見出し画像

奴の嘘も実は重要!?オオカミ少年で学ぶセキュリティ管理

Cyber NEXT

皆さんこんにちは。駆け出しセキュリティエンジニア浅羽です。
セキュリティブログを書き始めてからもう1年が過ぎました。時の流れは非常に早いものですね。
それではさっそく本日の#例えて学ぶセキュリティをお話していきましょう。今回はイソップ物語でおなじみオオカミ少年を例えたお話です。

オオカミ少年とセキュリティ

まずはオオカミ少年のあらすじから。

羊飼いの少年はいたずらのつもりで「狼が来た! 」と嘘をついて騒ぎを起こします。
騒ぎを聞いた大人たちは武器を持って駆けつけるが狼なんてどこにも居らず、嘘だと気づいた大人たちはカンカンに怒ります。
その時は様子を面白がってガンガン嘘をついていた少年でしたが、いざ本当に狼が現れた時に大人たちに信用してもらえず、村の羊は残らず食べられてしまったのでした。

このお話、そのまま読むと「嘘はついてはいけない」ことの教訓を表していると思いますが、セキュリティに置き換えるとまた違う目線から学ぶことができます。このお話を、脅威をしっかり検知したいが故に起こる「誤検知」をテーマに置き換えてみましょう。

羊  = 情報資産
少年 = セキュリティ製品
狼  = 脅威(ここでは、仮に“マルウェア”とします)
大人 = システム管理者

オオカミ少年をそのままにしておくと?

少年の嘘、これは先ほど申し上げたようにセキュリティ製品👦の誤検知と言えます。悪意のあるマルウェア🐺はいないのに何かの拍子で引っかかってしまったのでしょうか。
(もっとも、例に挙げた少年は悪戯心で嘘をつきましたがセキュリティ製品に悪気はありません)

最初、マルウェア検知アラートが発報されるとシステム管理者👨たちは慌てて対処や調査を行います。
調査を行う中で今回の発報は誤検知であると気づくシステム管理者👨たち。ですがその日から同じような誤検知が何度も発報されるようになりました。
やがて、何度も誤りのある発報を見ているうちに発報自体に慣れ、しまいには発報自体を無視してしまうことでしょう。

“ここが問題です”

本来、マルウェア検知アラートは情報資産🐑(システム)の危険を知らせる重要なものです。しかし、誤検知を放置してしまっていたことで、いざ本物のマルウェア🐺が入ってきた際の対応が遅れ、気づいたころには手遅れとなってしまうのです。

「よくあることだから」と抜かってしまうことはあるかもしれませんが、この誤検知にこそ、セキュリティ管理における重要なポイントが隠されているのです。

なぜ嘘をついてしまうのか?

そもそも、この誤検知はなぜ発生してしまうのでしょうか。それには検知に対する姿勢の違いが関わっているのです。

まず、セキュリティ製品の誤判断には2つの種類があります。

  • フォールスポジティブ:
    正常なオブジェクト(ファイルや通信)を異常と判断(誤検知)

  • フォールスネガティブ
    異常なオブジェクト(ファイルや通信)を正常と判断(見逃し)

オオカミ少年のお話を基にすると、今回はフォールスポジティブが当てはまりますね。
人間界では「疑わしきは罰せず」という言葉があります。一方、セキュリティシステム界ではどちらかというと「疑わしきはとりあえず罰する」という考えが多いため、ちょっと疑わしいだけで即発報され数えきれないほどの誤検知が出ることも多々あります。
正直なところ、危なくないものまで発報されて、その度に対処していたら業務に支障が出てしまいますよね。
(危ないものをうっかり通してしまうフォールスネガティブも重大な欠陥ですが…)
ですが、オオカミ少年の登場人物のように嘘(フォールスポジティブ)を放置するのも危ないのです。では具体的にどうすればよいのか、次の章から見てみましょう。

ここで出てきた「フォールスポジティブ」「フォールスネガティブ」について、更に詳しく解説してほしい方はこちらから🐑🐑

オオカミ少年を更生させるには?

さて、誤検知の原因について理解できたところで次は対応策です。
セキュリティ製品の誤検知は適切なチューニングで解消できます。

チューニングという単語、よく楽器で聞く言葉かなとは思いますが、ITでもよく使われる用語の1つでもあります。
調律・同調などの意味を持つ英単語ですが、その名の通りコンピューターやシステムの設定や構成を見直して調整し、より機能を効率よく使えるようにすることを指します。
実際には、アラート内容を解析することで何の製品がどんな通信をしているかなどをチェックし、正常な通信だった場合セキュリティ製品に設定を追加し、アラート対象から除外してあげる作業を行います。
例として挙げると …

  1. 真夜中に通信を行っている端末が発見された!

  2. 通信内容や端末を調べたところ、夜勤業務中の社員が使用している端末であると判明

  3. 夜勤に行われる業務の通信はアラート対象から除外する

といった流れになりますね。

また、製品導入時に行うチューニングはもちろんですが、定期的なチューニングも重要です。
今後新しいソフトやアプリを入れた時、オオカミ少年がなにか言っていないか確認しながら、必要に応じた運用をしてあげましょう。そうしていけばきっとあなたのシステムのオオカミ少年もいざという時に大いに役に立ってくれるでしょう。

さいごに

いかがでしたか?
物語中で羊番として少年をおいただけでは羊を守れなかったのと同じように、セキュリティにおいても製品をボンと導入するだけでは情報資産を守りきることができないのです。
一番大事なのは導入してからどう管理していくかの観点。皆様のところのセキュリティ製品もオオカミ少年になってしまってはいないか、今一度確認してうまく付き合っていきましょう🏇

これにておしまいです。ご高覧ありがとうございました!

執筆:浅羽 美和子