そして、もう1つの課題は本特集のテーマでもある「ログ」の問題だ。米シスコは、「2020年までに500億台ものデバイスがインターネットにつながる」と予測している(参考リンク)。デバイス単体が小型化しても、このようにその数が“暴力的なまでに”増加すれば、当然ログの量も膨大となる。また、そのフォーマットも多様化するだろう。「こうした多量かつ多様なログをどのように管理していくのかも、これからの検討課題だ」と渥美氏は言う。現在のITシステムが用いている仕組みをそのまま流用するだけでは、こうしたログの管理・監視を実現するのは困難だ。
また、「IoTの場合は、通信回線が本来の用途であるセンサーデータで埋め尽くされてしまう可能性があるため、『そもそもセキュリティログを送ることができるのか』という課題もある。場合によっては『セキュリティログは送らない』という判断もあるだろう。通信回線の利用料金との兼ね合いなども考慮し、どのようなログを、どのような方法で管理するか/しないかをまず考えなくてはならない」と渥美氏は指摘する。
仮にセキュリティログを送信できないような場合には、「センサーから送られてくるデータの“揺らぎ”に注目することも、1つのポイントになりそうだ」と渥美氏は述べる。「定期的に送られてくるはずのデータが来ない、あるいは逆に大量のデータが送られてくるといった異常を検知することができれば、それが必ずしもセキュリティインシデントでないにしても、少なくともデバイスの異常を発見することはできる。そうした観点でのデータ監視もIoTでは必須になるだろう」(同氏)。
それに付け加えて、ラック ITプロフェッショナル統括本部 サイバーセキュリティ事業部 サイバー救急センター 担当部長の鷲尾浩之氏は、長年にわたりSIEM(Security Information and Event Management)などを用いたITシステムのセキュリティログ監視に携わってきた経験を踏まえ、「結局は、分析に必要な情報が出てこなければ意味がない。各機器が『どんなデータを出せるのか』、分析する側が『何を見たいのか』を、IoTの運用側とセキュリティ担当者の双方ですり合わせる必要があるだろう。また、機器がどのように悪用され得るかということについての知見がなければ、どのログを基に何を見つければよいのかを想定することもできない。悪用ケースを想定しつつ、IoT機器側のリソース消費を最小限に抑え、必要なログを取得できる環境を整える必要がある」と述べた。
そもそも、これまでのITの世界を振り返って見ても、ログの重要性は度々指摘されてきたにも関わらず、その活用は長年進んでこなかった。その理由について鷲尾氏は、「機器を購入すれば取りあえず何らかのログは出るが、それをどう扱うか、どのように利用すればいいのかが分からず、ただ機器を運用しているだけという企業も多い」と指摘する。
APT(Advanced Persistent Threat)や標的型攻撃の横行を背景に、最近でこそログ活用の機運が高まってきたが、「いくらログをとっても、自社への影響の度合いやアラートの真偽の確認などを分析できる人材がいないということも課題となっている。ログの分析には、ネットワークやセキュリティの知識に加え、組織や事業内容に対する理解が必要だ」と鷲尾氏は述べる。
例えば、システムやネットワーク構成、資産情報、ユーザー情報に加え、「通常の運用ではどのような通信が発生するのか。ピークはいつで、夜間バッチ処理でどんなトラフィックが生成されるかといった『通常状態』を知らないと、怪しいものは見つけられない」(鷲尾氏)。
つまり、何より重要なのは「目的を絞って、自組織のことをよく理解した上で、ログを見る習慣を付けることだ」(鷲尾氏)。SIEMなどはあくまでツールで、監視・分析範囲を広げていく過程で、作業を効率的にするために導入を検討するものにすぎない。「SIEM製品の中には、あらかじめいくつかのルールを定義しているものもあるが、組織特有の問題を見つけるには、自分たちで製品に命を吹き込まなければならない。自分たちの組織にあるリスクを洗い出した上で、それが発生した場合を想定し、何を見つけるかを絞っていくことで初めて製品を活用できる。これはITでもIoTでも変わらない原則だろう」(鷲尾氏)。
Copyright © ITmedia, Inc. All Rights Reserved.