標的型攻撃対策にSIEMが必要とされる理由 (1)

IT・IT製品TOP > Key Conductors > 遠藤 宗正(デジタルアーツ株式会社) > 標的型攻撃対策にSIEMが必要とされる理由 (1)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

標的型攻撃対策にSIEMが必要とされる理由 (1)

ネットワークセキュリティ 2015/11/20

 昨今多発する標的型攻撃に由来した情報漏洩対策として、Webアクセスの一元化による安全な通信を確保するプロキシサーバの重要性が見直されています。このような状況の中で、デジタルアーツは、標的型攻撃対策として「検知・防御・教育」の3つの要素が重要であると考えています。本連載では、標的型攻撃対策の中でも「検知」の分野で注目されている「SIEM」の必要性について考えていきます。第1回となる本稿では、まず「SIEM」とは何かをご紹介します。

求められ始めた、セキュリティインテリジェンス

 システムの改竄や破壊、情報漏洩を引き起こすサイバー攻撃、組織内部者による不正行為をはじめ、日々多くのインシデントが発生しています。警察庁が2015年3月に発表した資料によると、平成26年中に警察が把握した標的型メール攻撃は前年比約3.5倍に増加しており、メールの送信先アドレスについては、インターネット上で公開されておらず、検索サイトで調べても発見できない「非公開アドレス」が約7割を占めていることから、周到な準備を行った上で攻撃を実施していることがうかがわれます。

図1 警察庁が把握した標的型メール攻撃の件数

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1 警察庁が把握した標的型メール攻撃の件数
出典:警察庁「平成26年中のサイバー空間をめぐる脅威の情勢について」より弊社作成

 このように、攻撃は高度化・複雑化しており、ウイルス検知ソフトやファイアウォール、IDS/IPSをすり抜ける技術やサンドボックスを検知し活動を停止する機能をターゲットにあわせて組み合わせて利用するため、すべての攻撃を完全に防ぐことが困難となっています。この中でポイントごとに対策を行うのではなく、複数のイベントを用いて統合的に判断を行うセキュリティインテリジェンスという観点からの対策が求められ始めています。

SOCとCSIRT

 2015年9月4日、サイバーセキュリティ戦略が閣議決定され、政府機関を対象とした監視体制の強化と監視対象の拡大や専門組織との連携強化を始めとした多くの強化施策が盛り込まれました。これを受け、企業や組織においても対策強化に乗り出し始めています。

 具体的には、攻撃を防ぐ対策だけでなく、インシデントの発生前後に対しても意識を持ち始め、セキュリティデバイスの運用管理と常時セキュリティ監視、分析とリアルタイムのインシデント対応を主として行うSOC(ソック、Security Operation Center)と組織において発生したインシデントに対応を主として行うCSIRT(シーサート、Computer Security Incident Response Team)が注目され構築され始めました。近年、民間企業におけるCSIRTの設立は上場企業を中心に急激に増加しており、「日本シーサート協議会」への加盟数は103 (2015年11月2日現在) となっています。

 インシデントを事前に検知し、分析することで事後対応の手助けをしてくれるのがSIEM(シーム、Security Information and Event Management)です。つまり、SIEMはSOC・CSIRTのいずれにも欠かせない製品となりつつあります。

 SIEMは、セキュリティに関する統合ログ管理の機能を持ちながら、常時・リアルタイムに高速な分析を行い、アノマリー(不正値)を検知、アラートを発し、レポート機能により状況を分かりやすく可視化します。SIEMは当初、ITベンダがリモート監視サービスのインフラとして独自に開発したものでしたが、現在は数社が製品化し、市場に提供しています。代表的な製品としては、下記が挙げられます(※製品名アルファベット順、カッコ内は提供企業名)。

HP ArcSight ESM(日本ヒューレット・パッカード)

IBM Security QRadar SIEM(日本IBM)

McAfee SIEM(マカフィー)

RSA Security Analytics(EMCジャパン)

Splunk(Splunk)

従来の対策とSIEMが異なる点

 従来のネットワーク上の攻撃検知にはIDS(Intrusion Detection System)が用いられていましたが、IDSはシグネチャと呼ばれるルールに基づき不正を検知しアラートを行うのみで、その他の機器が出力するログと組み合わせて分析することはできませんでした。また、自社のITインフラに加え、複数のセキュリティ製品を所有する企業は、これら全ての製品が出すログを横断的に分析することは膨大な手間がかかり、有効活用できていませんでした。これを解決したのが、ログの一元管理によるリアルタイム検知ができるSIEMです。

図2 SIEMによるログの一元管理

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図2 SIEMによるログの一元管理

SIEMの機能

 SIEMが有する機能としては、大きく4つ存在します。

1. ログ収集

ファイアウォール、IPS/IDS、WAF、アンチウイルス、などのあらゆるセキュリティ機器に加え、ディレクトリサーバやプロキシサーバ、ネットワーク機器、更には入退室管理システムなど広範囲のシステムのログの収集を可能にします。

2. 正規化

収集したログはシステムごとにフォーマットが異なるため、整える(正規化する)必要があります。これがログの分析を高速化する基礎となります。

3. 相関分析

SIEMの最大の特長ともいえる、複数のイベントを組み合わせて不正を判定する部分です。これにより、より精度の高い判定が可能となり、製品によって判定ロジックは異なります。Splunkを例にとると、『統計ベースでの相関分析』を採用しています。
・過去30日の平均ログオン失敗回数と、直近5日の失敗回数の差異
・URL文字列数などの平均値、標準偏差によるレアなレコード抽出
といった統計情報から分析を可能にしています。また、複数のシステムのログを組み合わせて相関分析を行う例としては、不審な通信が発生した端末のイベントログと入退室管理システムのログを組み合わせることにより、端末の持ち主により行われた通信なのかどうかを区別することも可能です。

4. 可視化

レポートとして可視化することができます。従業員の行動をトレースし、不正の可能性を探ることやセキュリティ運用の改善点を検討することが可能です。

 今回はSIEMとは何かについてご紹介しました。標的型攻撃対策に必要な1要素として、SIEMによる検知が重要なことはご理解いただけたかと思います。次回はもう少し範囲を広げ、標的型攻撃対策に必要な他の要素も交えて標的型攻撃対策とSIEMの関係についてご紹介します。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008405


IT・IT製品TOP > Key Conductors > 遠藤 宗正(デジタルアーツ株式会社) > 標的型攻撃対策にSIEMが必要とされる理由 (1)

このページの先頭へ

キーマンズネットとは
2012年よりデジタルアーツ株式会社で、Webフィルタリング製品のプロダクトマネージャーとして従事。内部情報漏洩対策・生産性向上のためのWebフィルタリングという製品ポジションから、外部からの悪意ある攻撃対策まで包含できる製品にシフトすべく、他社製品との連携も視野に入れて、セキュリティ市場の動向を日々伺う。

ページトップへ