人による監視と、システムによる監視

ネットアシスト技術部のTTと申します。

最近、業務でウイルス検知に関するものが見受けられます。

実際に監視を行っているなかで、人が確認して対応する強みとWAFやIDS・IPS(セキュリティソフト)といったシステムによる対応の、両方の良さを実感することがあります。

今回は、人とシステムがそれぞれ得意とするところ、逆に、あまり得意ではない部分も含めて、ざっくりとではありますがお伝えできればと思います。

人による対応の強み

• ウイルス等の不審なファイルの設置経路を各種ログより調査し、未知の攻撃でも対策の推測が可能
• 関連する事象等について、経験や記録から判断することが可能
• サーバの特徴や攻撃の内容から、根本的な対策を立てることが可能
• 発生した事象をまとめて、経緯書等の形式で報告が可能

人による対応の弱み

• 日々進化する攻撃手法や、発見される脆弱性に対して常時対応し続けることが不可能
• 24時間 リアルタイムでサーバ内のすべての領域やアクセス状況をチェックすることが不可能

人による対応まとめ

人による対応では、発生した事象から根本的な原因を調査し、サーバのセキュリティに関する構成変更など、対策を立てることが可能です。

また、発生した内容や対策の報告についても、伝わりやすいように工夫することができます。

しかしながら、ウイルスが設置されているだけでは気づくことが難しく、具体的な障害が発生してからの対応になる、という弱点があります。

システムによる対応の強み

• アクセスログの常時監視・対応が可能(WAF)
• サーバへの通信、サーバ内のスキャン(IDS・IPS)
• ウイルス情報や侵入防御ルールの頻繁なアップデート
• ウイルス検知後の処理の速さ

システムによる対応の弱み

• サーバ内での検知に対して決まった処理を行うのみとなり、根本的な原因についてシステムのみで調査を行うことは難しい
• ウイルスや侵入を検知、対応した場合の通知内容の理解に、前提となる知識が必要
• 正常なアクセスを誤検知することがある

システムによる対応まとめ

システムによる対応では、個々の環境に対して、24時間365日 常に監視を続け、脅威を自動的に検出・阻止します。

これは、人間の手作業に比べてはるかに高速で、ヒューマンエラーも発生しません。ですが、ウイルス検出が発生した根本的な原因やサーバの構成変更までは行えず、対処療法的な面があります

私がサービスを運用するなら

最後に、上記を踏まえて、ウイルス対策とサービスの継続という視点でサーバを利用する場合、自分ならどうするか考えてみました。

ECサイトを運営してると仮定した場合、一例にはなりますが下記のような構成が、人とシステム、両方のメリットを享受できるのではないでしょうか。

システム監視

• WAFを利用して、Webアプリケーションへの攻撃をブロックし、アクセスをできるだけ正常なものに限定
• IDS・IPSを導入し、リアルタイムにサーバ内を検査させる

人による監視

• MSP業者にWebサービスが正常に稼働しているか監視してもらい、異常があった際には復旧対応を依頼
• 障害の際は、原因の調査や根本的な対策の相談を行う

実際にサーバを監視していると、様々な原因で障害が発生することを実感します。
セキュリティの脆弱性を突かれたもの、悪意のあるアクセス、単純なアクセス集中…
また、障害発生時、ログの解析は欠かせません。

インターネットにサービスを公開する以上、アタックを完全に避けることは出来ない為、サービスを運用される際は、お客様の情報を守るという意味でも、WAFやセキュリティツールの導入、MSPの導入をご検討いただければと思います。

今回は以上になります。機会があれば次回もセキュリティについて記事を作成できればと思います。
それではまた。