標的型サイバー攻撃に備えるなら頭を使え！：ビジネス資産を守る新たなアプローチ（2/2 ページ）

[國谷武史，ITmedia]

断片情報から危険の予兆を見つけろ

　セキュリティ対策における「インテリジェンス」を、IBMでは「ITセキュリティとリスク状態にインパクトを与えるユーザー、アプリケーション、インフラストラクチャが生成するデータをリアルタイムに収集、正規化、分析すること」と定義している。

　つまり、情報システムやそのユーザーから発生するデータをリアルタイムに集めて分析し、既存のセキュリティ対策と対策で補い切れていない弱点に影響を与える恐れのある兆候を可視化する。これによって、能動的に対応策を講じられるようにしていく。警察庁が発足させた協議会はこれを国家レベルで実行するための組織といえる。

　個々の企業環境ならば、IT基盤やシステム、セキュリティ対策の稼働状態、ユーザーの操作内容といった各種のログを一元的に集める。自社の資産の重要性などを観点にログの相関関係を分析、そこから資産を侵害される恐れがある攻撃などの兆候や影響度を可視化させ、分析結果をもとに対応策を実行していく。例えば、ある情報システムへのアクセス権限を持ったユーザーのログインが通常では行われない休日に行われれば第三者による不正アクセスが疑われる。また社内からこれまでに観測されたことのないIPアドレスへの接続が見つかれば、マルウェアに感染したコンピュータが攻撃者のサーバに機密情報を送信している疑いがある。

　ただ、インテリジェンスの仕組みを実現するには、「最高セキュリティ責任者（CIO）」や「最高情報セキュリティ責任者（CISO）」といった情報セキュリティ対策責任者および専任部署を設置し、膨大なログ情報からサイバー攻撃の予兆を発見するといった高度な技術やノウハウを持つ人材を確保していることが理想だ。

　矢崎氏によれば、セキュリティ対策に「インテリジェンス」を取り入れる企業は、金融や通信サービス分野で多いものの、それ以外では実際にサイバー攻撃による被害を受けた企業などにとどまる。多くの企業では限られたIT予算の中でセキュリティ対策に投資せざるを得ず、理想的な「インテリジェンス」の仕組みをすぐに構築するのは難しい。そこでセキュリティベンダーなどが、セキュリティの「インテリジェンス」をITツールで実現する取り組みを進めている。

　各社が開発するツールは、上述のように各種ログ情報の分析からセキュリティインシデント（事象）の予兆を管理者へ自動的に警告するといった役割を担う。導入時に自社に応じた分析ロジックを実装したり、運用後もチューニングしたりするなどの対応は必要だが、日々の監視や運用面での人的な負担を軽減させセキュリティレベルの向上を期待できる。2013年にIBMが国内提供を予定するツールでは事前設定済みの分析ルールを約1000通り用意しているなど、導入時段階から本格的に利用できるようにしたツールもある。

　ログ情報をセキュリティの「インテリジェンス」のような仕組みに用いることを、「Security Information and Event Management（SIEM）」とも呼ぶ。情報システムに日々蓄積されるログ情報はあまりに膨大であり、ログ情報が活用されるのはサイバー攻撃の受けた際の原因分析などに限られてきたが、今後はSIEMでログ情報を日々のセキュリティ対策に役立つことが期待される。サイバー攻撃のリスクは事業継続にも影響しかねないだけに、企業レベルでも「インテリジェンス」を実現することが求められていくだろう。