セキュリティ情報管理の基礎――事故対応の大原則:セキュリティ・テクノロジー・マップ(9)(1/2 ページ)
企業システムにおけるセキュリティ技術の基礎を総ざらいする本連載。第9回は「セキュリティ情報の管理」を扱います。万一の際の早期対応を可能にするための技術について学びましょう。
セキュリティ情報を管理する仕組み
前回は、アカウントを効率的かつ安全に管理するための技術について解説しました。第9回となる今回は、「セキュリティ情報の管理」を取り上げます。
「セキュリティ情報の管理」の役割は、次の4つです。この目的に沿って日々セキュリティ情報を収集し、活用することで、個々のセキュリティ機能が持つ役割を正しく果たせるようにします。
- 組織のセキュリティに関する仕組みの、正常な状態を定義する
- 組織のセキュリティに関する仕組みが、正常に動作していることを確認する
- 組織のセキュリティに関する仕組みで、異常が検知されているかを確認する
- 組織のセキュリティに影響する情報があるかを確認する
まず、正常な状態が分からなければ異常な状態を定義できません。組織のセキュリティに関する仕組みの正常な状態を把握した上で、現在の状況を確認することで、各セキュリティ機能が目的通りに動作しているかどうかが分かります。その結果、明らかに異常な状態を検知している場合は、対応が必要になります。加えて、新しい攻撃に対応するためには、攻撃手法や脆弱(ぜいじゃく)性情報などのセキュリティ情報を収集しておくことが欠かせません。
今回はこの「セキュリティ情報の管理」について、「脆弱性情報の管理」「資産情報の管理」「セキュリティイベント情報の管理」の3点を紹介します。
脆弱性情報の管理
「セキュリティ情報の管理」を実装した機能の1つが、「脆弱性情報の管理」機能です。脆弱性情報を収集・活用し、組織のセキュリティに影響するものがないかを確認します。
OSや各種アプリケーションなどの脆弱性は、日々新しいものが公開されています。組織のセキュリティに影響がある脆弱性が公表されたときには、情報を基に対応方針を決定する必要があります。常日頃から脆弱性への対応を行うことで、組織で利用する各システムが抱える脆弱性を減らし、脆弱性を悪用した不正アクセスの脅威を低減することができます。
脆弱性情報の管理は、システム担当者が個別に実施していることもありますが、多くの組織では何らかの製品が活用されています。実際の製品では、脆弱性情報の収集だけではなく、侵入検知・防止システム(IDS/IPS)や脆弱性の診断機能など、他の機能が併せて組み込まれていることが多いようです。
資産情報の管理
次は、資産情報を対象に「セキュリティ情報の管理」を実装した「資産情報の管理」機能です。「資産情報の管理」機能は、組織で管理しているシステムの資産情報を集約し、必要なときに参照・活用するための機能です。
もし、組織で管理しているシステムの資産情報が不明であれば、たとえ「脆弱性情報の管理」を行ったとしても、対応が必要なシステムが不明確となり、対応優先度付けの誤りなどから、セキュリティインシデントの被害が拡大する可能性が高くなってしまいます。
そのため、「資産情報の管理」機能によって、必要な情報を一元管理し、「脆弱性情報の管理」を効果的に行う必要があります。例えば、組織で管理しているシステムと、そのシステムで利用しているソフトウェアが把握できれば、脆弱性情報が公開された際に、速やかに影響の有無や追加調査の要不要を確認することができます。
また、システムで保有している情報の重要度や許容されるシステムの停止時間などが確認できれば、脆弱性の影響確認の精度が上がり、より適切な対応方針を決定することも可能となります。
実際の製品では、単なる資産情報の管理機能だけではなく、セキュリティパッチの適用状況の確認機能や、各種ログ情報の管理など、1つの製品で多様な情報の管理が可能になっています。
セキュリティイベント情報の管理
「セキュリティイベント情報」機能は、各種システムやその機能、例えばIDSにおける侵入の検知やログイン/ログアウトといったセキュリティに関連したイベントがいつ発生したかを記録した情報です。
このセキュリティイベント情報を管理するのが「セキュリティイベント情報の管理」機能です。「セキュリティイベント情報の管理」機能は、さまざまな情報の中から有益な情報を抽出し、適切な対応を行うために必要な機能です。
「セキュリティイベント情報の管理」機能を用いることで、組織内のシステムが正常に動作しているか、異常が発生していないかを把握できます。言い換えれば、「セキュリティイベント情報の管理」機能を利用しなければ、異常があっても把握するのが困難になってしまいます。攻撃の兆候に気が付かなければ、攻撃者に潜伏されてしまい、長期間の被害につながる危険性があります。
従って、有事の際を想定し、必要なシステムのセキュリティイベント情報を正しく記録・確認する必要があります。このとき、「SIEM(Security Information and Event Management)」と呼ばれるシステムを使えば、組織内のセキュリティイベント情報を一元管理・相関分析し、単体のセキュリティ機能だけでは検知が困難な情報を見つけることができます。
実際の製品では、小規模なものであればログ管理製品の一部として「セキュリティイベント情報の管理」機能を持つものが提供されています。大規模な製品の場合は高度な専門性が求められるため、取り扱うスキルを持つ要員や、目的に応じた中長期的な計画の策定が必要となります。従って、慎重に検討した上で導入しなければなりません。また、前述の「脆弱性情報の管理」や「資産情報の管理」で利用される製品との連携を想定した製品もあります。
Copyright © ITmedia, Inc. All Rights Reserved.