第12回 イベントログ集中管理ツール「SIM」の常識：知ってるつもり？「セキュリティの常識」を再確認（2/2 ページ）

[伊藤良孝（三井物産セキュアディレクション），ITmedia]

　SIMが前述した動作を行うために3つの重要な機能が存在する。（1）正規化（Normalization）機能、（2）集約化（Aggregation）機能、(3)相関分析（Correlation）機能である。

　まず、正規化機能であるが、これはさまざまなセキュリティデバイスが生成するイベントログをSIMが扱える形式に整形し直す機能である。ご存知の通り、例えばファイアウォールとIDSではイベントログの形式、大きさは異なる。また同じIDSでもA社の製品とB社の製品でもイベントログの形式が異なり、同じ攻撃を検知した場合でも一見まったく異なる記述のイベントログが生成される。正規化機能は、こうしたイベントログに対してSIM自身が持つイベントカテゴリーに従った共通IDを付与したり、イベントデータベースのカラム構成に従ったフォーマットに構成し直して、イベントログをSIM上で統合的に取り扱えるようにする機能なのである（画面1）。

画面1●多様なイベントログを共通のフォーマットに変換して、SIM上で把握できる

　次に集約化機能である。実際に発生するイベントログは重複しているものが多い。例えばツールなどで攻撃を行った場合、短時間の内に同じ内容のイベントログが多数発生する。集約化機能はこのような重複イベントログや類似イベントログを1つにまとめることによって、無駄な情報を削減する機能である。

　最後に相関分析機能である。SIMでは最も重要な機能であり、SIMベンダーはこの機能をいかに洗練させるかでしのぎを削っている。正規化、集約化されSIMのイベントデータベースに蓄えられたイベントログは、重要なインシデントを発見するために、「解析ルール」と呼ばれるものに従って解析される。

　基本的な解析ルールは標準テンプレートとして、SIM製品に添付されていることがほとんどだが、より詳細な解析を行うには、SIM運用・管理者が自分で解析ルールを作成する必要がある。この解析ルール次第でSIMの能力が左右されてくるからだ。

　それでは、SIMがどのような考え方に基づいて分析を行うのか、1つの例をもとに説明しよう。

図2■攻撃ケースの例

　図2をご覧頂きたい。ここではIDSやファイアウォールがサイトのセキュリティを確保するデバイスとして配置され、SIMはこれらの生成するイベントログ、および守るべき対象となるWebサーバのイベントログも収集している。このような構成のサイトに攻撃行為が発生した場合、どんなセキュリティイベントが発生するであろうか？

　まずIDSは攻撃された事実に基づき何らかのアラートを発生するだろう。しかも集中的な攻撃が発生した場合、IDSは大量のアラート生成してしまうが、この中にはIDSの次に控えるファイアウォールで防御された攻撃のアラートも含まれるものである。

　次にいくつかの攻撃がファイアウォールをすり抜けてWebサーバに到達したとする。するとWebサーバのアプリケーションは、この攻撃を含むコネクションに対してレスポンスを返すであろう。攻撃が有効な場合200系のレスポンスを返し、無効な場合400系のレスポンスを返すこととなり、Webサーバのアプリケーションログに記載されることとなる。

　ここで図2の下の表をご覧頂きたい。この表は今までお話した例を整理したものである。このように各デバイスからのログを相関させて見ることによって、インシデントの重要度（インシデントレベル）がくっきりと浮かび上がってくる。SIMの相関分析機能はまさにこのような解析を行ってくれる。

進化するSIM

　現在のSIMはこれまで述べてきた機能のほかに、解析結果をトリガーにして、セキュリティデバイスに対して防御のためのコントロールを行うもの、脆弱性スキャナーなどの結果や脆弱性情報データベースと連携するものなど、さまざまなシステムと動的に連動する機能を取り込み始めている。また、攻撃経路の自動的可視化や複雑な統計的分析機能によって、より直感的に複雑かつ重大なインシデントを把握できるように進化している。

　現在では、多種多様なセキュリティデバイスが存在し、ネットワークを流れるトラフィックが爆発的に増加しており、このような環境において、セキュリティデバイスが生成するイベントログを真に効果的を利用するためのツールとして、SIMの重要性はますます増していくことだろう。

　しかし、忘れてはいけないのは、SIMはあくまでも1つのツールであるということである。SIMに添付されている標準的な解析ルールのテンプレートによって、大部分の重要なインシデントを効率良く把握することができるだろうが、本当に高度な処理を行うには解析ルールのカスタマイズは必須事項となる。これを行うということはSIMの管理・運用者が持っている解析スキルをSIMのルールに写し出すということに他ならない。

画面2●SIMの分析画面

　イベントログの山から本当に重要なインシデントの兆候を探し出すための基本動作は、収集されたイベントログを空間的、時間的に並べ替え、これに外部のさまざまな情報を加えて、現われた結果を合理的に説明する理由を探し出すことである（画面2）。この記事をご覧になっている方は、もしSIMを導入していなくても、セキュリティデバイスが吐き出すイベントログ（アラート）をただ漫然と流し見ているのではなく、たまにはパズルのように並べ替えてみてほしい。もしかしたらそこに重要なヒントが浮かび上がってくるかもしれない。