防衛装備庁が整備した、「防衛産業サイバーセキュリティ基準」をご存じでしょうか?米国国防省基準に準拠し、サイバー攻撃に関し早期発見・対処のための措置を充実するための取り組みです。詳細は、「防衛産業サイバーセキュリティ基準の整備について」をご一読ください。
出典:防衛装備庁ホームページ(https://www.mod.go.jp/atla/cybersecurity.html)
こちらの詳細に関しては「装備品等及び役務の調達における情報セキュリティの
確保に関する情報セキュリティ実施手順について」が別途明示されており、検知・対応・復旧に関して、具体的にどのようなシステムを選択・導入すべきかのヒントがございます。
出典:「装備品等及び役務の調達における情報セキュリティの確保に関する情報セキュリティ実施手順について」防衛装備庁ホームページ(https://www.mod.go.jp/atla/cybersecurity/kijun_kaisetsu02_r050712.pdf)(2023年11月14日に利用)
上記資料の中で、必要とされる内容は以下の通りです。
- 第2 システムセキュリティ実装計画書
- 第3 構成管理
- 第4 保護システムの基本的防御
- 第5 アクセス制御
- 第6 識別及び認証
- 第7 通信制御
- 第8 システム監視
- 第9 システムログ
- 第10 脆弱性スキャン等
- 第11 バックアップ
- 第12 システムメンテナンス等
ntopngがサポートする内容を太字にしました。「第8 システム監視」と「第10 脆弱性スキャン等」です。それぞれの対応内容について、以降で説明します。
システム監視
第8 システム監視では、以下の4つを実現することと明記があります。
- 不正な相手方又は方法等によるアクセス
- 権限(管理者権限を含む。)の不正な使用
- 内部及び外部との不正な通信
- 悪意のあるコードの侵入
ntopngがサポートする内容を太字としました。ntopngは、Checksという機能により不正な通信と悪意のあるコードの侵入を検知することができます。
不正な通信に関連するChecksの例
- DHCPストーム攻撃
- SYNスキャン被害
- リスキードメイン
- リモートからローカルへの非セキュアプロトコル
- 予期しないSMTPサーバー
上記は100種類を超えるChecksの一部とお考えください。ネットワークトラフィックをキャプチャし、不正な通信を検知する仕組みがntopngにはデフォルトでバンドルされております。オプションでのライセンス購入といったことも必要なく、さらにはご自身でChecksを開発してインストールすることも可能です。
悪意のあるコードの侵入に関するChecksの例
- ブラックリストサイトへの接触
- XSS攻撃
- クリアテキスト資格情報
- SQLインジェクションの可能性
こちもら同様にいくつか例示しました。ブラックリストサイトへの接触に関しては、別の記事ntopngによるマルウェア・ボットネット・ランサムウェアの発見と追跡 をご一読ください。
Checksの条件を満たしたアラートは、図1のアラートエクスプローラにて確認可能です。また、アクションをemail送信やslack連携を設定すれば、そちらでもなぜアラートが発報されたのか?を確認することができます。
脆弱性スキャン
第10 脆弱性スキャン等では、以下3つが明記されています。
- 保護システム管理者は、保護システム全体に対する脆弱性スキャンを定期的に行い、その結果を分析するものとする。
- 保護システム管理者は、社内からの脆弱性情報に加え、情報セキュリティに係る専門的な外部機関(以下「情報セキュリティ機関」という。)が発信する脆弱性情報等セキュリティに係る注意喚起及び助言等の情報を継続的に収集するものとし、当該脆弱性が保護システムに対し悪影響を与える可能性があると認められる場合に、保護システム全体に対し当該脆弱性に係る脆弱性スキャンを実施し、その結果を分析するものとする。
- 保護システム管理者は、前2号による分析の結果を記載した文書を作成するものとし、脆弱性が特定された場合は、本基準第11第1項第4号及び第2項第1号の措置を行うものとする。
同じくntopngがサポートしている機能を太字としました。ntopngは、nmapとvulscanを使った定期的な脆弱性スキャンをスケジュールし、スキャン対象が該当するCVEs(Common Vulnerabilities and Exposures)を抽出してくれます。また、tcpスキャンを実行しスキャン対象が開いているポートも一覧表示します。
まとめ
如何でしょうか? ntopngであればネットワークトラフィックをキャプチャし、組織内ネットワークの不正な使用方法を検知しアラートするといったイメージが持てたでしょうか。上述したブラックリストの記事、NDR(Network Detection and Response)にntopngはなり得る製品であることの一端を垣間見て頂けたなら幸いです。
ntopngのお問い合わせ
ntop社製品にご興味のある方は、以下リンクよりいつでも弊社までお問い合わせください。