Digital Arts News Watch

2016/03/09   
標的型攻撃    セキュリティ全般    i-FILTER   

最近ちょくちょく耳にする「SIEM」って、一体どんなセキュリティ技術なの?

昨今注目を集める新たなセキュリティ技術「SIEM」

昨今、セキュリティ業界で「SIEM」という用語を頻繁に耳にするようになりました。SIEMは“Security Information and Event Management”の略で、日本語では「セキュリティ情報イベント管理」などと訳されます。実はこのSIEMが、現在世界中で猛威を振るっている標的型攻撃への極めて有効な対抗手段になるのではないかと、大きな期待を集めているのです。

ではSIEMとはそもそも一体、何をするものなのでしょうか? その名前から、「セキュリティ情報」や「セキュリティイベント」を「管理」するものだということは何となく分かります。ここで言う「セキュリティ情報」や「セキュリティイベント」は、具体的にはセキュリティ機器やネットワーク機器のイベントログとほぼ同義だと考えていいでしょう。つまりSIEMはまず第一義に、ネットワーク内に存在するさまざまなセキュリティ/ネットワーク機器のログを収集して一元管理する「統合ログ管理」の役割を担うものであると定義できます。

しかし、単にログを一箇所に集めて管理するだけなら、これまでも似たようなソリューションは存在しました。SIEMが優れている点は、こうして集めてきた複数のログの内容を横断的に分析し、異なるログの間をまたがった「相関分析」を自動的に行ってくれるところにあります。

人手では手間の掛かるログ相関分析を自動化

セキュリティインシデントの予兆や痕跡は、大抵イベントログの中に何らかの形で残されています。単純なケースなら、1台のセキュリティ/ネットワーク機器のログの中から見付けることもできるでしょう。しかし、昨今の手口が極めて巧妙な標的型攻撃の予兆や痕跡は、単体のログを一瞥するだけではそうそう簡単には見付かりません。複数の機器のログを集めてきて、時系列を追いながらそれぞれの内容を突き合わせていくことで、何らかの攻撃を受けたことを初めて検知できるのです。

例えば、あるクライアント端末のログに、あるサーバーへのアクセス履歴が残っていたとしましょう。この端末のユーザーは普段からこのサーバーにアクセスしているので、一見すると何の問題もないように見えます。しかし、これを入退室管理システムのログと突き合わせてみると、ユーザーが部屋にいないはずの時間帯にアクセスが行われていることが分かるかもしれません。つまりここでは、複数のログの内容を突き合わせて相関分析を行ったことで、初めて疑わしいサーバーへのアクセスがあったことを検知できたわけです。

ただし、複数ログの相関分析は従来は人手に頼るほかなく、かなりの手間と時間が掛かるため、たとえ攻撃の予兆や痕跡が検知できたとしても、それを受けての対策はどうしても後手に回りがちでした。その点SIEMは、ログの収集と相関分析を自動で、かつリアルタイムに高速処理してくれるため、攻撃そのものやその予兆をいち早く検知して管理者に知らせてくれます。

セキュリティインシデント対応においては、何より初動が大事だといわれています。CSIRTなどはそのための重要な取り組みの1つですが、SIEMはインシデントを事前にいち早く検知することで、そうした初動や事後対応を強力に後押してくれるものなのです。

「SIEM」と「i-FILTER」の連携で迅速なインシデント対応を

SIEMはまだ比較的新しい技術ですが、既に多くのベンダーから製品が提供されています。これらのSIEM製品は、連携先となる各種セキュリティ/ネットワーク機器のログのフォーマットをあらかじめ定義しておくことで、機器ごとに異なるさまざまフォーマットのログを収集・一元管理できる仕組みを備えています。

ちなみに、弊社が提供するWebフィルタリングソフト「i-FILTER」も、現在主要SIEM製品との連携動作検証を順次進めており、既に一部の製品とは正常に連携できることを確認しています。今後、動作検証を終えたSIEM製品の情報を順次弊社のサイト上で公開していく予定です。

「i-FILTER」は、社内ネットワークとインターネットとの間の通信をすべて束ねるプロキシサーバーとして動作します。もし何らかのインシデントが発生した際には、まずは「i-FILTER」のログを確認し、社外の疑わしいサーバーとの通信が行われていないかチェックします。ここで、もし他のセキュリティ/ネットワーク機器のログの内容と突き合わせることができれば、事象のより詳細を把握できるところですが、先述のようにこれを人手で行うのは大変な上、そもそもこれを行えるだけのスキルを備えた人材が社内にいるとは限りません。

その点、「i-FILTER」を含めたあらゆるセキュリティ/ネットワーク機器をSIEMと連携させておけば、相関分析が自動的に行われ、事象の詳しい内容をその場でいち早くキャッチできるのです。より迅速な初動や、被害最小化のための適切な事後対策へとつながることは言うまでもありません。

なお、「SIEM」と「i-FILTER」を組み合わせたソリューションについては、別途詳しい資料も公開していますので、興味をお持ちの方はぜひご一読ください。
<「i-FILTER」製品担当:遠藤>

資料のダウンロード(標的型攻撃対策に SIEMが必要とされる理由)

「i-FILTER」の詳細は製品紹介ページをご確認ください。

i-FILTER