検索
特集

「安心・安全」なIoTサービスを作れる人材が日本の武器になる特集:IoT時代のセキュリティログ活用(1)(2/3 ページ)

何度もセキュリティインシデントで痛い経験に遭いながら、セキュリティのベストプラクティスを構築してきたIT業界の「教訓」は、IoTの世界に反映できるのだろうか? 「安心・安全」なIoTサービスを構築するための課題とは? セキュリティ企業のラックに、IoTが抱えるセキュリティ上の課題と対策について聞いた。

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

大量のデバイスを対象にしたログ監視の在り方は?

 そして、もう1つの課題は本特集のテーマでもある「ログ」の問題だ。米シスコは、「2020年までに500億台ものデバイスがインターネットにつながる」と予測している(参考リンク)。デバイス単体が小型化しても、このようにその数が“暴力的なまでに”増加すれば、当然ログの量も膨大となる。また、そのフォーマットも多様化するだろう。「こうした多量かつ多様なログをどのように管理していくのかも、これからの検討課題だ」と渥美氏は言う。現在のITシステムが用いている仕組みをそのまま流用するだけでは、こうしたログの管理・監視を実現するのは困難だ。

 また、「IoTの場合は、通信回線が本来の用途であるセンサーデータで埋め尽くされてしまう可能性があるため、『そもそもセキュリティログを送ることができるのか』という課題もある。場合によっては『セキュリティログは送らない』という判断もあるだろう。通信回線の利用料金との兼ね合いなども考慮し、どのようなログを、どのような方法で管理するか/しないかをまず考えなくてはならない」と渥美氏は指摘する。

 仮にセキュリティログを送信できないような場合には、「センサーから送られてくるデータの“揺らぎ”に注目することも、1つのポイントになりそうだ」と渥美氏は述べる。「定期的に送られてくるはずのデータが来ない、あるいは逆に大量のデータが送られてくるといった異常を検知することができれば、それが必ずしもセキュリティインシデントでないにしても、少なくともデバイスの異常を発見することはできる。そうした観点でのデータ監視もIoTでは必須になるだろう」(同氏)。

ラック ITプロフェッショナル統括本部 サイバーセキュリティ事業部 サイバー救急センター 担当部長 鷲尾浩之氏
ラック ITプロフェッショナル統括本部 サイバーセキュリティ事業部 サイバー救急センター 担当部長 鷲尾浩之氏

 それに付け加えて、ラック ITプロフェッショナル統括本部 サイバーセキュリティ事業部 サイバー救急センター 担当部長の鷲尾浩之氏は、長年にわたりSIEM(Security Information and Event Management)などを用いたITシステムのセキュリティログ監視に携わってきた経験を踏まえ、「結局は、分析に必要な情報が出てこなければ意味がない。各機器が『どんなデータを出せるのか』、分析する側が『何を見たいのか』を、IoTの運用側とセキュリティ担当者の双方ですり合わせる必要があるだろう。また、機器がどのように悪用され得るかということについての知見がなければ、どのログを基に何を見つければよいのかを想定することもできない。悪用ケースを想定しつつ、IoT機器側のリソース消費を最小限に抑え、必要なログを取得できる環境を整える必要がある」と述べた。

ログ活用のポイントは「管理ツールに自分たちで命を吹き込むこと」

 そもそも、これまでのITの世界を振り返って見ても、ログの重要性は度々指摘されてきたにも関わらず、その活用は長年進んでこなかった。その理由について鷲尾氏は、「機器を購入すれば取りあえず何らかのログは出るが、それをどう扱うか、どのように利用すればいいのかが分からず、ただ機器を運用しているだけという企業も多い」と指摘する。

 APT(Advanced Persistent Threat)や標的型攻撃の横行を背景に、最近でこそログ活用の機運が高まってきたが、「いくらログをとっても、自社への影響の度合いやアラートの真偽の確認などを分析できる人材がいないということも課題となっている。ログの分析には、ネットワークやセキュリティの知識に加え、組織や事業内容に対する理解が必要だ」と鷲尾氏は述べる。

 例えば、システムやネットワーク構成、資産情報、ユーザー情報に加え、「通常の運用ではどのような通信が発生するのか。ピークはいつで、夜間バッチ処理でどんなトラフィックが生成されるかといった『通常状態』を知らないと、怪しいものは見つけられない」(鷲尾氏)。

 つまり、何より重要なのは「目的を絞って、自組織のことをよく理解した上で、ログを見る習慣を付けることだ」(鷲尾氏)。SIEMなどはあくまでツールで、監視・分析範囲を広げていく過程で、作業を効率的にするために導入を検討するものにすぎない。「SIEM製品の中には、あらかじめいくつかのルールを定義しているものもあるが、組織特有の問題を見つけるには、自分たちで製品に命を吹き込まなければならない。自分たちの組織にあるリスクを洗い出した上で、それが発生した場合を想定し、何を見つけるかを絞っていくことで初めて製品を活用できる。これはITでもIoTでも変わらない原則だろう」(鷲尾氏)。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ

Security & Trust 記事ランキング

  1. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  4. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  5. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
  6. 金融機関のシステム障害は何が原因で発生しているのか 金融庁が分析レポートを公開
  7. 6年間でAndroidにおけるメモリ安全性の脆弱性を76%から24%まで低減 Googleが語る「Safe Coding」のアプローチと教訓とは
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
ページトップに戻る