Elastic SIEMがリリースされました。"SIEMはこうあるべき"というElasticのビジョンを実現するプロセスの大きな一歩です。Elastic SIEMは、セキュリティ分析の分野で大きく躍進、普及しているElastic Stack向けに開発されました。初回となる今回のリリースには、セキュリティユースケース向けのデータ統合機能と、一般的なホストやネットワークセキュリティのワークフローで調査やトリアージ作業を最適化するKibana専用アプリケーションが含まれます。
デフォルトの配布に含まれ、ユーザーに無料で提供されます。Elastic Stack 7.2でElastic SIEMはベータリリースとなります。リリース日よりElastic Cloud&nbsp;<a href="/jp/cloud/elasticsearch-service">Elasticsearch Service</a>でお使いいただくことができ、<a href="/jp/downloads">ダウンロード</a>もできます。
<h2>過去数年間の歩み</h2>Elastic Stackはシステムやデータをサイバー脅威から保護するユースケースでも大きな力を発揮します。ここ数年で、セキュリティ担当者にとって人気の選択肢の1つになりました。たとえば<a href="/jp/blog/security-events-logging-at-bell-canada">Bell Canada</a>や<a href="/jp/elasticon/conf/2017/sf/security-at-slack">Slack</a>をはじめとする企業は、セキュリティ分析の目的でElastic Stackを導入しています。<a href="/jp/elasticon/conf/2016/sf/hunting-the-hackers-how-cisco-talos-is-leveling-up-security">Cisco Talos</a>は同社の脅威ハンティングプログラムのコアテクノロジーにElasticsearchを採用しています。Big Ten Academic Allianceが構築した共用のサイバーセキュリティーオペレーションセンター、<a href="/jp/blog/omnisoc-high-speed-threat-detection-at-the-big-ten">OmniSOC</a>と米国にある<a href="/jp/blog/switching-to-elasticsearch-to-improve-cybersecurity-for-the-worlds-fastest-supercomputer">オークリッジ国立研究所</a>は、Elastic Stackを中心とするSIEMソリューションを構築しています。RockNSMやHELKなどのオープンソースプロジェクトでも、セキュリティ運用の目的でElastic Stackの導入が行われています。
セキュリティデータ分野でElastic Stackの活用が進む様子は見ていてワクワクするものですが、それだけではありません。こうしたユースケースの周辺で活動するコミュニティに触発されて、Elasticはよりすぐれた性能を発揮する基礎的な機能の開発を行ってきました — ロギングや、APMといったソリューションの時と同じです。はじめに着手したのがセキュリティ情報とイベントの収集関連です。FilebeatやWinlogbeat、Auditbeatで収集するホストベースのセキュリティデータの種類を拡充してきました。さらに人気のネットワーク監視とBro/ZeekやSuricataなどの侵入検知システム（Intrusion Detection Systems、IDS）統合機能を追加し、ネットワークベースのセキュリティイベントの収集範囲も拡充しました。
こうしてデータ統合の範囲を拡大させるにつれて改めて浮き彫りになったのは、異なるソースのデータを横断して表現する一般的な方法の重要性でした。そこでElasticとコミュニティ、パートナーが18か月を費やし、開発したのがElastic Common Schema（ECS）です。拡張可能なフィールドマッピング仕様で異なるソースからくるデータの標準化を簡単にし、クロスソースでの相関付けや検索、分析を可能にします。
現在では多数のセキュリティ関連ソースからデータを簡単に収集できるようになり、また格納のための一般的なスキーマも使えるようになりました。となれば、次のステップはユーザーインターフェースです。情報の断片を1か所に集め、セキュリティ担当者特有のニーズにマッチするユーザーエクスペリエンスを提供するべく、開発を進めています。
ぜひElastic SIEMをお試しください。
<h2>Elastic SIEM登場</h2>Elastic SIEMの中心となる存在が新しいSIEMアプリです。このアプリは、セキュリティチームがイベントのトリアージや初期調査の作業をインタラクティブに行えるワークスペースとなります。アナリストはアプリの"タイムラインイベントビューアー"に攻撃のエビデンスやピンを収集/格納したり、関連するイベントに注釈をつけたり、把握した情報を共有したりすることができます。こうした作業はすべてKibana上で行えるため、ECSフォーマットに従うあらゆるデータが扱いやすくなります。
従来からKibanaはセキュリティデータの可視化や検索、絞り込みにすぐれた能力を発揮してきました。Elastic SIEMアプリの登場でさらに、セキュリティチームが求めるあらゆる機能 — インタラクティブな操作性やアドホック検索、レスポンシブな詳細表示が加わります。また直感的なプロダクトエクスペリエンスとなるようパッケージ化され、典型的なセキュリティオペレーションセンターのワークフローにマッチするよう設計されています。
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt78b52a8a77855ab5/5d01b330ea19705f1784b099/introducing-elastic-siem-1.jpg" data-sys-asset-uid="blt78b52a8a77855ab5" alt="Elastic SIEM" "="">
SIEMアプリでは、ホスト関連、およびネットワーク関連のセキュリティイベント分析を、通知についての調査や、次に挙げる対応を含むインタラクティブな脅威ハンティングの一環として実施することができます。
<h3>ホストのセキュリティイベント分析</h3>Kibanaが備える可視化とダッシュボードの豊富なライブラリが拡充され、SIEMアプリの"ホスト"ビューにホスト関連の主要なセキュリティイベントとデータテーブルが表示されます。データテーブルからは、"タイムラインイベントビューアー"をインタラクティブに操作することができます。また7.2よりWinlogbeatがSysmonをサポートし、収集可能なホストベースのデータが一層充実します。
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt0a8f8d63938463bc/5d01b52bae9baaf01450ac67/introducing-elastic-siem-2.png" data-sys-asset-uid="blt0a8f8d63938463bc" alt="Elastic SIEMの&quot;ホスト&quot;ビュー" "="">
<h3>ネットワークセキュリティイベント分析</h3>同様に"ネットワーク"ビューはネットワークアクティビティの主要なメトリックとネットワークイベントのテーブルを表示し、アナリストの調査をサポートします。テーブルから"タイムラインイベントビューアー"をインタラクティブに操作することができます。また7.2よりCisco ASAとPalo Altoファイアウォールがサポートされます。
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt49f9d5bd0cd6f161/5d09f1b797f2babb5af91461/introducing-elastic-siem-3.jpg" data-sys-asset-uid="blt49f9d5bd0cd6f161" alt="Elastic SIEMのネットワークイベントビューアー" style="background-color: initial;">
<h3>タイムラインイベントビューアー</h3>タイムラインイベントビューアーは調査や脅威ハンティングの共同作業スペースとして使えます。気になるオブジェクトをタイムラインイベントビューアーにドラッグして、アラートの元になるデータを取得するのに必要なクエリフィルターを手軽に作成することも可能です。調査作業中に個々のイベントをピン留めしたり、注釈を加える、メモを追加するなどの機能もあり、調査手順を記述する際などに便利です。自動保存機能も搭載し、インシデントレスポンスチームが確実に調査結果を活用することができます。
<img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt87dfa7c4504b234a/5d01b807468d9dde14e96320/introducing-elastic-siem-4.gif" data-sys-asset-uid="blt87dfa7c4504b234a" alt="Elastic SIEMのタイムラインイベントビューアー" "="">
<h2>今後の予定</h2>Elasticはスピード感のある進化を遂げながら、ユーザーにコンスタントなリリースと安定した価値をお届けするべく力を尽くしています。Elastic SIEMは"SIEMはこうあるべき"というElasticのビジョンを実現する大きな一歩となります。そして、初期に寄せられたユーザーやパートナーコミュニティからのフィードバックが大きく寄与したプロジェクトです。
Elastic Stackが自然な形でSIEMのユースケースに普及してゆく様子は、グローバルなシステムインテグレーター企業をはじめとする、Elasticのパートナー各社も注目していました。
セキュリティソリューションインテグレーターであり、Elastic推奨パートナーでもあるOptivで副社長兼サイバーデジタル統括マネージャーを務めるグレッグ・ベイカー氏は次のように述べています。「Elasticが新たにリリースしたSIEM関連機能は、Elastic Stackを使用するクライアントのセキュリティ可視性を最適化し、スケーラブルでエンドツーエンドなセキュリティとデータソリューションを構築する上で役立ちます。今後もElasticと長期的なパートナーシップを育み、セキュリティ機能を求めるクライアントのニーズに協働して応えたいと思います」
今回のリリースはElasticのセキュリティ分野にとって大きなマイルストーンでしたが、チームは現在も全力で楽しみながら開発を継続中です。ロードマップでは、SIEMの検知ルールやユーザー分析、脅威インテリジェンスの統合、対応するデータソースの拡充といった機能の導入が近日中に予定されています。今後も引き続きあらゆることをElasticスタイルで進めていく予定です。従来のSIEMの限界や定義を書き換え、ユーザーのデータやアプリ、ネットワークインフラの保護にますます役立つプロダクトとサービスを提供してまいります。 
<h2>今すぐ使いはじめる</h2><a href="/jp/cloud/elasticsearch-service">Elasticsearch Service</a>でクラスターを立ち上げて使いはじめることも、Elastic Stackの<a href="/jp/downloads">最新バージョン</a>をインストールして使いはじめることもできます。ElasticsearchにECSデータを投入済みの場合は、お使いのクラスターを7.2にアップグレードするだけでElastic SIEMを使うことができます。
これから導入される方に役立つリソースもあります。併せてご覧ください：
<ul>
	<li><a href="/jp/solutions/siem">Elastic SIEMソリューションページ</a></li>
	<li><a href="/guide/en/siem/guide/current/index.html">Elastic SIEMドキュメント</a></li>
	<li><a href="/jp/webinars/introducing-elastic-siem">今後開催されるウェビナーへの登録はこちら</a></li>
</ul>

siem-blog-banner.png

siem-blog-thumb.png

Introducing Elastic SIEM

Elastic SIEM登場

シグネチャーベースのHIDSを提供するWazuhとElasticの機械学習を組み合わせて、脅威の検知と調査をより手軽に、効率よく実施できます。

ML_IDS_2000x415a.jpg

Blog.jpg

Improve Security Analytics with the Elastic Stack, Wazuh, and IDS

Elastic Stack、Wazuh、IDSで実践するセキュリティ分析

Machine Learningの異常検知を利用して、Elasticsearchに蓄えられているログから、サイバー攻撃の兆候を発見する方法をお教えします。

<h2>イントロダクション</h2>これまで複数回にわたるリーズで、ElasticsearchをArcSight SIEMと共に使う方法を紹介しました。<a href="https://www.elastic.co/blog/integrating-elasticsearch-with-arcsight-siem-part-4">前回</a>はX-PackのAlertingを使用してブルートフォースログイン攻撃を検出しましたが、Machine Learingについてはリリース前だったということもあり、もったいぶった部分があります。

そしてついにその時が来ました。<a href="https://www.elastic.co/jp/blog/introducing-machine-learning-for-the-elastic-stack">X-PackのMachine Learning</a>の登場です。今回はElasticsearch内のログデータにおいて、サイバー攻撃による異常を検知するのにMachine Learningを使用するというのがどういうことなのか、詳しく説明していきたいと思います。
<h2>数学です。魔法ではありません。</h2>内容に入る前に、まず簡単な説明を加えておく方がいいかもしれません。サイバーセキュリティに関するよくある誤解は、機械学習が何かしら魔法のアルゴリズムが入った箱のようなもので、データを放り込めば自動的に素晴らしい情報の塊を出してくれる、と考えることです。
そうではなく、サイバーセキュリティにおける機械学習は「補助アルゴリズム」の兵器庫のようなもので、脅威となりうる異常やパターンを探すことでセキュリティ関連のログデータの解析を自動化してくれる(ただしセキュリティのベテランである人間の指揮の元で)、補助的な機能であると考える方が賢明です。
<h2>脅威のモニタリングかハンティングか - Machine Learningの役割</h2>X-PackのMachine Learingは、脅威に係る異常をインタラクティブに調査するのに使用できます。Kibanaの「Anomaly Swimlane」のVisualizationはよく、脅威ハンティングのスタート地点として使用されますが、検出された異常の詳細には「なぜ」その挙動が異常として検知されたのか、どのくらい異常なのか、検出しようとした基本的な攻撃挙動にどう関連するのか、そしてデータのどのエンティティが攻撃挙動に影響しているのかが、セキュリティアナリストに示されます。
X-PackのMachine LearningはElastic Stackにしっかりと組み込まれているので、「Integrating Elasticsearch with ArcSight SIEM」(ElasticsearchとArcSight SIEMの統合)の<a href="https://www.elastic.co/blog/integrating-elasticsearch-with-arcsight-siem-part-2">パート2</a> と <a href="https://www.elastic.co/blog/integrating-elasticsearch-with-arcsight-siem-part-4">パート4</a> のブログで紹介したAlertingテクニックを新たにMachine Learningの実行結果のインデックスに適用することができるようになりました。このインデックスパターンはml-anomalies-*と呼ばれます。この方法により、これら補助的なアルゴリズムから導き出された結果を、脅威モニタリングのアラートトリガーとして使用することができるのです。
<img src="https://api.contentstack.io/v2/uploads/591bdd4cedbaf9c63a5b1242/download?uid=bltec40d9f2c7977114" data-sys-asset-uid="bltec40d9f2c7977114" alt="image1.png">図1 Elastic Stackに組み込まれたX-PackのMachine Learning<h2>脅威検出のためのMachine Learning「レシピ」</h2>閾値ベースのイベント通知はパワフルですが、複数回のログインを失敗したの後に成功した、などというイベントに基づいて通知するような場合を考えると、これまでセキュリティアナリストの知見なしでは達成できなかったことが、簡単に行えるようになるかもしれません。
とは言え、既に記述した通りこれは数学的な話であって魔法の話ではありませんので、Machine Learningエンジンにはジョブ設定という名の命令を出す必要があります。エンジンは数値やカテゴリに関わらずどんなタイプの時系列データでも理解できますので、設定できるMachine Learningジョブの種類は無限です。柔軟性に富んではいますが、単に脅威だけを見つけたいセキュリティアナリストにとっては複雑すぎるかもしれませんね。
ここではセキュリティで使用する場合のMachine Learning「レシピ」のコンセプトをご紹介します。レシピにはMachine Learningジョブの設定方法が記載されています。これは他の方法では検出が難しい基本的な攻撃挙動を、自動化された異常検知で摘発できるようにするためのものです。基本的な攻撃挙動には、DNSトンネリング、ウェブデータ抜き出し、疑わしいエンドポイントプロセス実行などのアクティビティが含まれます。
<img src="https://api.contentstack.io/v2/uploads/591c5aefd7764366397ea97d/download?uid=bltb250291321c7d463" data-sys-asset-uid="bltb250291321c7d463" alt="recipes.png">
図2 セキュリティユースケースでのMachine Learningレシピの例 
各レシピは、処理理論、説明、および結果のモデル化と観察を行うための具体的なレシピステップなどの各セクションに分けられた短いドキュメントに含まれています。レシピステップには特徴選択、モデル化手法、検出ターゲット、比較セット、インフルエンサー候補、解析期間、および結果の解釈が含まれます。
バージョン5.4のリリースの際には、セキュリティのユースケースの例を紹介しましたが、 <a href="https://github.com/elastic/examples/tree/master/Machine%20Learning/Security%20Analytics%20Recipes">こちらのGitHubのリポジトリ</a>, で、複数のレシピ、設定、データ、スクプトなど、すぐに試せるものを提供しています。
<h2>DNSトンネリングを検出するレシピ</h2>例として、Machine Learningを利用してDNSトンネリングを発見する方法を見てみましょう。
まず前提として、DNSトンネリングとは、ドメイン・ネーム・サービス(DNS)のインターネットプロトコルを使って本来DNSに含まれないデータを組織のネットワークに入れる、または抜き出そうとする行為のことを言います。インターネットに接続されているITインフラ全体の要求から、DNSネットワークトラフィックは基本的にファイアウォールでブロックされておらず、このため組織のセキュリティを掻い潜った不正な、悪意のある通信に使用されやすいチャネルになってしまっています。たとえば <a href="https://blog.gdatasoftware.com/2014/10/23942-new-frameworkpos-variant-exfiltrates-data-via-dns-requests">FrameworkPOSマルウェア</a> はこのテクニックを使って、小売店のPOS端末から盗んだカードの所有者情報を抜き出しています。
それでは、ElasticのセキュリティサークルではDNS-EAB02として知られる、セキュリティ・ユースケースでの機械学習レシピについてご説明しましょう。"DNS"は、このレシピで解析するログの種類が"DNS"であることを表しています。"EAB"はこのレシピで基本的な攻撃挙動(Elementary Attack Behaviors)を検出することを表しています。"02"は他のDNSレシピと区別するための識別番号です。レシピには以下の通り複数のセクションが含まれています。
理論: DNS Query Requestのサブドメインフィールドに異常な数のエントロピー(情報量)がある場合、DNSプロトコルによるデータ抜き出しである可能性があります。

DNSデータ抜き出しを検出する方法は他にもあり、今回のジョブではその中の1つだけ使用しています。ちなみにこの手法は実際の企業環境で効果があると証明されたものです。他の手法を使ったり、手法を追加したりしたい場合はこのジョブをコピーしてお好みで書き換えていただけます。あるいは両方実行して結果を比べたり組み合わせたりしてもいいかもしれません。
説明: このユースケースレシピは、どのDNSクエリーリクエストが、異常に多くの情報が送られたか、どのIPアドレスで生成されたか明らかにします。

最初のうちは、フィールドのサブドメイン部分に異常な量のエントロピーが含まれるリクエストが送信されたドメインを特定するのが正しいやり方であるとは実感しにくいかもしれません。しかしデータのモデル化という観点から考えると、解析の過程で異常性を持つ確率が高いデータの特徴を特定する必要があります。今回の解析で私たちがモデル化したいのはDNSクエリログのドメインフィールドで、その特徴はサブドメインフィールドに含まれる情報量にあたります。
効果: このレシピはどのように自動的にDNSトンネリングを検出することができるか、例として提供されています。このほかにもより良い、もっと複雑な方法のレシピの方が、効果的な発見をもたらす可能性があります。
繰り返しになりますが、このレシピは単なる例です。ご自分のチームのノウハウを適用することで、より有効性を向上させることができるかもしれません。
ユースケースのタイプ： 基本的な攻撃挙動(EAB) - このユースケースでは基本的な攻撃挙動と関係する異常を検知します。検出された異常にはそれぞれ標準化されたAnomaly Score (異常度点数)が割り当てられ、異常に対して統計的な影響を与えるデータ内の別フィールドの値で注釈付けされます。共通のインフルエンサーを持つ基本的な攻撃挙動は往々にして共通の攻撃と関連しています。

このレシピはリスク因子のメタ解析を行っているわけではなく、サイバー攻撃を検出するため、X-Packのアラート機能を使って他の攻撃挙動に関連付けられる基本的な攻撃挙動を検出するものです。
ユースケースデータソース： DNSクエリログ(クライアントからDNSサーバー)

A reminder of what kind of data we'll need for this recipe
ユースケースレシピ：
For (対象)： DNSクエリーリクエスト (filtered for question types: A, AAAA, TXT)
Model (モデル)：サブドメイン文字列内の情報量
Detect (検出)：異常に多い情報量
Compared to (比較対象)：:登録されたドメインに対するクエリ結果の集団
Partition by (分割)： None
Exclude (除外)：解析で頻発するドメイン
Duration (期間)：DNSクエリに対して、2週間以上の分析を実行する
Reated recipes (関連レシピ)：このEABユースケースのみで実行、またはDNS-EAB01 DNS DGA Activityと一緒に実行
Results (結果)：インフルエンサー・ホストはDNSトンネリングの活動元である可能性が高い
レシピを分かりやすい言葉で言い換えましょう。このセクションでは、データを引っ張ってくる元となるログメッセージ、モデル化するデータの特性、検出しようとしている異常な挙動、それが何と比較して異常なのか、この解析を区分化したいのか、結果を占有する可能性がある頻出値は除外するのか、適切な結果を生成するのに必要なデータ量はどれくらいか、このジョブと組み合わせたほうがいいジョブはあるのか、そして解析結果のどの部分を見てどのように解釈するのか、を指定しています。
Additional configuration parameters:
これらのセクション(Example Elasticsearch Index Patterns, Example Elasticsearch Query, and Machine Learning Analysis / Detector Config)は、Machine Learningジョブが意図した動きをするよう設定する、詳細技術設定になります。これらの詳細項目は、ジョブ設定ビューの設定に直結しています。
Machine Learninのジョブ設定が終われば、随時インデックスされるクライアントから行われるDNSリクエストログに対して分析を行なって通常の性質から正常なベースラインを作成し、異なった特徴を見つけることができます。

先に言及したように、発見した以上はElasticsearchのインデックスに記録されています。初期値では、ml-anomalies-*という名前で、KIbanaのDashboardで検索したり、Machine Learninのプラグインで探索したり、Alertingによって通知を行うことができます。 
X-PackのMachine Learningが実際に動く様子をお見せする短い動画をいくつかご用意していますが、ここにも、V5.4 (ベータ版)のX-PackのMachine LearningのAnomaly ExplorerでDNSトンネリングジョブの結果を表示している画面イメージを載せておきます。
<img src="https://api.contentstack.io/v2/uploads/591bddbc0529160141e36573/download?uid=blt21347fb80005d873" data-sys-asset-uid="blt21347fb80005d873" alt="image3.png">
<h2>まとめ</h2>X-PackのMachine Learningにより、Elasticsearch内にセキュリティ関連のログデータを持っているセキュリティアナリストやエンジニアも機械学習技術にアクセスできるようになります。X-PackのMachine Learningの基本要素は、異常検知ジョブです。セキュリティ解析のユースケースのレシピは、攻撃挙動を検知するジョブの設定方法を表してくれます。プログラミング無しでも、補助的なアルゴリズムの軍隊を率いるリーダーとなって脅威を検出し、セキュリティを強化することができるのです。<h2>Where to Learn More</h2><ul>
<li>公開データセットを持ちいてMachine Learningを<a href="https://www.elastic.co/jp/blog/experiencing-machine-learning-with-nyc-taxi-dataset">試してみる。</a></li><li>時系列データの異常検知実践入門<a href="https://www.elastic.co/jp/videos/intro-to-machine-learning-workshop">ビデオを見る</a>。</li>
	<li> Machine Learning Lab動画を観る： <a href="https://www.elastic.co/videos/machine-learning-tutorial-creating-a-single-metric-job">ビデオ1</a>, <a href="https://www.elastic.co/videos/machine-learning-tutorial-creating-a-multi-metric-job">ビデオ2</a>, <a href="https://www.elastic.co/videos/machine-learning-lab-3-detect-outliers-in-a-population">ビデオ3</a>（英語）.</li>
	<li> 攻撃挙動を検出するその他のMachine Learning<a href="https://github.com/elastic/examples/tree/master/Machine%20Learning">レシピを見る</a>。（英語）</li>
	<li>X-Packの無料トライアルを<a href="https://www.elastic.co/downloads/x-pack">ダウンロード</a>する。
</li>
	<li><a href="https://www.elastic.co/downloads/x-pack"></a>フル製品ツアーを <a href="https://www.elastic.co/webinars/automated-anomaly-detection-with-machine-learning">ウェビナー</a>で受講する。（英語）</li>
</ul>

blog-machine-learning-5-4-release.png

Using Machine Learning and Elasticsearch for Security Analytics: A Deep Dive

実例: Machine LearningとElasticsearchをセキュリティ分析に利用する

データを搾取して身代金を要求するインターネット上のランサム攻撃が流行しています。あなたのElasticsearchクラスタが犠牲者にならないようにしてください。

<table style="background: #FFFFD2;">
<tbody>
<tr>
<td>Elastic Stack 6.8/7.1以降に関する大切なお知らせ デフォルト配布のElastic Stackで、主要なセキュリティ機能を永久に無料でお使いいただくことができるようになりました。TSL暗号化やユーザー認証、ロールベースのアクセス制御をはじめとする機能が含まれます。実装方法について詳しくは、「<a href="https://www.elastic.co/jp/blog/getting-started-with-elasticsearch-security">Elasticsearch Securityを使いはじめる</a>」でご紹介しています。</td>
</tr>
</tbody>
</table>先週後半に、<a href="http://arstechnica.co.uk/security/2017/01/more-than-10000-online-databases-taken-hostage-by-ransomware-attackers/">悪意のある攻撃</a>が開始されました。この攻撃で、何千ものオープンソースのデータベースからデータがコピーまたは削除されたり、「身代金」を支払うまでシステムが使用不能な状態に陥るという事態が生じました。この攻撃ではマルウェアやいわゆる「ランサムウェア」は使用されず、製品の脆弱性も関係なかったにも関わらず、データの消失から漏洩に至る重大なセキュリティインシデントに発展しました。唯一の慰めは、今後同様の攻撃を受けたとしても、適切な設定をしておけば、消失したデータを簡単に復元できるという点です。
このような事件は、すべてのElasticsearchインスタンス、特にインターネット経由でアクセス可能なインスタンスを保護することがいかに重要かということを再認識する良い機会です。 &nbsp;
 
<a href="https://www.elastic.co/cloud">Elastic Cloud</a> を使用していれば、個々のパスワードが無作為に割り当てられる<a href="https://www.elastic.co/products/x-pack/security">X-Pack security</a>でクラスタは保護されますので、安心です。クラスタは、お客様が選んだAWSリージョン内で、二重のファイヤウォールとプロキシの裏側にデプロイされます。インターネットからの通信はTLSで暗号化され、クラスタデータのバックアップはElasticによって2日間保管されます。
 
Elastic Cloudをご利用でない場合、保護されていないElasticsearchインスタンスはインターネットに晒さないことを強くお勧めします。<a href="https://www.elastic.co/blog/found-elasticsearch-security">2013年のブログ記事</a>を参照してください。Elasticでは、インストールしたての状態では、サービスをローカルホストのみにバインドすることで、セキュリティの強化を図ってきました。それでも、インターネットからアクセス可能な状態でありながら、保護されていないインスタンスが増えていることも認識しています。
 
保護されていないインスタンスがインターネットからアクセス可能な状態であるなら、ただちに次のような対応策を講じて、データを保護することを強くお勧めします。
<ul>
	<li dir="ltr">すべてのデータのバックアップを<a href="https://www.elastic.co/guide/en/elasticsearch/guide/2.x/backing-up-your-cluster.html">実行</a>して安全な場所に保管し、<a href="https://www.elastic.co/guide/en/elasticsearch/client/curator/current/snapshot.html">Curatorでスナップショットを実行する</a></li>
	<li dir="ltr">切り離された、インターネットから直接アクセスできないネットワークでElasticsearchを実行するように構成を変更する</li>
	<li dir="ltr">どうしてもインターネット経由でクラスタにアクセスする必要がある場合は、インターネットからクラスタへのアクセスを、ファイアウォール、VPN、リバースプロキシ、その他のテクノロジ経由に限定する</li>
</ul>さらに、ベストプラクティスの一環として、次のことを常に実行することをお勧めします。
<ul>
	<li dir="ltr"><a href="https://www.elastic.co/guide/en/elastic-stack/current/upgrading-elastic-stack.html">Elastic Stackの最新バージョンに</a>アップグレードする</li>
	<li dir="ltr">バージョン2.xを使用している場合は、<a href="https://www.elastic.co/blog/scripting-security">スクリプト</a>設定を確認するか、バージョン5.xの新しい<a href="https://www.elastic.co/blog/painless-a-new-scripting-language">Painless</a> スクリプトの使用を検討する</li>
	<li dir="ltr">X-PackのSecurityでTLS暗号化、認証、承認、IPフィルタを追加して <a href="https://www.elastic.co/webinars/x-pack-security-overview-roadmap-demo">secure your Elasticsearch instance</a><a href="https://www.elastic.co/products/x-pack/security">Elasticsearchインスタンスを保護する</a></li>
</ul>

Articles by Mike Paquette

Elastic SIEM登場

Elastic Stack、Wazuh、IDSで実践するセキュリティ分析

実例: Machine LearningとElasticsearchをセキュリティ分析に利用する

ランサム攻撃からデータを守るには

プロダクト

Elasticについて

情報