今、企業にとってはセキュリティログの管理とその活用がますます重要になってきている。さまざまな法的規制や内部統制への対応には、セキュリティインシデントの原因特定や監査証跡として不可欠となるからだ。そこで今回は、時代の要請に応えて日立電子サービス株式会社が提供しているセキュリティ統合管理ソリューションSecureEagle/SIMについてお話を伺った。
情報システムのセキュリティ対策は、情報資産の保護のためにユーザー企業の個別要件に対応する形で推進されてきた。その結果、企業の情報システムにはファイアウォールや不正侵入検知装置をはじめとしたセキュリティ装置やネットワーク機器、サーバーなどのマルチベンダ機器が導入、利用されている。
そうした数多くのデバイスから出力されるログを個別に管理するのでは、ユーザー企業の負担が大きくなるばかりだ。一元管理ができれば、管理そのものが飛躍的に効率化され、コストも大幅に削減される。また、ログの分析も、個別対応よりもはるかに高精度に、リアルタイムにすることができ、インシデントへの対応リスクを大幅に低減することが可能になる。
それを実現したのが、セキュリティ統合管理ソリューションSecureEagle/SIMである。日立電子サービス セキュリティシステム部 部長の串田隆道氏は、その開発についてこう語る。
「ログを一元管理するという課題は昔からありました。しかし、技術的な難しさもあり、真にニーズに応えられるものはなかなか実現されませんでした。私どもは、この課題解決のためSIMの分野ではトップシェアを誇る米国のArcSight社と提携し、SIM機能を活用したログの高度な統合管理を新しいサービスとして実現しました」
SIM(Security Information Management)とは、多種多様なセキュリティ/ネットワークデバイスならびにサーバOS、ミドルウェア等のセキュリティに特化したログを相関分析し、それをセキュリティインシデントとして管理する仕組みである。
では、SecureEagle/SIMには具体的にどんなことができるのだろうか。まずセキュリティログの集中管理については、約200のデバイスをサポートしており、「お客様のところにあるシステムは一通り面倒見られます」と串田氏は明言する。
そして、集中管理によって可能となったのが相関分析だ。相関分析とは、イベント条件、イベント回数、経過時間、対象の脆弱度などの相関要素によって、さまざまなセキュリティログをリアルタイムに解析し、危険度が非常に高く、早急に対応が必要となるインシデントを瞬時に抽出するものだ。
「従来は、専門的な知識を持った技術者がファイアウォールや不正侵入検知装置、OSなどのログを個別に収集し、相互の関連を調査することによって、何が起こったのかを解析していました。したがって、解析には高度な技術知識と膨大な調査時間がかかりましたが、それを相関分析技術を使うことで解決しています」と同社セキュリティシステム部 開発グループ 技師の山下博史氏は語る。
つまり、非常に効率よく、且つ的確なインシデント発生要因の追求ができるということだ。米国の企業では、月に1000万件発生するインシデントに15名で対応していたのが、相関分析によって2名で対応できるようになったという例があるという。
SecureEagle/SIMはそうした相関分析だけではなく、傾向分析も可能にしている。たとえばワームには、一旦感染すると、不特定多数のIPアドレスに対して感染活動をする傾向があるので、それを検知することにより、未知のワームであっても、何処から感染し、何処に感染が広がっているかを分析することができる。したがって、傾向分析を相関分析と組み合わせれば、より高精度なインシデントの抽出が可能となる。
日立電子サービスでは、物理セキュリティマネジメントシステムとしてWebvisorを提供しているが、SecureEagle/SIMはWebvisorとの連携も可能である。そして、それによって、たとえば「なりすまし」が防止できる。
ユーザーのサーバー室に不審な人物が侵入すると、Webvisorの画像監視装置が作動して画像を記録する。さらに、不審人物が誰かになりすましてサーバーに対して不正アクセスを試みたとすると、サーバーのログを分析することによって不正アクセスの事実を確認することはできる。しかし、それだけでは誰が不正アクセスをしたのか特定することまではできない。
従来は、そこまでが限界だったが、SecureEagle/SIMとWebvisorとが連携していれば、サーバーのログと画像監視装置で記録した画像とを関連させて分析することができる。つまり、画像が重要な物的証拠の一つとなり、不正アクセスを行った不審人物の特定に役立てるわけである。
「次のステージとしてはWebvisorなどの物理セキュリティのログを活用して新しいソリューションをお客様に提供することを考えています」と串田氏。SecureEagle/SIMとWebvisorの連携による物理とサイバーの両面からの同社のトータルなセキュリティ・サポートは今後、ますます面白くなっていきそうだ。
今、情報セキュリティ対策においては内部統制やコンプライアンスが新しいキーワードになっている。SecureEagle/SIMは当然、それにも対応している。
「J-SOX法が施行された折には、そこで求められるIT全般統制の中のシステム・セキュリティの保証への対応が求められます。この対応状況をコンプライアンス・レポートという形でご提供、エビデンスとしてお役に立てさせていただくことができます」と同社セキュリティシステム部 開発グループ 主幹の大野光夫氏は胸を張る。
SecureEagle/SIMはまた、金融業界や公共機関などが定めるガイドラインに対応した機能も提供する。たとえば金融業界にはFISC(金融情報システムセンタ)が定めた「金融機関等コンピュータシステムの安全対策基準」がある。公共機関に対しては、内閣官房のNISC(情報セキュリティセンタ)が「政府機関の情報セキュリティ対策のための統一基準」を定めた。前者の技術基準の一つとして、また後者の情報システムのセキュリティ要件の一つに証跡管理というのがある。SecureEagle/SIMはそれらに対応しているのである。
SecureEagle/SIMには現在、提供モデルとしてMSSP(Managed Security Service Provider)型とオンサイト型の二つがある。言うまでもなく、前者の方が低コストでスピーディに導入できる。時代の要請に応えるものであるだけに、SecureEagle/SIMに対する期待はまさに高まる一方である。
ホワイトペーパー「大量のログにどう対処するか…マルチベンダ環境における効果的なセキュリティログ対策」が、TechTargetジャパン ホワイトペーパー ダウンロードセンターで入手できます。
「SecureEagle/SIM」へのお問い合わせ先
日立電子サービス株式会社
Tel:03-5441-9483(セキュリティシステム部)
e-Mail:oono@hitachi-densa.co.jp、hiroshiy@hitachi-densa.co.jp
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日立電子サービス株式会社
「ITセレクト」 2006年10月号より転載
制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2006年10月3日