量の「アクセス拒否(アクセス失敗)」ログが生成される場合があり、こうしたログは攻撃の兆候として重要な検知の手がかりとなる。

  • 不自然な特権アカウントやアクセスキーの作成

    • クラウド環境に対する不正アクセスに成功した攻撃者は、アクセスを持続させる目的でバックドアを設置することがある。具体的には、新たなアカウントやアクセスキーを作成する、既存の権限をエスカレートする、永続的な認証情報やサービスアカウントを配置する等の手口が知られている。

こういった特徴をログ分析によって検出するためには、以下のような情報を含むログの取得、保存・保全が必要になる。

必要な情報

表4-2 不正アクセスの分析に必要な情報

これらを踏まえて、以下のようなログ分析が推奨される。

必要な分析

  • 一定の閾値を超えて、単一のIPアドレスから短時間に大量の認証試行が行われた場合に、それを検知してアラートを上げる

    • 例: 特定のIPアドレスから5分間に1000回を超える認証試行が行われた場合にアラートを上げる。また、そのIPアドレスから認証が成功したアカウントがあるか確認する。

  • 一定の閾値を超えて、長期に渡って大量かつ継続的な認証試行が行われているIPアドレスの検出

    • 例: 一定期間ごとに区切った分析で、他のIPアドレスと比較して群を抜いて多くの認証試行を行っており、また、その成功率が低いIPアドレスを検出する。

  • 通常とは異なる地理的あるいはネットワーク的特徴を持つIPアドレスからの認証成功の検知

    • 例: 複数のIPアドレスからアクセスしている職員を列挙し、そのIPアドレスから割り出された接続元地域を確認する。通常時日本からアクセスしているにも関わらず、海外からもアクセスしている等の不審なパターンが見られた場合、深掘りして調査する。

  • 通常とは異なる主体、権限でのアプリケーション、クラウドサービスの操作や通信

5W1Hに基づいた整理

以上の分析結果を、3.2で解説した5W1Hに基づいて整理すると、以下のようにまとめられることが望ましい。

表4-3 不正アクセスに関する分析の5W1Hによる整理

DoS攻撃

政府情報システムに対しては、悪意を有する個人のみならず、他国政府機関を含む多様な攻撃者が存在し得る。これらの攻撃者は、日本の政府情報システムを機能不全に陥れることにより、行政機関の業務に混乱を生じさせ、国民への情報提供を妨害して国民生活に支障を及ぼすほか、政府に対する国民の信頼を損なおうとする意図で攻撃を試みる場合がある。

また、DoS 攻撃が他の攻撃を隠蔽するための陽動手段として用いられるケースも存在する。すなわち、DoS 攻撃によって運用者やセキュリティチームの対応を誘導しつつ、その隙にシステムの別領域に対して攻撃を仕掛ける、または大量通信に紛れさせる形で侵入行為や情報窃取を試みる手法が確認されている。

この種の攻撃は、インターネット上で公開されるシステムの特性上、根本的な予防は困難である。しかし、WAF(Web Application Firewall)や DDoS 対策ソリューション等の防御機能を適切に導入・運用することにより、攻撃の影響を軽減することが求められる。さらに、予防が本質的に困難であることを踏まえ、攻撃発生時に迅速に異常を検知し、被害を最小限に抑え、事後の分析により攻撃手法を把握できる体制を整備することが重要である。このため、本書で示す特徴を踏まえ、ログ分析により攻撃を適時に検知し、適切に対応できる体制を構築することが求められる。

特徴

  • 平常時のトラフィックやアクセスパターンと比較し、通信量やアクセス回数、特定ポート/プロトコルへの通信が顕著に増加している。

  • 特定のIPアドレスから大量のトラフィックやアクセスが発生している。

  • サービスのレスポンスタイムが平常時よりも増加している。

こういった特徴をログ分析によって検出するためには、以下のような情報を含むログの取得、保存・保全が必要になる。

必要な情報

表4-4 DoS攻撃の分析に必要な情報

これらを踏まえて、以下のようなログ分析が推奨される。

必要な分析

  • 通常時のトラフィック量やアクセスパターンと比較し、顕著に増加した通信量やアクセス数を検出する。

  • HTTPアクセスログの分析により、特定のリクエストパターンや特定URLへの集中アクセスを識別する。

  • 外形監視の実施により、サーバのレスポンスタイムや可用性をメトリクスとして監視し、応答遅延やサービス停止を早期に把握する。

5W1Hに基づいた整理

以上の分析結果を、3.2で解説した5W1Hに基づいて整理すると、以下のようにまとめられることが望ましい。

表4-5 DoS攻撃に関する分析の5W1Hによる整理

内部不正による情報漏えい等

電子申請・審査システム、税務関連システム、人事・給与管理システム等、政府職員が情報管理業務を担うシステムにおいては、内部不正行為による情報漏えい及び不正な情報改ざんが、重要なリスクとして想定される。これらのシステムは、機微な個人情報や行政処理データを取り扱うため、内部関係者による不正行為が発生した場合の影響は極めて重大となる。

日本国内においても、内部不正行為に起因するセキュリティインシデントが複数確認されている。地方自治体では、職員が住民の個人情報を含む電子ファイルを不正に持ち出した事例が報告されているほか、民間企業においても、大量の個人情報を不正取得し、外部へ流出させた事例が確認されている。これらの事例はいずれも、組織内部における権限を有する者による行為であった点に特徴がある。

内部不正行為は、正規の職員による認証済みアクセスを経て実施されることが多いため、外部攻撃のように「アクセス元地域」や「大量のログイン試行」といった典型的な不審挙動から検出することは困難である。そのため、通常業務から逸脱したアクセスや操作パターンを把握し、異常行動として検知する仕組みの整備が求められる。

なお、一般に「内部不正」という用語は、情報の不正取得や持ち出し、改ざん、破壊、権限の不正利用、横領等、多岐にわたる行為を包含する。しかし、本書では内容を簡潔に示すため、対象を情報の不正取得、持ち出し、及び改ざんの一部に限定して取り扱う。

特徴

  • 職員が、通常の業務において必要のない広範な情報に対してアクセスやエクスポートを行っている。

    • 不審な規模で広範または大量の情報にアクセスやエクスポートを行っている場合、不正に情報を持ち出そうとしている可能性が危惧される。

  • 職員が、同一の個人情報や要機密情報を繰り返し参照している。

  • 職員が、不自然な曜日時間帯に個人情報や要機密情報の参照を行っている。

  • 権限が付与されていない操作で個人情報や要機密情報を取得しようとしている。

  • 職員が、通常とは異なる端末を使用してアクセスしている。

  • 異動や退職により職務を離れる予定、若しくは離れた職員が要機密情報にアクセスしている。

  • 対象システムから、特定のIPアドレスに対して大量のトラフィックが送信されている

    • 職員が不正な目的で大量のデータをダウンロードしている可能性が危惧される

  • 職員が、データベースに直接アクセスしてデータの取得や変更を行っている。

    • 通常、特殊なシステムメンテナンス以外でデータベースに直接アクセスしてデータの取得や変更を行う必要性が生じることは稀なため、不正なデータの持ち出しや変更を行っている可能性が危惧される。

  • 職員が、監査ログそのものに対して改ざんや削除を行っている。

    • 内部不正の証拠となる監査ログを隠滅しようとしている可能性が危惧される。

なお、これらの特徴に該当する行動が認められた場合であっても、正当な業務の一環として実施された可能性があるため、当該職員の役職や責務、並びに取得・変更された情報の性質を踏まえ、総合的に判断する必要がある点に留意すべきである。

こういった特徴をログ分析によって検出するためには、以下のような情報を含むログの取得、保存・保全が必要になる。

必要な情報

表4-6 内部不正(主に情報漏えい)の分析に必要な情報

これらを踏まえて、以下のようなログ分析が推奨される。

必要な分析

  • アクセスログや監査ログを分析し、組織の中で重要または機微と考えられるリソースについて、分析対象の期間中に取得、追加、変更、削除等の操作を行った職員を列挙し、それぞれの役職や当該期間中の担当業務と照らし合わせて不審点がないか点検する。

  • ネットワークフローログを分析し、対象システムから、特定のIPアドレスに対して大量のトラフィックが発生していないかを確認する。該当する通信が発見された場合、通信先を調査し、不審性がないか確認する。特定の職員に結びつくIPアドレスであった場合に、アクセスログや監査ログから、当該職員の行動を確認する。

  • データベースの監査ログを分析し、権限を持った職員が、データベースそのものに対して参照、変更、削除等の操作を行っていないことを確認する。

  • ログストレージの監査ログを分析し、権限を持った職員が、監査ログそのものに対して変更、削除等の操作を行っていないことを確認する。

5W1Hに基づいた整理

以上の分析結果を、3.2で解説した5W1Hに基づいて整理すると、以下のようにまとめられることが望ましい。

表4-7 内部不正(主に情報漏えい)に関する分析の5W1Hによる整理

マルウェア感染

インターネット上に公開された情報システムは、外部からの攻撃を受け、マルウェアに感染することにより、システム内部や組織内ネットワークへの侵入を許すおそれがある。このような攻撃は、多くの場合、任意コード実行を可能とする重大な脆弱性の悪用や、認証情報(例:アカウント情報、アクセスキー等)の漏えいを契機として発生する。

マルウェア感染による影響は多岐にわたる。感染したシステム上のデータを暗号化し、暗号化の解除に金銭を要求するランサムウェア攻撃は代表的なものであり、IPA10大脅威の組織向け脅威においては2021年以降5年連続で1位として挙げられている。その他にも、提供中のアプリケーション自体が改変され、利用者が入力した認証情報や個人情報等の機微情報を外部へ送信するように改ざんされる事例や、感染端末がボットネットの一部として組み込まれ、無関係な第三者システムへの攻撃に利用される、いわゆる「踏み台化」の事例も確認されている。

これらの攻撃による被害は、侵入直後に顕在化するとは限らない。高度な攻撃では、侵入後にバックドアを設置し、長期間にわたり潜伏した後に不正行為を実行するケースも存在する。このような攻撃を早期に把握するためには、システムの挙動を多角的に観測・記録し、ログを用いた包括的かつ継続的な分析を行うことが重要である。

従来、マルウェア対策として、静的解析に基づきマルウェアを自動的に検知・駆除する EPP(Endpoint Protection Platform)製品の導入が一般的である他、近年では、システム上のプロセスやネットワーク通信を包括的に監視し、不審な挙動を動的に検知・遮断する先進的な技術として、EDR(Endpoint Detection and Response)製品の利用が広く普及しつつある。クライアント端末及びサーバを含む情報システムの構築においては、これらの製品を導入することにより、不審な挙動の自動的な検知・遮断を実現することが望ましい。また、これらの製品が出力するログには、マルウェア感染事案や内部不正の調査に有用な情報が多く含まれるため、適切に保存し、必要に応じて利活用することが重要である。一方で、これらのログの分析には高度な専門知識が必要であるとともに、特にサーバシステムにおいては当該製品の普及率が必ずしも高くないという状況がある。このため、本書では当該製品を前提とした分析は扱わず、これらを用いないログ分析手法を中心に取り上げることとする。

以下に、システムのマルウェア感染を発見する足がかりとなりうる特徴をいくつか挙げる。

特徴

  • システムから外部に向けて能動的かつ定期的な通信が発生している。

    • 通常時、一般的なWebアプリケーションであれば、システムからインターネットに向けた能動的な通信は頻繁には発生しないことが想定されるため、定期的かつ継続的な通信は、情報の転送や、C2サーバとの通信の可能性が考えられる。

  • システムからネットワーク内のスキャン等、不審な通信が発生している。

  • システムからクラウド環境上のリソースに対して多数のリクエストを送信し、失敗している(例: IAMやオブジェクトストレージのスキャン)。

  • 外部から特定の脆弱性の悪用・攻撃に特徴的なリクエストが送信されている。

    • 一般に広く使われているソフトウェアに重大な脆弱性が発見された際に、その脆弱性を実際に悪用することのできるPoC(Proof of Concept = 概念実証)コードやツールが同時に公開される場合がある。その場合には、高度な攻撃者でなくとも、そういったコードを流用して攻撃を実行することが可能になり、脆弱性を悪用される可能性が高まる。そういったコードから行われる攻撃リクエストには特有のパターンがある場合があり、アクセスログやネットワークフローログ等から検出できる場合がある。

  • CPUやメモリの使用率が、本来想定されているシステムへの負荷を超えて、継続的に高止まりしている。

    • 暗号資産マイニングマルウェア等により不正に計算資源を利用されている可能性が考えられる。

  • 脅威検知ツールがアラートを上げている。

こういった特徴をログ分析によって検出するためには、以下のような情報を含むログの取得、保存・保全が必要になる。

必要な情報

表4-8 マルウェア感染の分析に必要な情報

これらを踏まえて、以下のようなログ分析が推奨される。

必要な分析
  • ネットワークフローログを確認し、対象システムで発生している通信を確認する。通信先や使用アプリケーション、プロトコル、脅威検知アラート等を確認し、不審なものがあれば深掘りする。アプリケーションやCSPの監査ログを分析し、スキャン行為等から生じる大量のリクエストの拒否のログを検出する。
5W1Hに基づいた整理

以上の分析結果を、3.2で解説した5W1Hに基づいて整理すると、以下のようにまとめられることが望ましい。

表4-9 マルウェア感染に関する分析の5W1Hによる整理

必要なログ分析まとめ

以上の内容を整理すると、表4-10のとおりである。これらの分析を行うことにより、脅威や被害の早期検知が可能となるとともに、セキュリティインシデント発生時の原因分析にも資する。

表 4-10 各脅威に対して実施すべきログ分析

分析観点の選定時のポイント

4.3節で解説した脅威は、情報システムに存在するすべての脅威を網羅するものではない。また、システムの特性によって、重視すべき脅威や想定される被害の内容は異なる。そのため、各機関においては、自らの情報システムの構成、運用環境、取り扱う情報の機密性・重要性等を踏まえ、対象とすべき脅威、分析すべき観点、及び取得・分析すべきログの範囲を検討することが重要である。

参考として、前章で示した脅威の中から、政府情報システムの主要な類型[^5]ごとに特に重点的に分析すべき脅威を以下に整理する。

表 4-11 政府情報システムの類型

また、対象システムの構成や提供する機能、取り扱う情報によっても分析の優先度は異なる。例えば、各脅威の発生頻度及び発生時の影響に基づき、上記システム類型それぞれについて特に注意すべき脅威を整理すると、以下の表4-12のようなものが考えられる。各システム管理者は、これを参考に、自らのシステムにおける分析の優先度を判断することが必要である。なお、原則として政府情報システムにおいては、表4-12で示す全ての脅威に対してログ分析を実施することが期待される。しかしながら、政府情報システムの実運用においては、予算、人的リソース等に起因する種々の制限が存在する。そのため、脅威の対応優先度に応じて段階的にログ分析対象を拡大していくアプローチを採用することも有用である。その際は、表4-12を参考に、ログ分析に係る実現可能な実施計画を策定し、確実に実装していくことが求められる。

表 4-12 各類型で特に注意すべき脅威[^6] (●:特に注意が必要な脅威、〇:注意が必要な脅威)

システム類型不正アクセスDoS攻撃内部不正マルウェア感染
〇[^7]
③-a
③-b