セキュリティ情報マネジメント概論[前編]

SIMで企業のセキュリティを統合管理せよ

内田 千博
住商エレクトロニクス株式会社
ネットワークセキュリティ事業部
セキュリティシステム第四部長
2005/7/26

 SIMの種類

 冒頭で述べたように、SIMを選定するうえで注意するべき点がある。それは、ベンダやセキュリティアナリストによってSIMに対するコンセプトが異なることだ。これまでSIMの生い立ちとコンセプトについて米国市場を例に説明してきたが、SIM誕生から今日に至るまでに、さまざまなコンセプトのSIMが出ている。どれが正しいというつもりはまったくないが、SIMと呼ばれる商品にはどういったものがあるのか見てみよう。

●マルチベンダ対応SIM

 まさにこれまで説明してきたコンセプトのものである。セキュリティの運用基盤として、デバイスの統合化やネットワークセキュリティに関するさまざまな事象に対応できるよう設計されている。リアルタイム性や、高可用性、拡張性が広く求められるため、システムの規模も大きくなり高価な製品が多い。

●シングルベンダ対応SIM

 ファイアウォールベンダや、IDSベンダから出されている商品で、これらはベンダが提供する製品のエンハンスメント(機能強化/精度向上)を狙ったものである。例えば、IDSで攻撃を検知する対象となるサーバの脆弱性をあらかじめスキャンし、IDSとサーバの脆弱性を照らし合わせてIDSの精度を上げるものであったり、場合によってはファイアウォールに対して特定通信の遮断命令まで自動でできるものもある。サポートしているデバイスはベンダの自社製品に限定されるケースが多い。このため、システムの規模は比較的小さく安価である。

●ログ解析ツール

 これをSIMと呼んでよいのかどうかの議論は別にして、最近のログ解析ツールは、さまざまな種類のログフォーマットに対応したログ収集機能を持つ製品が出てきている。ログ収集→解析→レポートといったSIMの機能を一部持ち合わせているが、ログ解析ツールはファイアウォールやルータなどのアクセス解析や、サーバなどのイベント解析といった「特定」の用途に限定して設計された製品が主流である。

 従って、SIMが得意とするデバイス間の相関分析(Cross correlation)やリアルタイム性に欠けるためネットワーク全体の統合管理は難しい。しかしながら、非常に高度な解析機能および視覚的なレポートが作成可能なので、特定の用途で用いるのであれば有用なツールになる。

 このように、SIMといっても種類はいくつかあり、それぞれの製品が作られた目的をしっかり把握したうえで、ユーザーのニーズに合う製品を選択していく必要がある。

 SIMの使われ方

 最後に、企業でSIMがどのような使われ方をしているのかを紹介したい。

●事件の予兆を早期発見する

 何が事件の予兆となるかはさまざまであるが、ファイアウォールの特定ポートでの異常トラフィック発生、ネットワーク機器の設定変更、業務時間外の重要サーバへのアクセス、緊急度の高い脆弱性を持つサーバの数など、把握しておきたい情報は多いだろう。

 こんなとき、SIMで視覚化された情報は有効だ。必要な情報がリアルタイムに視覚化できるコンソールがあれば、いち早く事件の予兆を発見できるだろう。1つのモニタで複数のアプリケーションを立ち上げるような煩雑さもなく、必要とあればすぐに調査を開始することもできる。

●事件発生時の円滑な調査

 事件発覚後、いざ調査となってもログが散乱していては調査が始められない。ログを保管していてもファイアウォール、IDS、サーバのアクセスログを個別に調査していくのは非常に手間がかかる。

 こんなときに各種のログを統一フォーマットに一元化できるSIMは、ログを縦断的かつ高速に調査できる。リアルタイム監視はしないまでも、いざというときにすぐに調査できるようにログの一元化および複雑なセキュリティの事象を抽出できるルールエンジンを備えたSIMを導入している企業が多い。

●物理セキュリティとネットワークセキュリティの融合

 SIMは何もネットワークセキュリティだけに使われるとは限らない。例えば、下記の2つの事象が同時に起こったとしよう。

事象1:Aさんという人間がビルの中にいる(入退室管理システムの記録)
事象2:AさんのIDでリモート接続をしてきた(VPN装置のログ)

 この2つの事象を突き合わせると「なりすまし」行為が検出できる。これは物理セキュリティとネットワークセキュリティを統合した例であるが、工夫次第ではいろいろな場面で利用できるだろう。

●コンプライアンス管理

 いま、米国ではSOX法(Sarbanes-Oxley Act)という法律に各社の経営層は頭を悩ましている。この法律は企業会計や財務報告の透明性・正確性を高めることを目的に作られたものであるが、財務諸表などを提出する際に、会計システムを含め企業の情報システムに不正なアクセスがあったかどうか(データが改ざんされた可能性があるかどうか)を証明しなくてはならない。

 重要な情報が入ったサーバや、社内認証システムなどに不審なアクセスがなかったことを、SIMを用いてレポートしている企業が最近増えている。現在、日本も金融庁が中心となって日本版SOX法を検討しているので、今後、日本も各企業が対策を講じていく必要が生じるだろう。

◆ ◇ ◆

 今回、「SIMとは何か」をテーマに基本的な概念を説明してきた。後編ではSIMの仕組みを、より技術的に詳しく解説していく。

4/4


Index
SIMで企業のセキュリティを統合管理せよ
  Page1
SIMの生い立ち
  Page2
企業や組織が求めるセキュリティ管理
  Page3
SIMに求められる基本機能
SIMのシステム構成
Page4
SIMの種類
SIMの使われ方

セキュリティ情報マネジメント概論
  SIMで企業のセキュリティを統合管理せよ
  セキュリティ情報マネジメントの仕組みを技術的に理解する(1)
  セキュリティ情報マネジメントの仕組みを技術的に理解する(2)

SIMを上手に使いこなす
  業務中にSkypeやIMを使っているのは誰だ?
  不審な通信や無許可ホストを見逃さない

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間