 |
セキュリティ情報マネジメント概論[前編]
SIMで企業のセキュリティを統合管理せよ
内田 千博住商エレクトロニクス株式会社
ネットワークセキュリティ事業部
セキュリティシステム第四部長
2005/7/26
 |
SIMに求められる基本機能 |
企業セキュリティを運用していくうえで必要なフレームワークの手掛かりが見えてきたと思う。ここではSIMに必要とされる機能をAさんの運用の問題点から整理してみよう。
●どんなログでも正規化して一元管理
最終的にログ調査をする羽目になったAさんだが、調査のためにはデバイスごとにログを調べることが必要になってしまった。もし、種類の異なるデバイスから出されるログを統一フォーマットに直して(正規化して)一括管理していれば、各デバイスログの関連を調査する(例えば、ファイアウォールとIDSのログから、同じ時間帯の同じ送信元アドレスからの通常時の通信状況を調査する場合など)のにかなりの時間が短縮できる。
●ベンダを意識させないログのカテゴライズ
IDSなどは、1つのベンダ当たりアラームの種類が2000〜3000種類といわれている。運用者は分析をスムーズにするために、それぞれのアラームの意味を覚えなくてはならない。しかし、厄介なことにこのアラームは、同じ攻撃であってもベンダが異なると呼び名が変わってしまう。
せっかくすべてのアラームの種類を覚えた担当者が担当を外れたり、ある日突然、異なるベンダのIDSに変更になっても、運用がそのまま続けられるような仕組みが必要である。SIMはカテゴライゼーションと呼ばれる方法でベンダ固有のアラーム名を解釈し「誰もが分かる言葉」に変換する。
もし、社内に複数のベンダのIDSやファイアウォールが設置されていたら、運用者は何万という種類のアラームを覚えなくてはいけないので大変な作業となる(実質、不可能に近い)。しかし、カテゴライゼーション機能によって、運用者はIDSやファイアウォールなどセキュリティ機器から出されるアラームを詳しく覚える必要がなくなる。
●リアルタイム処理
最近、フォレンジック(Forensic:法医学)システムという製品が出ている。これはその名のとおり、事件が発生した後に真相を突き止めるシステムである。しかし、セキュリティに関しては、事件を未然に防いだり、事件が起こってしまっても被害が大きくなる前に解決することが求められることはいうまでもない。
つまり、リアルタイムに予兆を察知したり、事件の発生もできるだけリアルタイムに検知できる必要がある。一方で、監視規模によっては、ネットワーク機器やセキュリティ機器から送出されるログが1日に何万〜数億件に及び、これらをリアルタイムで処理するだけのパフォーマンスがシステムに求められる。
Aさんの場合、このようなリアルタイムな処理ができる運用にはなっていなかったため、事件をいち早く察知することよりも月次報告を作ることが運用の目的となってしまったのである。
●柔軟で強力な検索エンジン
セキュリティに関する事象は、複数の事象が発生したことで事件があったと確定できるものが少なくない。今回のS社の事例を見ると、ログ解析の際に「IDSが検知した攻撃に関係する脆弱性をサーバが持っていて、乗っ取られた可能性がある」という条件で検索できれば、すぐにIDSのアラームが誤検知でなかったことが分かる。
しかし、これらの条件を記述しようとすると通常は複雑な条件式になり、かつ、各デバイス間で起こった事象の相関関係を分析しなくてはいけない。こういった表現を、ユーザーが簡単に記述でき、高速に検索できるエンジンが求められる。
●ログのビジュアル化
セキュリティの監視・管理とは、「異常を見つける」の一言に尽きる。単なる文字の羅列である大量のログをビジュアル化することによって、木だけでなく森を見ることができるようになる。
これによりネットワーク全体の異常を検知しやすくなる。ビジュアル化によって、さまざまな統計関数を使って、いろいろな角度からログを眺められるようになる。その結果、ネットワーク全体のセキュリティ事象の動向が把握でき、事件の早期発見につながる。
以上の5点が、SIMに求められる最低限の機能である。
|
SIMのシステム構成 |
前節まででSIMの基本コンセプトと機能についてまとめたが、実際にどんな製品なのかイメージがわかない読者もいると思うので簡単な図でSIMのシステム構成を紹介する。
●エージェント
各デバイスのプロトコルに合わせてログの収集を行う。ログの収集方法として、データベースに直接接続したり、SNMP、syslog、SMTP、HTTPなどのプロトコルを利用してさまざまなログ出力形態に柔軟に対応できる必要がある。また、収集したログの統一フォーマット化と意味の解釈(カテゴライゼーション)をし、SIMのデータとしてマネージャに送信する。
●マネージャ
エージェントから送られるログをシステム内のデータベースへインサートする一方で、イベント分析、レポート生成、統計解析、トラブルチケット処理など、運用者が求める処理を行う。
●データベース
マネージャから送られるログの保存と、システム情報などの保存を行う。
●コンソール
監視用インターフェイスとしてマネージャで分析されたイベントの結果を表示したり、統計情報の表示を行う。必要に応じてデータベースに保存されているイベント調査なども行う。一方で、管理設定インターフェイスとしてイベント分析や統計解析の設定も行う。
●リモートコンソール
必須ではないが、オペレータが利用するコンソールとは別にリモート監視用のコンソールがあると、現場のオペレータが処理できないセキュリティイベントを責任者が社外にいる場合(例えば自宅にいるなど)でもリモートで見てもらうことができる。
 |
3/4 |
|
| Index | |
| SIMで企業のセキュリティを統合管理せよ | |
| Page1 SIMの生い立ち |
|
| Page2 企業や組織が求めるセキュリティ管理 |
|
 |
Page3 SIMに求められる基本機能 SIMのシステム構成 |
| Page4 SIMの種類 SIMの使われ方 |
|
| セキュリティ情報マネジメント概論 | |
| SIMで企業のセキュリティを統合管理せよ | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(1) | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(2) | |
| SIMを上手に使いこなす | |
| 業務中にSkypeやIMを使っているのは誰だ? | |
| 不審な通信や無許可ホストを見逃さない | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
