ゼロトラスト 2023.03.09

TLS1.3標準化でログ解析ができなくなる？！レンダリング情報可視化で「セキュリティリスクの早期発見」を実現

エンタープライズブラウザ

本記事のサマリ

昨今のサイバーセキュリティ監査には欠点があります。
それは監査に時間がかかり、多大な時間とリソースを消費してしまうことであり、組織が収集するログを絞りきれていないことが原因に挙げられます。
フォレンジックに活用するために導入している業務アプリケーション/NW/セキュリティデバイスのログを収集している企業様は多いかと思いますが、それぞれのツールが吐き出すログに記録されているアクション数や粒度の違いにより、収集したログの分析に苦労されている方は多いのではないでしょか？
本ブログでは、働き方の変化により新たに重要となったログソースである"ブラウザ"に焦点をあて、効率的かつ高精度なフォレンジックのアプローチをご紹介します。

3行でわかる本記事のサマリ

従来のセキュリティ監査の課題: 不規則なログソースと異なる拠点のログ管理のばらつきがフォレンジックを困難にしている。
ブラウザのログ収集の有効性: ブラウザ経由の業務が増加し、エンタープライズ・ブラウザの採用でセキュリティデバイスを集約し、ラストマイルもログ収集可能になる。
マリオン銀行の事例: エンタープライズブラウザの導入によりセキュリティとユーザ体験が改善され、スピアフィッシングへの対応も強化された。

１．従来のセキュリティ監査における課題
　 1-1. 不規則なログソースからフォレンジックを行う難しさ
　 1-2. 将来的にはNW経路でのログ解析ができなくなる？！
２．ブラウザのログ収集が有効な理由
　2-1. ブラウザ業務の増加
　 2-2. ブラウザの現在と今後のアプローチ
　 2-3. ラストマイルもログ収集可能
３．ユーザ事例：マリオン銀行

１．従来のセキュリティ監査における課題

1-1. 不規則なログソースからフォレンジックを行う難しさ

組織は膨大な量のデータを記録することができますが、記録される情報量が多くなればなるほど、そのデータを効果的に監査する能力は低下していきます。
企業内でも、拠点を置く場所や業界によりGDPRやHIPAAなどの準拠すべきレギュレーション(規則)が存在し、ツールの採用においてはそれらのレギュレーションで定められた、保管場所や匿名要否などに沿ったログ管理をできることが必須になります。その結果、海外拠点やグループ会社がある企業では各拠点で異なるツールを導入しているケースも多いかと思います。

標準化でログ解析1.png

このようなちぐはぐな状態で万が一インシデントが発生した場合、セキュリティチームは各社の膨大かつ異なるログから、正確なフォレンジックを迅速に行うことは現実的に難しいのではないでしょうか？

1-2. 将来的にはNW経路でのログ解析ができなくなる？！

レギュレーションなどによるログ種類のばらつきもありますが、そもそもログの粒度にも次第に変化が出てきています。それが"通信暗号化の加速"です。特にTLS1.3が普及し、スタンダードになっていくとNW/セキュリティツールによっては通信を復号化できないものも多くあります。
また、アプリケーション自身が復号化を推奨しないものもあるため、今後は「NW経路上で通信を解析する事」自体に無理が生じてくるでしょう。
そうなると、これら暗号化の影響を受けることなく、セキュリティチェックとログ収集ができる新たなアプローチが必要となるのです。

2．ブラウザのログ収集が有効な理由

2-1. ブラウザ業務の増加

MicrosoftやGoogle、Sales force、Boxなど・・・私たちの業務アプリケーションはSaaS化が進み、どこからでもどんなデバイスからでも業務ができるようになりました。
それらのアプリケーションをブラウザ経由で利用する機会も増えているのではないでしょうか？
ある統計によると、「1日の業務のうち約75%はブラウザベースでの業務」というデータもあるほどです。
つまり、私たちはブラウザ上で業務アプリケーションを利用することにより、多くの機密ファイルや顧客データ等をブラウザ上で操作しているという事になります。

2-2. ブラウザの現在と今後のアプローチ

一方でみなさんが業務中利用しているブラウザは何ですか？
Google ChromeやMicrosoft Edgeなど・・多くの方が、プライベートで利用しているブラウザと同じものを使っているのではないかと思います。これらのブラウザは、消費者向けブラウザのため企業がビジネスで利用するために必要なセキュリティ機能はあまり意識されていません。
そのため、多くの企業ではブラウザの周辺で様々なセキュリティデバイスを実装し、"実質"ブラウザでの業務をセキュアにできるよう環境を作っているかと思います。

標準化でログ解析2.png

であれば、ブラウザ自体がこれらのセキュリティ機能を実装している"企業向け=エンタープライズ・ブラウザ"を採用することでセキュリティデバイスを集約し、ログソースとしても統一することができるのではないでしょうか？

標準化でログ解析3.png

2-3. ラストマイルもログ収集可能

また、エンタープライズブラウザの活用により、従来では取得できなかったようなログまで収集可能になります。ブラウザレベルでアクティビティを分析することで、重要なアプリケーションに関するクリック、キーストローク、スクリーンショット、ソースと宛先の詳細、デバイスとユーザのデータを取得することができます。
これらのブラウザ上で表示される情報=レンダリング情報がユーザの元から移動する最初であり最後の地点を"ラストマイル"と称しそこを可視化することができるのです。
例えば、特定のデバイスやネットワークにログインしている従業員を追跡することができるため、そのアクティビティが許可されているかどうかに基づいて権限を付与したり、設定したポリシーでブロックしたりすることができます。これらのアクティビティはすべて、今後の分析のために記録することができます。

標準化でログ解析4.png 管理者には、ユーザが何をしたのか、しようとしたのかが表示されます。
ブラウザからアクセスしたSaaSアプリケーション、URL、機密データを管理する内部アプリケーションに対する全てのアクティビティ(ダウンロード/アップロード、印刷、スクリーンショット、コピー＆ペーストなど)が記録され、ブロックの要否に関わらず、ログに記録し、後で調査することができます。

標準化でログ解析5.png

エンタープライズブラウザのログを確認するだけでも一貫したログ収集になりますが、ブラウザの域を超えてログ活用する場合、SyslogやSplunkなどのログ収集ツールと連携することも可能です。

３．ユーザ事例：マリオン銀行

アメリカ合衆国バージニア州南西部を拠点とする地方銀行のマリオン銀行では複数のセキュリティソリューションを組み合わせてセキュリティ・サービス・エッジ(SSE)を構築していました。個々のデバイスから得られるログの粒度や突合に限界を感じていたさなか、Island Technologyが提供する画期的なソリューション「エンタープライズブラウザ」に出会います。
Islandの導入後に改善されたのは可視性だけではありませんでした。直後に直面したスピアフィッシングへの対応、セキュリティだけではないユーザ体験の向上など・・・ぜひ最下部のリンクよりユーザ事例をご覧ください。

おわりに

ブラウザは、これまでサイバーセキュリティの盲点のような存在でした。
どの企業でも多くのセキュリティデバイスを導入することが当たり前である一方、様々なツールのログを収集しておくだけでは、有事の際にピンポイントに迅速で正確なフォレンジックを行うことは難しいでしょう。
そこで、ブラウザのアクティビティを可視化し、何が起こったかを記録し分析することが、昨今の業務アプリケーションのSaaS化に追随しセキュリティ強化を行うためのベストプラクティスとなるはずです。

▼くわしくは製品ページへ