特集
» 2013年04月02日 08時00分 UPDATE

企業のITセキュリティ対策はどこに向かうのか

新たな脅威が出現する度にセキュリティ技術も開発されてきたが、昨今の高度な標的型攻撃には対処できないケースもある。そこで「セキュリティインテリジェンス」という方法が注目を集めている

[國谷武史,ITmedia]

 企業や組織におけるITセキュリティ対策の歴史は、マルウェアやスパム、脆弱性悪用攻撃、フィッシングといった脅威が出現するごとに、新たな対策技術が開発され、それを適用していくことの積み重ねだったと言えよう。多種多様な製品やサービスが幾つも講じられている現在の対策環境は、一見堅牢だ。しかし、その隙間を突く高度なサイバー攻撃が深刻な問題となっている。

 ITセキュリティの専門家の多くは、高度なサイバー攻撃に対する“特効薬”は存在しないと指摘する。この種の攻撃では既知・未知を問わず、ありとあらゆる手法を組み合わせて実行される。このため、個々の対策では防御しきれず、対策同士を連携させ、多層的に機能していく仕組みが求められるという。だが、それでも防御できるとは限らず、企業や組織からは「どこまで対策すれば分からない」との声も聞かれる。セキュリティの脅威が深刻化する中で、どのような対策が求められるのだろうか。

対策の隙間を分析情報で埋める

 こうした状況から、2012年に「セキュリティインテリジェンス」というキーワードが登場し、このためのセキュリティ対策製品がベンダーから提供され始めた。セキュリティ分野におけるインテリジェンスとは、古くは軍事などにおける諜報活動を指す。ある目的を達成するために、さまざまな情報を収集・分析し、策略を講じる。ITセキュリティでも同様のアプローチで、高度化する脅威の情報を集めて分析し、有効性の高い対応策を実践していくという具合だ。

 具体的には、企業や組織の情報システム、ネットワークから発せられる膨大な量と種類のログを一元的に集め、相関関係を分析する。サイバー攻撃にみられる特徴、例えば、機密情報への不審なアクセスや通常ではあまりみられない外部コンピュータとの通信が発生しているといった兆候を見つけ出し、さらに詳細に調査する。実際にサイバー攻撃を受けているのか、情報漏えいなどの被害が発生しているのかを判断し、迅速に対処する。

 セキュリティインテリジェンスのツールは、従来は「統合ログ管理」とも呼ばれ、こうした一連の作業をサポートするべくログの蓄積と分析が主たる機能となっている。既に企業や組織が導入しているセキュリティ製品、さらには、PCやサーバなどのシステムからログ情報を一手に集めて、分析処理する。ログから得た情報をつなぎ合わせることで、対策の隙間を突く攻撃を発見するというアプローチである。

secu_inteli01.jpg ログなどの分析から脅威を絞り込んでいく(出典:日本IBM)

 統合ログ管理ツールと呼ばれた時代は、その導入や運用が非常に困難とされた。ユーザーにはサイバー攻撃がどのように行われるのかといった高度な知識や経験が必要で、その視点でツールが適切に機能する環境を設計し、運用しなくてはならない。

 一方、セキュリティインテリジェンスとしてのツールではユーザーの負荷を軽減するように配慮されている。例えば、日本IBMが1月に発表した「QRadar」では約1000種の分析テンプレートが用意され、このテンプレートを利用して、ユーザーがサイバー攻撃の兆候を迅速に発見できるようにしているという。

攻撃には多層防御で

 セキュリティインテリジェンスのツールは、上述の通り高度なサイバー攻撃を「発見」するための方法であり、それ自体が攻撃を防御するものではない点を押さえておきたい。基本的には、企業や組織の情報システムやネットワークの内部に脅威が侵入するという前提で利用する。

 個々の攻撃を防ぐのは、セキュリティソフトやファイアウォール、IPS/IDSといった防御機能であり、セキュリティインテリジェンスのツールは、各種の防御ツールと連携して、その機能をより引き出していくための基盤といえるだろう。

 また、セキュリティインテリジェンスのツールは、高度なサイバー攻撃に備えるためだけに存在しているわけではない。統合ログ管理ツールから発展した経緯を振り返ると、統合ログ管理ツールは、組織関係者による内部不正も含めたリスクやコンプライアンス管理のためのツールとして登場した。

 日本IBMによれば、QRadarユーザーの多くは、まずリスクやコンプライアンス管理を目的に導入しているという。例えば、米国の小児医療センターでは拡張し続ける情報システムのログの管理を限られた人員で適切に行うために、古くから同製品を活用しているという。これが、近年では高度なサイバー攻撃への対応でも活用できるようになり、防衛産業を始めとするさまざまな企業や組織に広がった。

 つまり、企業を取り巻くさまざまなリスクの1つにITセキュリティ上の脅威があり、これを含めたリスクを、システムやネットワークのログを頼りにコントロールしていくためのツールといえる。「GRC(ガバナンス・リスク・コンプライアンス)」とも呼ばれるが、セキュリティインテリジェンスのツールは、ITセキュリティの領域においてさまざまに講じられている対策を、適切にコントロールしていく役割を果たす存在だ。


 セキュリティインテリジェンスが、GRCの中のITセキュリティを担うものであれば、将来的にはGRC全体としての仕組みを実現していくことが、企業や組織には求められるかもしれない。ただ、一言でGRCといっても、その内容は企業や組織ごとに異なるだろう。ITセキュリティ以外にも、業界や国・地域ごとの規制、あるいは経済情勢による財務リスク、環境リスクなど無数に存在する。

 少なくともITセキュリティは、今やどんな企業や組織においてもITが不可欠になったように、どんな企業や組織に共通した課題である。セキュリティインテリジェンスは、ITセキュリティ対策をさらに高めるという役割を担いつつ、将来はGRCのための仕組みとして発展していくだろう。セキュリティインテリジェンスの活用が、GRCの第一歩になるといえるかもしれない。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -