PCI DSS の要件がアップデートされ、現行バージョン(v3.2.1)の終了が 2024年3月31日とされています。以降は最新のバージョンである PCI DSS 4.0 に対応するために、組織はセキュリティインシデントの監視・検出・対応において、セキュリティ情報イベント管理ツール(SIEM)の導入が重要視されております。
本ブログでは、SIME 製品として Sumo Logic の機能をデモ環境を使ってご紹介します。
Sumo Logic による PCI DSS 4.0 への対応
Sumo Logic は、マルチテナントで稼働する SaaS 型のクラウドネイティブな SIEM 製品です。
基盤は AWS 上で稼働しており、ユーザは Sumo Logic にログやメトリクスなどのデータを送信することで、Web ブラウザ上で分析を行うことが出来ます。 更に PCI DSS 向けに組み込みのダッシュボードが用意されており、ログを収集すると簡単にデータを可視化することが出来ます。
PCI DSS 4.0 の要件では、ログをいつでもすぐに分析出来るよう "ログ収集~分析までを自動化" しておける仕組みが必要になります。
Sumo Logic ではこれらすべてを自動化することが出来ます。
ログ収集プロセスとログ管理について
Sumo Logic にログを送信するには大きく2通りの方法が存在します。
1つ目は、対象のサーバや Syslog サーバにログ収集エージェントをインストールして Sumo Logic に送信する方法です。2つ目は、API を利用してログ収集する方法です。
いずれの手段でも、データは AES256 ビットで暗号化され、転送中には SSL を使用して暗号化されます。
PCI DSS v4.0 の "Payment Card Industry データセキュリティ基準" を見てみましょう。
10.2 監査ログが実装され、異常や疑わしい活動の検出、およびイベントのフォレンジック分析がサポートされる。
全てのカート会員データへのアクセスや疑わしいアクティビティを監査ログに記録するように記載されております。さらに要件 10.2.1.5 では 新しいアカウントの作成や特権の昇格、管理者アクセス権を持つアカウントに対するすべての変更、追加、削除なども記録して、なりすましなどにも気づけるようにする必要があります。これら対象となる複数のシステムやサーバなどのログを一元管理することで SIEM での相関分析により異常の検出や不正なユーザの特定に繋がっていきます。
解析と正規化
ログの中には調査のために必要な値とそうでない値があります。 Sumo Logic では、以下の様にクエリでデータを解析して抽出することが出来ます。
また、ログの形式や同じ意味でも製品ごとに出力内容が異なることも考えられます。例えば OS の異なるサーバがある場合です。 Windwows、Linux、Mac など、ユーザ名1つを抽出するにしても、Linux なら user、Windows なら targetuser とそれぞれ形式が異なります。これらのようなケースでも Sumo Logic 上で dest_user に統一するなどの分析のための下準備が出来ます。
可視化とレポーティング
10.4 監査ログをレビューし、異常または疑わしいアクティビティを識別することができる。
PCI の要件 10.4 でログレビューの自動化について記載されています。これは、複数のシステムコンポーネントにわたって逐一分析するためにクエリを書いていてはログレビューに時間がかかるということで、取り込んだログが解析・正規化されていてすぐ見れる状態にしましょうという内容になっています。
こうしたケースに対応するために Sumo Logic はログの検索結果をダッシュボード化することが出来ます。特に組み込みで用意されているダッシュボードは作成も簡単で、見るべき観点で構成されているため、必要なログを収集すればすぐに可視化できます。
組み込みのダッシュボード機能は "AppCatalog" と言います。作成してみます。
PCI 関連の AppCatalog は 9種類あります。Windows Event Log を可視化してみます。
App Catalog の概要が表示されています。PCI 要件(2, 6, 8 ,10)をカバーするダッシュボードを構築できます。
ログを収集した時に設定した名前を入れるだけです。作成プロセスは以上になります。
ダッシュボードは4つ作成されました。
- Windows - PCI Req 02, 08, 10 - Account, User, System Monitoring
- Windows - PCI Req 02, 10 - Login Activity
- Windows - PCI Req 06 - Windows Updates Activity
- Windows - PCI Req 08 - Other User Activity
ユーザーアカウント関連(作成・削除・有効/無効化・ロック)や、監査ログの改ざん、ポリシーの変更、システム/サービスの再起動や停止などが分かるダッシュボード
ログイン成功失敗の数と、認証プロセスをスキップしたデフォルトログインの数など分かるダッシュボード
パスワードの変更、パスワードのリセット、過剰なアクセス試行の失敗、ロック解除されたアカウント、無効化されたアカウントなどのユーザーアクティビティが分かるダッシュボード
OS アップデートの状況が分かるダッシュボード
実際にダッシュボード "Windows - PCI Req 02, 08, 10 - Account, User, System Monitoring" はどのように調査することが出来るのか見てみます。
User Account Created パネルでは "mnpande" という管理者権限のユーザが作成されています。
フィルターを使って "mnpande" のアクティビティだけに絞って見てみましょう。
パネル:Actions by Privileged Accounts(特権アカウントによるアクション)では Event ID が4項目複数回にわたって実行されていることを確認できました。 "mnpande" というユーザが何やらユーザ探索を行っていたりパスワードの初期化を行っているようです。
という形で不審な挙動をドリルダウンして調査していくことが出来ます。
また、今調査したダッシュボードは、監査などの目的の為に一枚の画像としてエクスポートすることも出来ます。PCI の要件では定期的なレビューが必要とされているので、データをしてダッシュボードを情報を活用いただけるのではないかと存じます。
分析とアラート通知
ログ分析は、シンプルなクエリ文を書きます。以下、ログインイベントを多い順に並べてみました。
ログデータをまずは解析、正規化して EventID が 4625 のログにフィルタリングしたり、解析したログを集計しています。
これらの結果を保存していつでも見れるようにできますし、アラートすることも出来ます。
ログイン失敗イベントが5回以上発生した時など条件を付けてアラートとして、E-mail や Slack、Microsoft Teams などに通知できます。
メールに対するアラート通知結果の例。メールからすぐにログ検索できるリンクも付与されます。
まとめ
ご閲覧いただきありがとうございました。今回は SIEM 製品の Sumo Logic がどのように PCI DSS v4.0 に対応できるのかをお話しさせていただきました。 本ブログの執筆を通じて、セキュリティの脅威を未然に防ぐためにもダッシュボードやレポートを活用して、日々 SIEM の運用を回していただき、傾向データからセキュリティリスクを洗い出して対応していくことが大切だと改めて実感しました。今後も各機能のユースケースなどを継続してブログ化していきます。
本記事が皆さまの一助になれば幸いです。
16
