潜在的なセキュリティリスクの早期発見、早期対処を可能にする次世代SIEM:火は「ぼや」のうちに気づけるかが重要
標的型攻撃など、不正侵入の手法が高度化するにつれて、セキュリティに対するアプローチにも変化が求められている。全ての攻撃を防ごうと試みる代わりに、なるべく早く異常事態に気付き、原因を調査して早期に対応しようというものだ。そのアプローチを支えるツールが「SIEM」である。その1つであるマカフィーの「McAfee SIEM(Security Information and Event Management)」の特徴とは?
セキュリティ運用を真剣に考えるとSIEMに行きつく背景を探る
セキュリティを強化せよ! と号令をかけつつも、現状の課題が定量的に提示できず、また調査のたびに数週間を要するような状況というのは珍しい話ではない。
何が原因で、社内のどこまで影響を受けているのか、それぞれログを探し出して確認するには時間が掛かる。そうこうしているうちに似たような問い合わせが増え、上層部や外部に説明しようにも材料がそろわず、「今、まだ調査中です」としか繰り返せない――。
想定された問題が定義されていなかったり、想定した問題発生時のアクションが決まっていないなど、後手後手に回るこのような対処は、セキュリティインシデント対応において最もまずいやり方といえる。事態をコントロールできない状態に陥らないことが肝要だ。
マカフィー マーケティング本部 プロダクトマーケティング部 シニアプロダクトマーケティングスペシャリストの中村穣氏は、標的型攻撃をはじめ、攻撃手法が高度化している現在、ある程度被害を受ける可能性があることを想定しておくことが重要という。「大切なのは、何かが起こったとき、それに速やかに気付くことができるよう継続的にモニタリングしていくことだ。火事と同じで、火が出たら速やかに初動対応しつつ消防署に連絡できるような体制作りが求められている」(中村氏)。
こうした考え方に立って、企業のセキュリティに対する姿勢に、少しずつ変化が生まれ始めた。
これまで企業は、重要な資産を保護するために、ファイアウォールやIPS、エンドポイントのマルウェア対策製品、あるいは標的型攻撃に対策に特化したサンドボックスなどさまざまな対策製品を導入し、まずは脅威に入り込まれないようにすることに注力してきた。しかし、攻撃手法が巧妙化してきた今となっては、全ての攻撃を防ぎきることは困難だ。
そこで考え方を逆転させ、何らかの事故が起こることを前提に、被害を最小限に抑えるための組織作りに取り組む企業や組織が、海外のみならず国内でも増えてきている。具体的には、導入した製品を適切に運用し、セキュリティ上の脅威がないかを監視する「Security Operation Center(SOC)」と、万一セキュリティ事故が発生した際に緊急対応に当たる「Computer Security Incident Response Team(CSIRT)」だ。こうした組織を立ち上げることで、限られた人員でも素早く異常に気付き、先手を取って状況をコントロールできるようにしようというわけだ。
ログを元に「何が起きているか」をリアルタイムに見せる「SIEM」
そして、SOCやCSIRTの運用を手助けするとして注目されているツールが「SIEM(Security Information and Event Management)」である。
「事後に犯人捜しをするのではなく、何が起きているかを把握し、迅速に対処できるようにするには、今何が起きているかを見える化、可視化する必要がある」(マカフィー プロフェッショナル・サービス シニアアーキテクト 瀧澤育司氏)
SIEMはまさにそのためのツールだ。サーバーやデータベース、あるいはクライアントなど、システムが生成するさまざまなログを統合し、継続的なモニタリングを可能にする基盤であり、セキュリティに関する状況を可視化する役割を担う。担当者はその画面を確認すれば、異常にいち早く気付くことができる。
「ログ管理」という取り組み自体は何も新しいものではない。数年前にも、コンプライアンス対応や内部監査といったニーズからログ管理が注目された時期があった。ただ、その大きな目的は、内部監査用の「レポート」出力。「後からレポートを確認できればそれでいい」という位置づけだった。
これに対し、今のSIEMに求められるのはリアルタイム性だ。「今、どんなことが起こっているか」を知らせることにより、早期の対処を支援し、被害を最小限に抑えることが求められる。
むろん大半のシステムは、障害対応やアクセス動向の把握などを目的に当たり前のようにログを出力している。しかし瀧澤氏は、プロフェッショナルサービスを通じて企業の現場を見てきた経験から「担当者の役割ごとに、システムそれぞれ個別にログを管理していることが多い」と指摘する。
だが、1つ1つの単体では意味をなさないようなイベントログでも、時間軸に沿って組み合わせ、分析すると、実は重要を持つことが明らかになることも多い。「例えば、ログイン失敗というイベントはさほど珍しくないかもしれないが、その直前に大量のスキャンが行われていたり、その後にログインが成功し、不審なアカウントが作成されていたりすると、これは怪しい、ということになる」(中村氏)。
SIEMはこうした従来のログ管理の限界を打破して分析を支援し、総合的な判断を下すための基盤だ。どのログ情報をどう組み合わせ、分析していくかという「ルール」もセットされているため、何らかの異常をいち早く警告し、「ぼや」の段階で対処できるようになる。
「SIEMによって、全く痕跡のない状況で何かを発見できるというわけではない。既にログの形で何らかの情報はキャッチしている。けれど、あまりに大量な上にそれぞれ分散してしており、しかも“方言”があって、統合されることを前提にしていない」(中村氏)。それを分かりやすく見せていくのがSIEMの役割だという。
そもそも、日々システムで発生するログの量は膨大なものになっている。「大きいところでは、毎秒10万以上のイベントが発生している。これを人の手で調べるのは現実的ではない」(瀧澤氏)。SIEMなど何らかの仕掛けを使って自動的に処理しなければ間に合わないのが実情だ。
現場の貴重な時間を奪わない、McAfee SIEMの特徴
マカフィーではこうした役割を提供する基盤として「McAfee SIEM」を提供している。元々は独立SIEMベンダーのNitroSecurityを買収し、ポートフォリオに加えたものだが、IPSや脆弱性スキャナーといったマカフィーのセキュリティ製品はもちろん、グローバルに展開している脅威情報データベース「GTI(Global Threat Intelligence)」などと連携し、相関分析を活用しながら、「今、重視すべきセキュリティの問題は何か」を分かりやすく表示し、必要に応じて詳細状況の把握を支援する。
SOCやCSIRTの現場にとって、時間は何よりも貴重だ。McAfee SIEMでは、アラート情報が重要度ごとに表示されたり、通常との傾向の違いが分かりやすく表示されるため、画面を一目見ただけで直感的に状況が分かる。「柔軟な表示方法が選択できるので『何かがいつもと違うな』と分かりやすい画面で運用できる」(中村氏)。より詳細な情報を知りたい場合には、そこからドリルダウンしていけば、ノイズを排除した必要な情報だけが絞り込まれる仕組みだ。
また、ログ管理やSIEMに取り組んでみてはじめて直面する、システムごとの「方言」を解消してくれる正規化機能も大きな特徴という。「そもそもシステムにログ『イン』するのか、ログ『オン』するのか、あるいは日付の記述方法など、デバイスによりログの表現方法は異なる」(中村氏)。そのような形式の違いを吸収し、1つのソースに統合することができてこそログの有効活用につながる。
McAfee SIEMではさらに、「異常」の判断基準となるルールを簡単に記述できるほか、カスタマイズされた監視画面を自分自身で簡単に設定できることもポイントという。監視すべきデバイスを選び、どのような条件で抽出するかを決めるだけで、オリジナルの監視画面を作成できる。
「アラートが発生したときの反応としては、『アクションを取る』『無視する』という2つの他に、『しばらく様子を見る』こともある。その様子を見るのに必要な監視画面をぱっと作成し、レポート出力などを行える」(中村氏)。
実際にモニタリングを行ってみると、「端末に対するスキャンが発生したため、攻撃かと思ってよくよく調べてみたら、管理用のソフトウェアによるスキャンだった」と、拍子抜けするような事例も珍しくないそうだ。アドホックな監視画面を作成できれば、慌てて現場に走る前によく情報を吟味し、本当に深刻な事態かどうかを見極めることができる。
SIEMを活用したインシデント対応、何より欠かせないのは……
このようにMcAfee SIEMは、SOCやCSIRTの運用を手助けする機能を備えているが、ツールだけではうまくいかないと、瀧澤氏は指摘する。国内企業でSIEM導入を支援してきた経験によると、何より「経営層の関与が重要」(同氏)というのだ。
そもそも「ログを渡す」ということはすなわち「情報を渡す」ことに等しい。中には、セキュリティという目的のためとはいえ、業務に支障が生じることから、なかなか積極的に調査に協力したがらない部署もあるという。インシデントの調査、収束に向けてそういった部門を動かしていくには、やはり上層部の理解が不可欠だ。
「セキュリティインシデントが現実のものになったときには、IT部門やセキュリティ部門だけでなく、法務や人事など複数の部署が関わることになる。いろいろな部署が協調して対応に当たるには、経営層の関与が不可欠。現場だけで調整しようとしても限界がある」(中村氏)。
逆に、上層部や社内の理解が広がれば、何か異常が発生した時には、SOCで収集した情報を基にCSIRTが陣頭に立って調査を進め、関連各部署が連携してインシデントレスポンスを進めていく……という流れを実現できる。このプロセスから得られた知見をSIEMのルールに反映することによって、会社や組織としてのノウハウ、インテリジェンスをさらに育てていくことができる。
マカフィーのプロフェッショナルサービスでは、監視すべき脅威を検討するためのリスク分析からSIEMの設計、導入だけでなく、こうした組織とプロセス作りを支援している。また、SOC立上げ時には、セキュリティ監視の経験を持つセキュリティアナリストを派遣し、「何を見つけ出したいのか、そのためにはどんな情報が必要で、どれがノイズとなり得るのか」といったノウハウを伝授。3カ月から時には半年といったフェーズで、アナリストと共に運用経験を積むことによって、机上の空論に終わらない、“使える”SIEM導入につなげている。
SIEMでのモニタリングで実現する状況認識の向上
標的型攻撃だ、マルウェアだ、不正ログインだ……と、セキュリティ運用の現場はただでさえ、いっぱいいっぱいの状態だ。限られた人員で効率的に運用していくには、「今、何が起こっているか」の把握が欠かせない。1つの画面で状況を可視化してくれるMcAfee SIEMは、いざ事が起こっても事態のコントロールを可能にし、インシデント対応時の意思決定を支援してくれる強い味方になるだろう。
記事でご紹介した製品・サービスに関する資料をダウンロード
セキュリティは会社組織における重要性を増し、もはやIT部門の二次的な機能にとどめておくことはできない存在になりました。そのため、多くの組織がセキュリティオペレーションセンター(SOC)の開発に投資して、セキュリティ強化とネットワークイベントへの迅速な対応に努めています。
SOCの構築は重要な作業です。SOCを導入する利点はネットワークによって大きく異なりますが、すべての組織に必要な要素があります。それは、人材、プロセス、テクノロジーです。この3つは、セキュリティのすべての構成に存在し、いずれも等しく重要な要素として考慮する必要があります。
近年SIEM(Security Information and Event Management)製品を導入する企業や組織が増えてきました。背景には標的型攻撃対策の強化をはじめ、組織内で発生したインシデントの早期検出と対応力の強化、様々な局面で発生するログ調査の効率化を目的としているケースが多いと思います。
これまで、組織のセキュリティ責任者、SOCのマネージャー、セキュリティ担当者、また SIEMの導入に携わる人から得た貴重なコメントの共有や、これまでSIEMの製品管理 を担当しているメンバーが発信してきたSIEMの導入に関する情報の紹介が役に立つはずです。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
関連リンク
提供:マカフィー株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2014年8月7日