項目をセキュリティにしていいものか迷ったが、とりあえず関連することなのでセキュリティにしてみた。

すでに、ログ解析を始めて4ヵ月が経過した。処理にも慣れ、お客様のイベントの傾向に目を向ける余裕が出てきた。ここで、ふと変なことに気づいた。それは同じようなIPアドレスのレンジを持つA社、B社でZというイベントの件数が全く違うのだ。ちなみにおいてあるIDS(ポリシーも含む)も同じである。

どれくらい違うかと言えば、A社は0件、B社は40件程度とまったく違う。始めはこの差に違和感を抱きつつも、「B社は狙われてんな〜」ぐらいにしか思っていなかったが、この考えはまったくの間違いであることを最近気づいた。みなさんは、この理由が分かるだろうか。

それは、

A社ではIDSをFWの内側に置いてあるため、ZというイベントがFWによってとめられてしまう。その結果IDSでは当然検知はしない。B社はIDSをFWの外側においているため、色々なイベントを検知する。。。
そういう理由だったのだ。

これは、ログの解析をしている時にも言える。IDS なんて誤検知率が50％を超えることはザラで、本当の攻撃、つまり分析の対象となるログは1割あればいいほうである。しかし、いつもは誤検知と判断して捨てているログも、よく見てみると実は本物の攻撃だった。。なんていうことも、この4ヵ月の間、嫌というほど遭遇した。思い込みほど、この業界に怖いものは無い。