ログの“破片”からインシデントを見定めるSIMという手法シマンテックが投入する「Symantec Security Information Manager」

情報漏えい対策やコンプライアンスのためにログ管理を行う企業は少なくないが、ログをどの程度活用できているだろうか。点在するログを組み合わせて1つのインシデントとして把握できてこそ、ログの意味が見えてくる。

» 2008年11月19日 10時00分 公開
[PR/ITmedia]
PR

本記事は、TechTargetジャパン「企業を強くするIT製品レビュー」からの転載です。


 ログ収集と管理の重要性は、今さら説明するまでもない。万が一機密データが流出したとき、誰がそのデータにアクセスし、どの経路を使って持ち出されたかを特定するには、ログが必要だ。また、ログは業務の正常性を示す証拠にもなるため、昨今はコンプライアンス対応を目的に収集管理を実施する企業も多い。

 もっとも、ログはあくまでもシステム状況、アクセス履歴などの記録データであり、個別に見るだけではセキュリティ対策上あまり意味がない。例えば情報漏えいが発生したとき、管理者は漏えい経路と思われる個所の機器すべてのログを分析し、関連するものを抽出、意味付けを行う必要がある。これを人手で行うのは効率が悪く、現実的ではない。たとえネットワーク規模が小さくても、複雑さは大規模のそれと変わりない。

 ログを「ログ」として管理するうちは、悪意のある攻撃といったセキュリティ脅威、情報漏えいなどを根本的に防ぐことはできないだろう。しかし発想を少し変えれば、ログは意味のあるものへと変わり、管理も容易になる。

パズルのピースを組み合わせて事象を「見える化」する

 ログは、問題の状況をより詳細に分析するときに必要となる。事件の具体的な流れが整理されていない段階ですべて見えても、分析側を混乱させるだけだ。

 例えば、社内の人間が機密ファイルにアクセスし、電子メールを通じて漏えいさせたとしよう。または、パスワードが掛かったファイルへ何回かアクセスしては失敗し、しかも、ほかのファイルに対しても同様のアクセスを試みる不審者がいたとする。このとき、誰がどのような経路で何をしたかは、ネットワーク機器やPCのログを調査すれば判明する。しかし、問題の経路が明確でなければ、管理者は関連するログを1つずつ確認しなければならない。これでは時間がかかるし、負担も大きい。

 現在の企業ネットワークは、小規模でも多種多様な機器が複雑に絡み合って構成されている。その中から必要な情報を掘り当てるのは容易ではない。それに、セキュリティインシデントが発生したとき、企業は迅速な対応や防御策を講じなければならない。未然に防ぐ場合も同様だ。不審な行動を検知したら、速やかに対応する必要がある。

 こうした課題に対して、ログというパズルのピースをつなぎ合わせて、1つの「インシデント」にまとめる解決策が登場した。それが、「SIM」(Security Incident/Information Management:セキュリティインシデント管理)である。SIMは、多様な機器のログを統合し、特定の視点で相関分析を行い、グループ分けをする。さらに、グループ単位で管理しながら、早急に対処すべき項目などを管理者に通知するなど、運用支援も行う。

 当初は、取りあえずログをつなぎ合わせるだけの「SEM」(Security Event Management:セキュリティイベント管理)というソリューションもあった。しかし、分析は管理者の手で行わなければならず、運用負荷を大きく下げるまでには至らなかった。ログを意味のあるインシデント情報へと変換し、1つ上のセキュリティ対策へと引き上げるSIMは、今や大企業のみならず、中堅・中小企業でもニーズが高まっている。

SIM製品の5つの役割と4つの選択ポイント

 SIM製品には、主に次の5つの機能が求められる。

  1. リアルタイムのログ収集
  2. 相関分析によるインシデント管理
  3. リスク管理を踏まえた対策の順位付け
  4. データの長期保全
  5. リポート作成

 最初の3つは前述したが、これらに加えてデータを安全かつ長期間保全するための仕組みや、各種法規制で提出が求められた場合のリポート作成機能も必要となる。これらは、コンプライアンス対応や正常な業務運営を支援するためのものだ。

 これらを踏まえた上でSIM製品を選択するとき、機能以外に重視すべき具体的なポイントは何だろうか。簡単にまとめると、次のような項目が挙げられる。

  • ログ収集可能な機器の種類
  • 一目で把握できる優先度付け
  • 容易なリポート作成
  • 最新のセキュリティ情報の参照

 できる限り多くの種類の機器からログを収集し、インシデントへの対処を支援しながら、リポートの作成も面倒を見てくれる――。いずれも最近の情報セキュリティ管理への要件だ。

 以上のポイントを網羅し、かつ簡単に導入・運用できるのが、シマンテックの新製品「Symantec Security Information Manager」(以下、SSIM)だ。SSIMというピースが加わったことで、シマンテックのセキュリティコンプライアンスソリューションは、より包括的なソリューションとして強化される。あらゆるセキュリティ対策を補完するこの新製品について、詳細に見ていこう。

SSIMが実現するインシデント統合管理

 SSIMは、ログを収集してインシデントを統合管理するSIMソリューションだ。130種類を超えるファイアウォール、ウイルス対策ソリューション、IDS/IPS(侵入検知/防御システム)、データベース、OS、Webサーバやプロキシなどの機器からログを収集、インシデント化して管理する。

 ログについては、正規化・相関分析を行ったインシデントとしてデータベースに保存するだけでなく、正規化したログデータはサイズを最大約50%圧縮した状態でSSIMアプライアンス内のHDDにアーカイブファイルとして保存する。またその際、正規化する前の生データを同時に保存することも可能だ。何も加工されていない生の情報を保存することで、コンプライアンス要件を満たすことができ、またフォレンジック用途での利用が可能だ。しかも、外部データベースへの書き出し・読み込みといった作業が排除されるため、高いパフォーマンスを確保でき、特別なメンテナンスも必要ない。

 インシデントとなったログ情報は、ポリシーや脆弱性など各種情報に応じて自動的に優先度が付けられる。対処すべきインシデントは統合管理画面上から優先順に表示され、管理者はすぐに対処へと移ることができる。脅威の詳細情報なども提示されるので、最新の脅威に対しても適切な判断が下せる。電子メールやSNMPでの通知にも対応し、緊急を要するインシデントを把握することが可能だ。

SSIM01の仕組み
ログはポリシーやリスク深度に基づいて優先付けされる(クリックで拡大)

 また、インシデントへの対応結果や脅威の傾向などはリポートとして出力できる。各種法規に基づき、情報をカスタマイズして報告してくれる。リポートを定期的に振り返りたければ、自動定期レビュー機能を活用すればよい。あらかじめ決められた項目のログを毎回抽出し、自動分析してリポートにまとめてくれる。自社ネットワークセキュリティの傾向と対策にも活用でき、単なるリポート作成にとどまらない柔軟性を備えるのが特徴だ。

柔軟なカスタマイズが可能なリポート作成画面(クリックで拡大)

 このほか、ユーザーの行動を追跡して分析するアクティビティモニタリング機能、ID管理、イベントやインシデント情報を多角的に分析可能なセキュリティダッシュボード、NASやDASなどのストレージへのアーカイブオプションなど、さまざまな機能が盛り込まれている。

GINとの連携で最新インシデントにも素早く対応

 こうしたSSIMの有用な機能の中でも特筆すべきは、シマンテック独自のセキュリティ対策ネットワーク「グローバルインテリジェンスネットワーク」(GIN)である。

シマンテックのグローバルインテリジェンスネットワーク(クリックで拡大)

 GINでは、世界200カ国以上のパートナーサイトに置かれた4万以上のセンサー網から脆弱性情報やウイルス感染報告などをリアルタイムで収集し、セキュリティオペレーションセンター(SOC)で監視・分析を実施する。セキュリティレスポンスセンターは、結果に基づいて同社製品で必要な定義ファイルなどを作成し、ユーザー企業へと送信する。1日平均20億回という膨大なイベントを記録し、ベンダー8000社/5万5000以上の技術をカバーする脆弱性データベースを基に、最新インシデントを網羅するグローバルなネットワークだ。

 SSIMは、機器から収集したログを解析・正規化したのち、GINの情報も参照しながらインシデント化する。最新セキュリティ情報と照らし合わせることで、ネットワークに潜むリスクの見落としがなくなる。

 SIMソリューションは、セキュリティオペレーションセンター(SOC)に委託したり、ISP/ASPに調査依頼したりと、複数の実現方法がある。SOCの利用は、詳細な分析と運用負荷の軽減が望めるが、費用が掛かることが多い。一方のISP/ASPサービスは、コストを抑えられる可能性はあるが、きめ細かい分析項目が十分に用意されていない場合もある。

 それに対してSSIMのような製品であれば、ログを総合的に管理しながら危険度の高いインシデントを随時チェックでき、セキュリティポリシーへのフィードバックなど、セキュリティマネジメントの1つのフローとして運用することも可能だ。SIMの導入は自社の運営体制にもかかわってくるが、検討する価値は大いにある。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社シマンテック
企画:アイティメディア営業本部/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2008年12月15日