「SIEM」はどうすれば使いこなせるのか?:特集:IoT時代のセキュリティログ活用(2)(2/2 ページ)
「ログ活用」を軸にIoT時代のセキュリティを考える本特集。第2回となる今回は、“導入するだけでは意味がない”SIEMなどのログ管理製品を活用するためのポイントを解説する。
SIEM活用の3大ポイント
ここで、SIEMを活用する上で特に重要な「検知」「分析」「監査」の3ポイントについて解説しておこう。
1.検知
多くのSIEM製品では、「相関分析」を用いることでセキュリティ脅威を検知できる。検知に当たっては、「USBメモリの接続記録」のようなルールをSIEMに設定したり、別システムにおいて既にルールとして定義されているものをSIEM上で再定義したりする。この際、各種のネットワークセキュリティ製品が出力するログを見ることも重要だが、OSベースのログがあるとなお良い。さらに、前述したような「IDSのログ」と「ファイアウォールが許可した通信に関するログ」をひも付けて監視するなど、複数のデータを組み合わせることで、一層脅威を発見しやすくなる。
また、最近のSIEMが備える「脅威情報の収集機能」を利用するのも有効だ。通信データとこうした脅威情報をマッチングすることにより、危険なサーバやドメインとの通信が発生していないかどうかを検知できる。さらに、脅威の痕跡(IOC:Indicators of Compromise)を記述する標準的なデータ形式である「OpenIOC」「STIX」などを利用した脅威インテリジェンスを利用すれば、IPアドレスだけでなくファイルやレジストリ、ポート番号レベルの情報を取り込むこともできる。これにより、脅威の有無を詳細かつリアルタイムに検知できる可能性が高まる。
2.分析
SIEMというと脅威の検知にばかり目がいきがちだが、「分析」の観点も欠かせない。脅威を検知した際に、「問題がどこまで広がっているのか」「どの領域でどのようなデータが扱われ、どこに流れたのか」といったように、攻撃の始めから終わりまでを時系列で分析する必要がある。
こうした詳細な分析には、マルウェアスペシャリストやフォレンジックスペシャリストといった各分野の専門家の技術、ノウハウが欠かせない。従って、さまざまな分野向けの分析基盤をSIEM上に用意しておく必要がある。
例えば、セキュリティアナリストは「認証系」「ネットワーク攻撃系」「端末操作系」といった分野で迅速にデータを分析し、報告する必要がある。セキュリティアナリストがこれらを統一的な視点で分析できるように、異なるフォーマットのログを統合した分析基盤をSIEMに準備しておくことなどが求められる。
3.監査
SIEMでログを統合管理することにより、「検知」「分析」という大きな利点が得られるが、先にも述べた通り、もう1つ大きなメリットがある。「監査」だ。SIEMを監査に役立てるには、セキュリティリスク軽減のための手順や仕組みである「セキュリティコントロール」の実装が不可欠となる。これにはPCI DSSの他、米国のセキュリティ研究組織SANS Instituteの「Critical Security Controls」、オーストラリア通信電子局(ASD)の「Strategies to Mitigate Targeted Cyber Intrusions」などが存在する。
セキュリティコントロールを適切に実装したSIEMを活用すれば、「ベストプラクティスと比較して自組織のセキュリティ対策がどこまで適切になされているか」「追加でなすべきセキュリティ対策は何か」、あるいは「セキュリティ対策を改善するためのPDCAサイクルが実現されているかどうか」といった組織のセキュリティ対策の現状を把握できる。また、複数のセキュリティコントロールを実装することで、さらに網羅性を持ったセキュリティ対策の実現が可能になる。
IoT時代のSIEM像
さて、それでは最後に、昨今急速に普及しつつある「IoT(Internet of Things)」の可能性と、それに伴うセキュリティリスクについても触れてみたい。ビジネスがIoTに依存するようになると、当然、IoTシステムのセキュリティは看過できない問題となる。しかし、「かつてないほどの膨大な数のデバイスがインターネットに接続され、膨大な量のデータを生成する」という状況の中で、SIEMなどのログ管理ツールはどのように変化していくべきなのだろうか?
重要なのは、ネットワークに接続されているあらゆる「デバイス」「制御システム」「センサー」「アプリケーション」などのさまざまなデータソースから出力されるログを、統一的なフォーマットで管理できるソリューションとして成長していくことだ。
IoTは日常生活の質や企業の業績を向上させる非常に大きな可能性を持つアイデアだが、モノ側でのセキュリティや、SIEMなどのサービスレイヤーにおけるセキュリティが整わなければ、逆に“脅威の温床”にもなりかねない。従来のセキュリティ装置のログに限らず、ありとあらゆる種類のログを収集できる、すなわちさまざまな種類のデータを柔軟に取り込むことができるSIEMソリューションが、IoT時代には不可欠となっていくだろう。
日本国内でのSIEMの普及はまだまだこれからという状況だが、防御を前提としたセキュリティ対策が破綻し、現実のインシデントをきっかけとして、内部犯行対策などの一層の強化が求められている今、“対症療法”ではないセキュリティを実現するSIEMのようなソリューションの重要性がますます高まっていくのは間違いないだろう。
特集:IoT時代のセキュリティログ活用
IoTセキュリティというと、「モノ」、すなわちデバイス側のセキュリティ対策を想像する方が多いかもしれない。しかし、当然のことながらIoTセキュリティは、デバイスに対策を組み込むだけで終わるものではない。例えば“サービス層”において、無数のデバイスの状態を把握し、異常や攻撃の発生をいち早く検知することも必要となる。そのためには、デバイスから送られてくる「ログ」などのデータを迅速に分析する仕組みが欠かせない。本特集では、IoT時代に必要な「ログ活用」のための実践的な情報を提供する。
著者プロフィール
矢崎 誠二(ヤザキ セイジ)
1999年よりインターネットセキュリティに特化した事業、サービスに専任。セキュリティ黎明期より、脆弱性・不正侵入検知の分野を中心としたセキュリティコンサルティングサービスに参画する。セキュリティ監査およびペネトレーションテストを日本国内の顧客に提供するとともに、IDアクセス管理、アプリケーションセキュリティ、SIEMなどを含むセキュリティフレームワーク全体に関する技術支援に携わる。また、近年はビッグデータにおけるセキュリティ分析にも従事している。
Copyright © ITmedia, Inc. All Rights Reserved.