企業のリスクを低減する能力を高めましょう。新しいホワイトペーパーでは、効果的なITセキュリティリスクアセスメントの実施が重要な理由をご紹介しています。ITセキュリティリスクアセスメントの実施
すべての企業は、既知のものから未知のものまで、ほとんど毎日のようにリスクに直面しています。リスク評価は、ビジネスの混乱や損害を最小限に抑えるために、テクノロジーやその他の企業資産に対する脅威を評価するのに役立ちます。
リスクは様々な形で発生するため、企業がこれらの脅威に備え、対処するための最善の方法は、事業目的に沿った強力で構造化されたリスク軽減戦略と計画を策定することです。
現在および将来のリスクを軽減し、潜在的な損害を軽減するためのリスクアセスメントを成功させるための重要なステップをより深く理解することができます。これらのステップには以下が含まれます。
このISACAホワイトペーパーは、ITセキュリティリスク評価プロセスを初めて利用する方や、ITセキュリティリスク評価プロセスに慣れていない方のための情報システムやビジネスの専門家向けのホワイトペーパーです。
正社員という日本型の雇用形態は、企業から見れば大きなリスクになっています。事業環境の変化が大きくなればなるほど、固定費となる社員を抱え込むのは、経営を不安定させる要因なのです。
すでに日本では、企業年金制度が確定給付型から確定拠出型(日本版401k)にシフトし、年金の運用リスクが企業から従業員に転嫁されました。
今後も大きな流れとして、会社側がリスク回避のために、従業員を実質的に切り捨てていくと思います。
であれば、会社で社員として働いている人がやるべき事は、2つです。
1つは会社の看板を可能な限り利用すること
そして
もう1つは、会社に捨てられる前に自分から会社を捨てられる力を身に着けておくことです。
会社の看板があることによる1番大きなメリットは「お金を借りる力」が持てることです。個人事業主になれば、信用力がつくまで借り入れすることができません。会社にいるうちに、お金を借りられるだけ借りておく。「信用力のマネタイズ」をできるだけ早くやっておくことです。
After my podcast episode about the Cit0day data leaks, my colleague Jesse initiated the idea of making our own search engine. The 23,000 breached databases within this massive leak can be queried on various breach notification sites, but they all simply provided a notice of hit within the Cit0day collection. None of them identify WHICH breached database contains the exposure. We now offer a tool for this. Head over to:
Provide any email address and immediately receive notification of the specific data breach which contains the email address. I present more details on the show tomorrow.
JPCERT/CC では、イベントログの分析をサポートするツール「LogonTracer」の最新版バージョン1.5をリリースしました。これまでのLogonTracerは、セキュリティインシデントの事後調査という用途に特化していましたが、リリース直後からLogonTracerをリアルタイムログ分析にも活用したいという要望が多く寄せられていました。そのため、今回のアップデートでは、リアルタイムイベントログ分析を可能にする機能を追加しました。
今回は、このアップデートについて紹介します。その他のアップデート内容については下記のリリースをご覧ください。
https://github.com/JPCERTCC/LogonTracer/releases/tag/v1.5.0
LogonTracerは、Elasticsearchと連携することでリアルタイムログ分析が可能になります。
図1は、LogonTracerとElasticsearchを連携させた場合のイメージです。LogonTracerは、デフォルトではWinlogbeatを使用してElasticsearchに送信されたイベントログをインポートすることが可能です。
LogonTracerは、Elasticsearchからインポートしたログを分析し、結果をElasticsearchに保存することができます。イベントログを可視化して分析する場合、LogonTracerから確認する必要がありますが、不審なアカウントのランキングやサマライズしたログの分析結果はElasticsearchにも保存されるため、ElasticsearchやKibana上で同様の分析結果を確認することが可能です。
図2は、LogonTracerの分析結果をKibana上で表示した様子です。KibanaのWatcherなどを使用して、LogonTracerからレポートされた不審なログをアラートするように設定しておけば、リアルタイムで異常検知のサポートになります。
ElasticsearchからLogonTracerにログをインポートには、Web GUIから行うことができます。左下の「Load from ES」ボタン(図3の左)をクリックすると、インポート用の設定画面(図3の右)が表示されます。
Elasticsearchからインポートする際の、さらに詳細な設定(index名など)はコマンドラインから行うことができます。詳しくはLogonTracerのWikiをご覧ください。
https://github.com/JPCERTCC/LogonTracer/wiki
LogonTracerの分析機能の大きなポイントの1つにイベントログの可視化があります。可視化は、ログ分析の大きなサポートになりますが、大規模なログの可視化は、ログ表示の遅延や大規模なグラフを目視で分析することは難しいという問題があります。これは、LogonTracerに限らず大規模な情報を可視化するシステムには、共通する課題です。
そのため、LogonTracerに、長期間(1ヶ月や1年など)のログをインポートすることは、可視化速度の低下につながるためお勧めできません。1週間または1日(適切な期間はホスト数やユーザ数によって異なります)などの間隔で、必要なログをインポートして、分析することを推奨します。
LogonTracerを、ADイベントログの監視に使用する場合は、cronなどで定期的にイベントログを読み込んで分析し、分析結果をElasticsearchに蓄積することで、Kibana上でLogonTracerの分析結果を監視する運用を行ってください。確認が必要なログが見つかった場合、LogonTracerに対象期間のログをインポートしてログの可視化を行うことで、効率的な監視が可能になります。
