8.16監視活動
管理策:
情報セキュリティインシデントの可能性を評価するために,ネットワーク,システム及びアプリケーションについて異常な挙動がないか監視し,適切な処置を講じなければならない。
解説:
情報セキュリティの監視を通じて、情報セキュリティインシデントやシステム障害の早期発見、
迅速な対応ができるよう組織が適切な手順を確立することを求めている。
「ログ取得」との違いは、「ログ取得」はシステムやアプリケーションの活動を記録し、情報セキュリティ事象やインシデントの特定や調査を支援する対策である。
対応方法:
監視ツールによる継続的監視を使用することを推奨する。監視対象は以下のものがある。
・ネットワークデバイス(ルーター、スイッチ、ファイアウォールなど)
・サーバー(物理サーバーおよび仮想サーバー)
・データベースシステム
・クラウドサービス
・クライアントデバイス(PC、スマートフォン、タブレットなど)
・IoTデバイス
・セキュリティデバイス(侵入検知/防御システム、アンチウイルスソフトウェアなど)
監視活動において有用なツールには以下のものがある。
・システム監視ツール(Nagios、Zabbix、PRTGなど)
・ネットワーク監視ツール(Wireshark、tcpdump、SolarWindsなど)
・セキュリティ情報イベント管理(SIEM)ツール(Splunk、LogRhythm、QRadarなど)
・クラウド監視ツール(AWS CloudWatch、Azure Monitor、Google Cloud Monitoringなど)
・モバイルデバイス管理(MDM)ツール(Microsoft Intune、VMware Workspace ONE、MobileIronなど)
※メルマガで配信したコラムを修正・加筆したものです