ノーガード戦法とは異なる、これからの「事故前提型対策」とは：特集：セキュリティソリューションマップ（3）（1/2 ページ）

多層防御と一体となって注目されているのが「ダメージコントロール」という考え方だ。予防も大事だが、マルウェア感染に代表されるセキュリティインシデントは「起こり得るもの」と考え、早期発見、早期対処の体制を整備するというアプローチである。それを支援するツールやサービスを紹介しよう。

[＠IT]

　ここまで、「境界領域」と「エンドポイント」の二つに分けて、「多層防御」を構成する主なセキュリティソリューションを紹介し、それぞれがどういった役割を果たすか俯瞰してきた。

　おそらく大半の企業は、多かれ少なかれ、こうしたセキュリティソリューションの一部は既に導入済みだろう。しかし、攻撃手法は常に進化している。標的型攻撃のように、こちらの対策や運用状況を踏まえた手口も登場している。無尽蔵に予算とリソースがあればともかく、全てを守りきることは難しい。

　繰り返しになるが、サイバー攻撃が巧妙化するにつれて、「どれか1つのソリューションで侵入を完全に防ぐことは困難である」という現実が共有されつつある。仮に、どこか対策が突破されても、二の手、三の手によって被害を緩和し、情報漏えいやシステム障害といった致命的な事態に至る前に食い止めることができれば、効果はあると言えるだろう。

　この多層防御と一体となって注目されているのが「ダメージコントロール」という考え方だ。予防も大事だが、マルウェア感染に代表されるセキュリティインシデントは「起こり得るもの」と考え、インシデントの早期発見、早期対処の体制を整備するというアプローチである。

　例として、地震をはじめとする天災への備えを考えると分かりやすいだろう。いつかやってくるであろう災害に備え、緊急時の連絡体制や代替手段を整備している企業は多いはずだ。こうした備えがあれば、もし災害が起こった場合でも被害を速やかに把握し、ダメージが広がらないよう対処を進め、全体として被害を最小化できると期待できる。

　もちろん、伝統的な境界領域のセキュリティやエンドポイントセキュリティの実施によって、必要十分な予防策を実施することも、これまで以上に重要だ。ただ、サイバーセキュリティに関しては、「想定外」の事態が起こるもの。万一の事態に備えたダメージコントロールにもバランスよく取り組んでいく必要があるだろう（なおこれは、攻撃に対して何ら備えず、被害が起こったときには「攻撃者が悪い」と開き直る、「サイバーノーガード戦法」とは全く異なる）。

　事実、標的型攻撃による被害が報じられたこの1年ほどで、事故前提型のセキュリティ対策がようやく注目されるようになった。その流れの一環で、セキュリティインシデントの発見、対応と各部との調整、修正に当たる「CSIRT」や「SOC」の整備に取り組む企業も増加している。事故前提型の対策を進める際には、リスクアセスメントや優先順位付け、組織・体制の整備といった取り組みが必要になるが、今回は、こうした組織がうまく機能するよう「手助け」してくれるソリューションについて紹介しよう。また後半では、「サービス」の形でセキュリティ対策を支援するものも紹介していく。

　一つだけ注意していただきたいのは、こうしたソリューションを単に導入するだけで事故前提型の対策が実現できる、というわけではない点だ（境界セキュリティやエンドポイントセキュリティについても同じことが言える）。自社の限られたリソースの中で、何をツールや外部のリソースに頼り、何を自社で実施するのかを見極め、適材適所で活用していただきたい。

SIEM（Security Information and Event Management）

　セキュリティインシデント対応は、今、システムの状況がどうなっているのか、リスクがどこに存在するのかを把握することから始まる。それを支援するツールが「Security Information and Event Management（SIEM）」だ。セキュリティ情報管理（SIM：Security Information Management）とセキュリティイベント管理（SEM：Security Event Management）という2つの概念を組み合わせた用語で、システム内のさまざまな機器からログを収集、分析し、異常の発生を分かりやすく示してくれる。

　多くの製品は、ファイアウォールや不正侵入検知／防御システム（IDS/IPS）をはじめとするセキュリティ機器に加え、ルータ、スイッチといったネットワーク機器やプロキシサーバ、エンドポイントなど、ITシステムを構成する多様な機器からログを収集し、正規化する。エンドポイントセキュリティ編で紹介した「資産管理」ツールを活用するのも一つの手だろう。

　SIEMはその上でログ同士に相関分析を加え、不審なイベントを通知する。例えば「エンドポイントでこのファイルが生成された後に、このIPアドレスに対する通信が発生し、業務時間外にファイルサーバに頻繁にアクセスが行われている状況は非常に怪しい」といった具合だ。自社の運用形態に合わせたチューニングが必要になるため、やや「重たい」ソリューションだが、今後は機械学習による自律的な相関分析ルール生成に期待がかかる。

ベンダー名	主な製品名	URL
スプランク	Splunk Enterprise	https://www.splunk.com/ja_jp/products/splunk-enterprise.html
マカフィー	McAfee Security Information and Event Management（SIEM）	http://www.mcafee.com/jp/promos/siem/index.aspx
日本IBM	IBM QRadar Security Intelligence Platform	http://www-03.ibm.com/software/products/ja/qradar
日本ヒューレット・パッカード（HPE）	ArcSight ESM	http://www8.hp.com/jp/ja/software-solutions/siem-security-information-event-management/

脅威インテリジェンス

　ウイルス対策ソフトに代表される従来型のセキュリティ対策は、脅威の特徴を記した情報（シグネチャ）をローカルに配信し、それを参照してブロックなどの制御を行うことが多かった。しかし攻撃側のスピードは格段に早まっており、用いられるマルウェアやWebサイトのIPアドレスが数日単位で、時には1日のうちに変化することも珍しくない。残念ながら、シグネチャをはじめとするスタティックな情報では最新の脅威に追いつけなくなっている。

　これを踏まえて、クラウド側に脅威に関するさまざまな情報——ファイルのハッシュ値や悪意ある活動に用いられるIPアドレス、URLなど——を蓄積した一種のデータベース、「サイバー脅威インテリジェンス」（「脅威インテリジェンス」や「セキュリティインテリジェンス」と表現することもある）を構築するセキュリティベンダーが増えている。独自のリサーチに加え、顧客に導入された各製品から情報を収集するとともに、最新のインテリジェンス情報を反映することによって、シグネチャ作成が間に合わない最新の脅威に対する防御を実現する仕組みだ。

　最近では、ファイアウォールやエンドポイントセキュリティ製品が、ベンダーそれぞれに構築したインテリジェンスを参照し、最新の脅威に対応できるよう工夫を凝らしている。海外では脅威インテリジェンス提供に特化した企業も登場しており、情報の規模・質を競っている。

ベンダー名	主な製品名	URL
ウェブルート	BrightCloud	http://www.webroot.com/jp/ja/brightcloud/enterprise/
シマンテック	DeepSight Intelligence services	-

エンドポイントとの連携ソリューション

　明確な名称はまだ固まっていないが、ネットワーク境界で動作する「ファイアウォール」「サンドボックス」やクラウド上の脅威インテリジェンスの情報、さらにはエンドポイントセキュリティ製品を協調動作させ、マルウェアの検出と感染範囲の特定、早期対応を支援し、初期対応を支援するソリューションが登場しつつある。一元管理によって、スムーズに時間をかけず対応でき、被害の早期回復を実現できる点が利点とされているが、一方で、特定ベンダーにロックインされる点を懸念する声もある。