 |
セキュリティ情報マネジメント概論[前編]
SIMで企業のセキュリティを統合管理せよ
内田 千博住商エレクトロニクス株式会社
ネットワークセキュリティ事業部
セキュリティシステム第四部長
2005/7/26
 |
SIMの種類 |
冒頭で述べたように、SIMを選定するうえで注意するべき点がある。それは、ベンダやセキュリティアナリストによってSIMに対するコンセプトが異なることだ。これまでSIMの生い立ちとコンセプトについて米国市場を例に説明してきたが、SIM誕生から今日に至るまでに、さまざまなコンセプトのSIMが出ている。どれが正しいというつもりはまったくないが、SIMと呼ばれる商品にはどういったものがあるのか見てみよう。
●マルチベンダ対応SIM
まさにこれまで説明してきたコンセプトのものである。セキュリティの運用基盤として、デバイスの統合化やネットワークセキュリティに関するさまざまな事象に対応できるよう設計されている。リアルタイム性や、高可用性、拡張性が広く求められるため、システムの規模も大きくなり高価な製品が多い。
●シングルベンダ対応SIM
ファイアウォールベンダや、IDSベンダから出されている商品で、これらはベンダが提供する製品のエンハンスメント(機能強化/精度向上)を狙ったものである。例えば、IDSで攻撃を検知する対象となるサーバの脆弱性をあらかじめスキャンし、IDSとサーバの脆弱性を照らし合わせてIDSの精度を上げるものであったり、場合によってはファイアウォールに対して特定通信の遮断命令まで自動でできるものもある。サポートしているデバイスはベンダの自社製品に限定されるケースが多い。このため、システムの規模は比較的小さく安価である。
●ログ解析ツール
これをSIMと呼んでよいのかどうかの議論は別にして、最近のログ解析ツールは、さまざまな種類のログフォーマットに対応したログ収集機能を持つ製品が出てきている。ログ収集→解析→レポートといったSIMの機能を一部持ち合わせているが、ログ解析ツールはファイアウォールやルータなどのアクセス解析や、サーバなどのイベント解析といった「特定」の用途に限定して設計された製品が主流である。
従って、SIMが得意とするデバイス間の相関分析(Cross correlation)やリアルタイム性に欠けるためネットワーク全体の統合管理は難しい。しかしながら、非常に高度な解析機能および視覚的なレポートが作成可能なので、特定の用途で用いるのであれば有用なツールになる。
このように、SIMといっても種類はいくつかあり、それぞれの製品が作られた目的をしっかり把握したうえで、ユーザーのニーズに合う製品を選択していく必要がある。
|
SIMの使われ方 |
最後に、企業でSIMがどのような使われ方をしているのかを紹介したい。
●事件の予兆を早期発見する
何が事件の予兆となるかはさまざまであるが、ファイアウォールの特定ポートでの異常トラフィック発生、ネットワーク機器の設定変更、業務時間外の重要サーバへのアクセス、緊急度の高い脆弱性を持つサーバの数など、把握しておきたい情報は多いだろう。
こんなとき、SIMで視覚化された情報は有効だ。必要な情報がリアルタイムに視覚化できるコンソールがあれば、いち早く事件の予兆を発見できるだろう。1つのモニタで複数のアプリケーションを立ち上げるような煩雑さもなく、必要とあればすぐに調査を開始することもできる。
●事件発生時の円滑な調査
事件発覚後、いざ調査となってもログが散乱していては調査が始められない。ログを保管していてもファイアウォール、IDS、サーバのアクセスログを個別に調査していくのは非常に手間がかかる。
こんなときに各種のログを統一フォーマットに一元化できるSIMは、ログを縦断的かつ高速に調査できる。リアルタイム監視はしないまでも、いざというときにすぐに調査できるようにログの一元化および複雑なセキュリティの事象を抽出できるルールエンジンを備えたSIMを導入している企業が多い。
●物理セキュリティとネットワークセキュリティの融合
SIMは何もネットワークセキュリティだけに使われるとは限らない。例えば、下記の2つの事象が同時に起こったとしよう。
事象1:Aさんという人間がビルの中にいる(入退室管理システムの記録)
事象2:AさんのIDでリモート接続をしてきた(VPN装置のログ)
この2つの事象を突き合わせると「なりすまし」行為が検出できる。これは物理セキュリティとネットワークセキュリティを統合した例であるが、工夫次第ではいろいろな場面で利用できるだろう。
●コンプライアンス管理
いま、米国ではSOX法(Sarbanes-Oxley Act)という法律に各社の経営層は頭を悩ましている。この法律は企業会計や財務報告の透明性・正確性を高めることを目的に作られたものであるが、財務諸表などを提出する際に、会計システムを含め企業の情報システムに不正なアクセスがあったかどうか(データが改ざんされた可能性があるかどうか)を証明しなくてはならない。
重要な情報が入ったサーバや、社内認証システムなどに不審なアクセスがなかったことを、SIMを用いてレポートしている企業が最近増えている。現在、日本も金融庁が中心となって日本版SOX法を検討しているので、今後、日本も各企業が対策を講じていく必要が生じるだろう。
◆ ◇ ◆
今回、「SIMとは何か」をテーマに基本的な概念を説明してきた。後編ではSIMの仕組みを、より技術的に詳しく解説していく。
 |
4/4 |
| Index | |
| SIMで企業のセキュリティを統合管理せよ | |
| Page1 SIMの生い立ち |
|
| Page2 企業や組織が求めるセキュリティ管理 |
|
| Page3 SIMに求められる基本機能 SIMのシステム構成 |
|
 |
Page4 SIMの種類 SIMの使われ方 |
| セキュリティ情報マネジメント概論 | |
| SIMで企業のセキュリティを統合管理せよ | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(1) | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(2) | |
| SIMを上手に使いこなす | |
| 業務中にSkypeやIMを使っているのは誰だ? | |
| 不審な通信や無許可ホストを見逃さない | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
