NIS2指令(改正ネットワーク及び情報システム指令)とログ管理の重要性

今回は、24年10月施行のNIS2指令(改正ネットワーク及び情報システム指令)とログ管理の重要性についてご紹介します。

ログの重要性

ログは単なる記録保持ツールではなく、潜在的なサイバー脅威の検出(SIEM やログ管理ツールなど)、セキュリティ侵害後のフォレンジック調査の促進、法規制遵守の確保、組織内での説明責任の促進にとって非常に重要です。 2018年のマリオットのデータ侵害(3億4,000万件の宿泊記録が関与)は4年間検出されませんでした。 これは、パンくずリスト(※)の痕跡を再追跡し、脅威アクターの侵入方法と TTP (戦術、技術及び手順)を特定するために、ログを長期間保持することがいかに重要であるかを強調しています。 また、ログの保存を重視しているのはサイバーセキュリティの専門家だけではなく、NIS2関係者も同様も同様で、ログの管理と保持はその要となっています。

(※)ウェブサイトのページ階層をリスト化したナビゲーションのこと。童話「ヘンゼルとグレーテル」で、主人公の兄妹が森の中で道に迷わないように、自分たちの通った道にパンくずを落として、帰り道の道標にしたというストーリーに由来。

NIS2とは

NIST(National Institute for Standards and Technologies)と混同しないでください。NIS(Network and Information Security)は、サイバーセキュリティの枠組みを強化するための欧州連合の取り組みです(NIS2は2016年に導入されたNISを更新したもの)。加盟国が NIS2 指令を国内法に置き換える期限は 2024 年 10 月 17 日に設定 (日本では2024年10月18日に設定)されています。EU域内でサービスを提供する⼜は活動を⾏う中規模(従業員50名)以上の主要エンティティ⼜は重要エンティティも対象になりますが、EU 域外の企業や組織もこの指令を無視できるということにはなりません。 NIS2 は、GDPR と同じように世界中に影響を与える可能性があります。ヨーロッパのIPアドレスでは、プライバシーポリシーをGDPR準拠に調整していなかったという理由で、アメリカの該当するサイトのニュース記事に長い期間アクセスができなかったということがあったようです。

NIS2 指令は、サイバー犯罪の脅威の増大に対応して考案され、次のような特定のサイバーセキュリティ対策を採用することを組織に義務付けています。

  • 技術的および組織的管理の実施
  • スタッフに対する包括的なトレーニングと意識向上プログラムの提供
  • インシデント対応チームの設立
  • 既存の脅威と将来の潜在的な脅威の両方を予測する総合的なリスク管理戦略を策定する。

違反した場合の制裁金額は...?

加盟国は、この指令に従わない企業に対して制裁金を課す権限を有しています。 正確な金額はまちまちですが、国によっては最大 1,000 万ユーロまたは世界売上高の 2% の制裁金が課される場合があります。 しかし、CISO や経営幹部にとってさらに懸念されるのは、コンプライアンス違反が多額の制裁金、風評被害、法的措置の可能性など、個人的責任につながる可能性があることです。特に過失が重大な事件を引き起こした場合、刑事告訴される可能性があります。

では、NIS2 ではログ管理に関して何を義務付けているのでしょうか?

組織は次のことが義務付けられています。

  • 詳細なログの維持:これらのログには、日常的な操作から潜在的なセキュリティ侵害に至るまで、幅広いアクティビティが記録されている必要があります。
  • 安全なストレージ:データの機密性を考慮して、不正アクセスを防ぐためにログを安全に保管する必要があります。
  • 定期的な分析:ログを蓄積するだけでは十分ではありません。 異常や不審なアクティビティを検出するには、定期的に精査する必要があります。
  • 保存の義務化:この指令はログの保存期間を定めており、必要に応じてログにアクセスして確認できるようにします。

簡単そうに思えますよね?

もっと深く掘り下げなければ、そうです。 ここでは「定期的な精査」と「保存期間」というフレーズが重要です。 シェイクスピアのハムレットが言ったように「そこにに問題ある」のです。 セキュリティログの保存と検索は、膨大な量のデータが生成されるため簡単な作業ではなく、ストレージリソースに負荷がかかり、リアルタイム分析が複雑になる可能性があります。 データの整合性と保存規制への準拠を確保することは非常に重要ですが、真の脅威を検出するために多様なログ形式を正規化し、日常的なエントリをフィルタリングすることで複雑さが増します。 さらに、データのプライバシー、スケーラビリティ、コスト、およびクエリに関する専門知識の必要性に関する懸念により、ログ管理はさらに複雑になります。 包括的な洞察を得るためにログデータを他のシステムと統合し、損失を防ぐためにデータの冗長性を確保することも重要事項です。

ArcSight Recon と ArcSight SaaS ログ管理

では、ArcSight by OpenText は、次世代の Recon および ArcSight SaaS ログ管理およびコンプライアンスソリューションを使用して、これらの NIS2 義務にどのように対処するのでしょうか?

  • 詳細なログの維持:セキュリティイベントログは、オフクラウド/顧客ホスト型のクラウドネイティブ ログ管理ソリューションである Recon を使用して大規模に保存できます。Recon は、増大に合わせてシームレスに拡張します。「コンピューティングノード」を追加して統合データ プラットフォームを強化したり、「ワーカーノード」を追加して Recon インフラストラクチャを強化することができます。 ArcSight SaaS は、サービス契約期間によってのみ制限される無制限のデータ保持を提供します。
  • 安全なストレージ:NIST SP 800-53 に基づいて構築されたArcSight SaaS Center-of-Excellence のコントロールは、ISO 27001 および SOC2 の要件を超えています。保存されたセキュリティイベントは、データの不変性によって改ざんを防止され、イベントデータの整合性チェックによって補完されます。データ転送は安全なチャネルを通じて行われます。
  • 定期的な分析:Recon と ArcSight SaaS Log Management and Compliance は両方とも、ログ分析のために次の機能を提供します。
    • 自然言語のようなクエリ (CyPL)、検索エンジンのようなオートコンプリート、および自動検索条件の保存を通じた、アナリストにとっての使い勝手の良さ
    • CyPL クエリ言語:CyPL クエリ言語は、Common Event Formatの分類(categorize)機能を活用することで、アナリストによるベンダー詳細の入力の必要性を排除します。したがって、効率が向上し、クエリ疲労が軽減されます。例えば、同等のプラットフォームでは約 20 行を必要とする複雑な Recon 検索が、1 行に凝縮されます。
      例)categoryDeviceGroup = "/Proxy" and requestClientApplication contains "jndi:"
    • スピード: 社内テストを通じて、次世代のクラウド上およびクラウド外のログ管理ソリューションで実行される検索クエリの大部分は、当社が大切にしている Logger 製品と比較して最大 5 倍の速度向上を示していることが実証されました。
  • 保存の義務化: 当社のオフクラウド/顧客ホスト型のクラウドネイティブおよび SaaS ログ管理およびコンプライアンス ソリューションはどちらも、NIS2 だけでなく世界中の他のコンプライアンス義務や管轄区域によって指定されている長期保存期間に対応するように設計されています。

ArcSight製品にご興味がございましたら...

  • ReconFree Trialで90日間お試しいただけます。
  • ArcSight SaaS ログ管理およびコンプライアンス:こちらからお問い合わせください。担当よりご連絡いたします。Logger から ArcSight SaaS ログ管理およびコンプライアンスへの移行ガイドは、こちらをご参照ください。

この記事は、こちらの英語版ブログを参考にしています。

タグ:
カテゴリ: