Digital Arts News Watch

急速に高まるインシデントレスポンス（インシデント対応）の重要性

ここ1年ほどの間で、情報セキュリティの分野において「インシデントレスポンス（インシデント対応）」の重要性が急速にクローズアップされるようになりました。インシデントレスポンス（インシデント対応）とはその名の通り、インシデントの検知や発覚を受けた際の対応のことを指します。これまでもその重要性についてはたびたび指摘されてきましたが、ここに来てその重要性が一気に高まった背景には、企業を脅かす標的型攻撃の高度化・複雑化と、それに伴う被害の拡大があります。

メールやサイトを通じた外部からの攻撃手法は、かつてとは比べ物にならないほど巧妙になり、もはや「不審なメールは開かないように」「怪しいURLはクリックしないように」といった注意喚起だけでは、マルウェアの社内への侵入や感染を防ぐことはできません。100％完ぺきな防御が不可能である以上、社内ネットワークへの侵入を許した後の次善の策を強化する以外にありません。

インシデントレスポンス（インシデント対応）とはまさにそのための取り組み全般を指すものであり、その中にはCSIRTのようなセキュリティ専任組織を社内に設けて、社内外との情報共有やインシデント対応をスムーズに行うための体制作りも含まれます。当然、そうした活動を側面支援するために有効なITツールの導入や活用も欠かせません。特に近年、注目を集めるようになったセキュリティ製品の1つに、「SIEM（Security Information and Event Management）^※1」というものがあります。

インシデント検知技術の最前線「SIEM」

SIEMを一言で説明すれば、さまざまなセキュリティ機器やネットワーク機器、サーバーなどからログを収集し、それらの内容を横断的に分析して不審な動きや不正の痕跡が残っていないかを可視化・検知してくれるというものです。インシデントが発生していないか、あるいは発生の危険が迫っていないかを判断するには、一般的にはセキュリティ機器やネットワーク機器、サーバーなどのログの内容を分析し、それに相当する履歴が残っていないかを探索します。

しかし、近年の標的型攻撃の手口は極めて高度かつ複雑であるため、ある特定の機器のログを単体で分析するだけではその痕跡が掴みにくくなっています。そのため、複数の機器のログの内容を突き合わせて相関分析を行うことで、より精度の高い検知が可能になります。

ただしこの相関分析を人手で行うとなると、膨大な手間と極めて高度なスキルを要します。そのため、これまではごく限られた企業やSOCプロバイダーだけが可能な取り組みでした。SIEMはこれをツールによって自動化し、誰もがログの高度な相関分析によるメリットを享受できるよう開発されました。具体的には、さまざまな機器から自動的にログを収集し、そのフォーマットを正規化して一元管理します。その上で、それらの内容に対して相関分析を施すことによって、個別のログを一見しただけでは検知しにくい潜在的なリスクの芽も速やかに検知してくれるのです。

SIEMと「i-FILTER」の連携がもたらす価値

標的型攻撃への有効な対抗手段として、現在大きな期待を集めているSIEMですが、その効力を発揮するにはログ収集の対象となるセキュリティ機器やネットワーク機器が、SIEMとの連携をサポートしている必要があります。そのため、もしこれからSIEM製品やセキュリティ製品を導入する際には、「互いの連携が正式にサポートされているか」という観点から選んでみるのもいいでしょう。

ちなみに弊社が提供しているWebフィルタリング製品「i-FILTER」も、SIEM製品との連携をサポートしています。「i-FILTER」はプロキシサーバーとして、インターネットと社内ネットワークとの間でやりとりされるあらゆる通信のログを記録します。SIEMを使ってインシデントの検知や調査を行う際には、この情報は極めて重要な役割を果たします。

そこで弊社では、「i-FILTER」とさまざまなSIEM製品との連携をサポートすることで、企業のインシデントレスポンス（インシデント対応）の取り組みを強力にバックアップしています。SIEMの先駆けともいえる存在であり、最もよく知られる製品の1つである「splunk」に関しては、既に「i-FILTER」との連携動作を正式にサポートしています。

さらに2016年11月には、日本IBMが提供するSIEM製品「IBM QRadar Security Intelligence Platform」（以下、QRadar）との連携も正式にサポートされました。これにより、「i-FILTER」のプロキシサーバー上で記録したインターネットアクセスログの内容を、同じくQRadarと連携するさまざまなセキュリティ機器、ネットワーク機器、サーバーのログと相関分析することにより、侵入者のほんのささいな挙動も速やかに検知できるようになります。

「i-FILTER」と「QRadar」の連携概要図

なお弊社では現在、splunkおよびQRadar以外のSIEM製品と「i-FILTER」との連携についても、順次検証作業を行っています。検証済みのSIEM製品についての情報は、順次製品サイトに公開していく予定ですが、個別のお問い合わせにも対応していますので、もし既にご利用中のSIEM製品と「i-FILTER」との連携サポートについて知りたい方は、ぜひ気軽にお問い合わせいただければと思います。
＜「i-FILTER」製品担当：遠藤＞

• ※1 SIEMについての詳細は、「最近ちょくちょく耳にする「SIEM」って、一体どんなセキュリティ技術なの？」をご参照ください。
• ※2 uDSM = Universal Device Support Moduleの略称。IBMがサポートする、マルチベンダー製品のログソース取り込み用の汎用的なプラグイン。

インシデントレスポンス（インシデント対応）の取り組みには「i-FILTER」をおすすめします。