低コストでログの一元管理を実現 セキュリティ統合管理ソリューション「SecureEagle/SIM」セキュリティログは有効活用されているか?

今、企業にとってはセキュリティログの管理とその活用がますます重要になってきている。さまざまな法的規制や内部統制への対応には、セキュリティインシデントの原因特定や監査証跡として不可欠となるからだ。そこで今回は、時代の要請に応えて日立電子サービス株式会社が提供しているセキュリティ統合管理ソリューションSecureEagle/SIMについてお話を伺った。

» 2006年09月04日 00時00分 公開
[PR/ITmedia]
PR

バックナンバー

【連載企画:Part 1】 ―― あなたの会社の物理セキュリティは大丈夫か?

効果的・効率的な遠隔監視を実現せよ
物理セキュリティマネジメントシステム「WebvisorIII 」


【連載企画:Part 2】 ―― 会議のために無駄な時間が生じてないか?

効率的なコミュニケーションでスピードアップ
テレビ会議ソリューション「Visual Communication」


SIMで実現したセキュリティログの一元管理

 情報システムのセキュリティ対策は、情報資産の保護のためにユーザー企業の個別要件に対応する形で推進されてきた。その結果、企業の情報システムにはファイアウォールや不正侵入検知装置をはじめとしたセキュリティ装置やネットワーク機器、サーバーなどのマルチベンダ機器が導入、利用されている。

 そうした数多くのデバイスから出力されるログを個別に管理するのでは、ユーザー企業の負担が大きくなるばかりだ。一元管理ができれば、管理そのものが飛躍的に効率化され、コストも大幅に削減される。また、ログの分析も、個別対応よりもはるかに高精度に、リアルタイムにすることができ、インシデントへの対応リスクを大幅に低減することが可能になる。

photo 日立電子サービス株式会社
プラットフォームインテグレーション事業部 セキュリティシステム部 部長 串田隆道氏

 それを実現したのが、セキュリティ統合管理ソリューションSecureEagle/SIMである。日立電子サービス セキュリティシステム部 部長の串田隆道氏は、その開発についてこう語る。

 「ログを一元管理するという課題は昔からありました。しかし、技術的な難しさもあり、真にニーズに応えられるものはなかなか実現されませんでした。私どもは、この課題解決のためSIMの分野ではトップシェアを誇る米国のArcSight社と提携し、SIM機能を活用したログの高度な統合管理を新しいサービスとして実現しました」

 SIM(Security Information Management)とは、多種多様なセキュリティ/ネットワークデバイスならびにサーバOS、ミドルウェア等のセキュリティに特化したログを相関分析し、それをセキュリティインシデントとして管理する仕組みである。


相関分析と傾向分析でインシデント抽出を詳細に

 では、SecureEagle/SIMには具体的にどんなことができるのだろうか。まずセキュリティログの集中管理については、約200のデバイスをサポートしており、「お客様のところにあるシステムは一通り面倒見られます」と串田氏は明言する。

 そして、集中管理によって可能となったのが相関分析だ。相関分析とは、イベント条件、イベント回数、経過時間、対象の脆弱度などの相関要素によって、さまざまなセキュリティログをリアルタイムに解析し、危険度が非常に高く、早急に対応が必要となるインシデントを瞬時に抽出するものだ。

photo 日立電子サービス株式会社
プラットフォームインテグレーション事業部 セキュリティシステム部 開発グループ 技師 山下博史氏

 「従来は、専門的な知識を持った技術者がファイアウォールや不正侵入検知装置、OSなどのログを個別に収集し、相互の関連を調査することによって、何が起こったのかを解析していました。したがって、解析には高度な技術知識と膨大な調査時間がかかりましたが、それを相関分析技術を使うことで解決しています」と同社セキュリティシステム部 開発グループ 技師の山下博史氏は語る。

 つまり、非常に効率よく、且つ的確なインシデント発生要因の追求ができるということだ。米国の企業では、月に1000万件発生するインシデントに15名で対応していたのが、相関分析によって2名で対応できるようになったという例があるという。

 SecureEagle/SIMはそうした相関分析だけではなく、傾向分析も可能にしている。たとえばワームには、一旦感染すると、不特定多数のIPアドレスに対して感染活動をする傾向があるので、それを検知することにより、未知のワームであっても、何処から感染し、何処に感染が広がっているかを分析することができる。したがって、傾向分析を相関分析と組み合わせれば、より高精度なインシデントの抽出が可能となる。


物理セキュリティと連携しトータルにサポート

 日立電子サービスでは、物理セキュリティマネジメントシステムとしてWebvisorを提供しているが、SecureEagle/SIMはWebvisorとの連携も可能である。そして、それによって、たとえば「なりすまし」が防止できる。

 ユーザーのサーバー室に不審な人物が侵入すると、Webvisorの画像監視装置が作動して画像を記録する。さらに、不審人物が誰かになりすましてサーバーに対して不正アクセスを試みたとすると、サーバーのログを分析することによって不正アクセスの事実を確認することはできる。しかし、それだけでは誰が不正アクセスをしたのか特定することまではできない。

 従来は、そこまでが限界だったが、SecureEagle/SIMとWebvisorとが連携していれば、サーバーのログと画像監視装置で記録した画像とを関連させて分析することができる。つまり、画像が重要な物的証拠の一つとなり、不正アクセスを行った不審人物の特定に役立てるわけである。

 「次のステージとしてはWebvisorなどの物理セキュリティのログを活用して新しいソリューションをお客様に提供することを考えています」と串田氏。SecureEagle/SIMとWebvisorの連携による物理とサイバーの両面からの同社のトータルなセキュリティ・サポートは今後、ますます面白くなっていきそうだ。

photo クリックすると画像が拡大します

J-SOX法や各種ガイドラインへも対応

 今、情報セキュリティ対策においては内部統制やコンプライアンスが新しいキーワードになっている。SecureEagle/SIMは当然、それにも対応している。

photo 日立電子サービス株式会社
プラットフォームインテグレーション事業部 セキュリティシステム部 開発グループ 主幹 大野光夫氏

 「J-SOX法が施行された折には、そこで求められるIT全般統制の中のシステム・セキュリティの保証への対応が求められます。この対応状況をコンプライアンス・レポートという形でご提供、エビデンスとしてお役に立てさせていただくことができます」と同社セキュリティシステム部 開発グループ 主幹の大野光夫氏は胸を張る。

 SecureEagle/SIMはまた、金融業界や公共機関などが定めるガイドラインに対応した機能も提供する。たとえば金融業界にはFISC(金融情報システムセンタ)が定めた「金融機関等コンピュータシステムの安全対策基準」がある。公共機関に対しては、内閣官房のNISC(情報セキュリティセンタ)が「政府機関の情報セキュリティ対策のための統一基準」を定めた。前者の技術基準の一つとして、また後者の情報システムのセキュリティ要件の一つに証跡管理というのがある。SecureEagle/SIMはそれらに対応しているのである。

 SecureEagle/SIMには現在、提供モデルとしてMSSP(Managed Security Service Provider)型とオンサイト型の二つがある。言うまでもなく、前者の方が低コストでスピーディに導入できる。時代の要請に応えるものであるだけに、SecureEagle/SIMに対する期待はまさに高まる一方である。

ホワイトペーパーダウンロード

ホワイトペーパー「大量のログにどう対処するか…マルチベンダ環境における効果的なセキュリティログ対策」が、TechTargetジャパン ホワイトペーパー ダウンロードセンターで入手できます。


「SecureEagle/SIM」へのお問い合わせ先
日立電子サービス株式会社

Tel:03-5441-9483(セキュリティシステム部)
e-Mail:oono@hitachi-densa.co.jp、hiroshiy@hitachi-densa.co.jp


Copyright © ITmedia, Inc. All Rights Reserved.


提供:日立電子サービス株式会社
「ITセレクト」 2006年10月号より転載

制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2006年10月3日