ログのインテリジェンス活用からセキュリティ強化を実現する「次世代SIEM」に注目せよ！

巧妙なサイバー攻撃は発見が難しいとされるが、システムの各種ログをセキュリティ基盤強化のためのインテリジェンスとして「SIEM」で活用すれば、被害調査や問題検知を大幅にスピードアップさせることができる。マカフィーが提供する「McAfee SIEM（Security Information and Event Management）」は、その実現をサポートする新たなソリューションだ。

[PR／ITmedia]

PR

インシデント対応は時間との戦い

　近年のサイバー攻撃は、金銭につながる機密情報の入手が目的となり、組織的な攻撃者集団によって行われている。攻撃の手口も高度化・巧妙化され、発見するのは容易では無い。しかも、攻撃に気付いた時には深刻な被害になっているケースが増えている。

　米Verizonが毎年実施している企業や組織でのデータ侵害に関する調査の最新版によれば、多くのケースで攻撃発生から数時間以内に何らかのインシデントが起きている実態が判明した。そのうち、77％のケースでは攻撃を発見してから対応が完了するまでに数日から数週間、あるいは数カ月を要していた。

　当然ながら、この対応に要する時間が短くなればなるほど、攻撃による被害を軽減できる可能性が高まっていく。そのためには、攻撃をいち早く発見できるかが鍵を握ることから、企業や組織の間で「SIEM（Security Information and Event Management）」というソリューションが注目を集めている。

　SIEMとは、システムを取り巻くさまざまなログやイベントなどをセキュリティ強化に活用しやすい形で統合し、継続的なモニタリングと素早い対応を実現するための基盤である。情報をセキュリティの観点から相関分析を行ったり、重要なイベントには素早く対応できるよう数多くのイベントやログから重大なものや優先度の高いものの可視化を強力に推進することで、サイバー攻撃などの脅威への対応力を向上させるもの。企業や組織では内部統制やコンプライアンス、所属する業界の規制などへの対応から、システムの稼働状況やデータなどに対するアクセスログといったさまざまなログを蓄積し、管理している。SIEMではこのログの分析から得られた情報をセキュリティ対策に役立てていける。

McAfee プロダクトマーケティング マネージャー
カール・クレイシグ氏

　ログやイベントの種類や出力されるデータ量はシステムの規模に応じて大きくなり、1日あたりのログが数億ペタバイト級という組織もある。特に、最近ではモバイルの業務利用に代表されるように、企業や組織の情報システムに接続されるデバイスの数や種類はさまざまだ。その中からセキュリティの脅威につながる情報を見つけ出すには、高度な知識や経験、勘が要求される。さらには、見つけ出した情報から被害抑止につなげるための取り組みを担う体制も必要だ。

　McAfeeでSIEM製品を担当するプロダクトマーケティングマネージャーのカール・クレイシグ氏は、「SIEMの実現において大規模データへの対応を課題に挙げる企業は多い。そこからデータを正規化し、相関分析を経て脅威を可視化する『インテリジェンス』につなげていくが、他社のSIEM製品は分析やレポーティングに長い時間がかかり、十分な価値を提供できていなかった」と話す。

　こうしたログ情報をセキュリティ対策に役立てるSIEMの実現や活用において問題になる大規模データへの対応やパフォーマンスへの要求に対して、McAfeeでは「McAfee SIEM」という新たなソリューションを提供している。

1000社以上の採用実績を誇るMcAfee SIEM

　McAfee SIEMは、同社が2011年に買収したSIEMベンダーのNitroSecurityのテクノロジーをベースにしている。クレイシグ氏によれば導入企業は1000社以上あり、実はMcAfeeも買収以前からNitroSecurityのユーザー企業であった。McAfeeはSIEMに取り組む中で、上述のさまざまな問題に直面しており、その解決のためにNitroSecurityのテクノロジーを採用した。その理由は、データソースが大規模であっても必要な情報に素早くアクセスできる運用性や短時間でレポート作成まで行える優れたパフォーマンスにあった。

　「McAfeeでは他社SIEM製品を利用していたが、コンプライアンスレポートの作成に何時間も要したり、作成に失敗したりすることもあった。競合製品も検討したが、4年ほど前にNitroSecurityと検証を行ったところ、たった数分でレポート作成を終えることができ、その効果を確認した」と話す。

　McAfee SIEMは、NitroSecurity時代からの定評あるパフォーマンスに加え、McAfeeのセキュリティ対策ソリューションと統合されたことにより、SIEMに求められる迅速な脅威の可視化からインシデントレスポンスまでを可能にするプラットフォームへ進化している。

　データソースとしてはネットワーク経由で収集可能な数百種類以上のログやイベント情報に対応しているほか、McAfeeが持つ世界最大規模の脅威データベースである「GTI（Global Threat Intelligence）」やMcAfee IPS、McAfee Vulnerability Managerなどの対策製品から提供される情報も活用する。

ログやイベントなどを関連付けることにより、情報がより有効なものになる

　収集した各種情報はリアルタイムに相関関係の分析が行われ、リスクレベルの高いインシデントに関する情報は管理者へ直ちにアラートが提供される。管理者はMcAfee SIEMのダッシュボードやMcAfeeの統合管理ツールである「McAfee ePolicy Orchestrator」からすぐに状況を把握し、詳細な情報を簡単な操作で把握できる。さらに、その場からIPSのブラックリストに分析情報を反映して以降の攻撃をブロックするといった必要なアクションを直ちに取れる。

　「企業や組織では既に多くのセキュリティ対策製品を導入しているが、McAfee SIEMを活用すれば、シングルコンソールで各製品からの情報の一元化と脅威の可視化を行い、迅速に対応していけるだろう。これはMcAfeeが提案している『Security Connected』のアプローチに基づくもので、ユーザー企業が日々運用するセキュリティ対策に、効率性の向上と対応スピード、プランニングの容易さといったメリットを提供する」（クレイシグ氏）

　パフォーマンスやスピードに加え、McAfee ESMには運用での負担を軽減するための特徴も多数提供されている。例えば、データソースから収集する情報には、「ログイン」と「ログオン」のように同じ意味でも表現する言葉が異なっているケースがある。McAfee SIEMでは各種情報に含まれるコンテクストを読み解き、SIEMに取り込む際に正規化して、ユーザーに分かりやすい形でダッシュボード上に情報を提示してくれる。

McAfee Enterprise Security Managerの管理者画面

　また、分析などに関する事前定義済みのテンプレートが多数用意されており、導入後すぐに脅威を検知することも可能だろう。クレイシグ氏によれば、導入企業の中には実務経験の浅い担当者が平時の運用やアラートへの一時対応を担うことで経験を積み重ね、緊急性が高い場合やより詳細な調査などが必要なケースではベテランのセキュリティアナリストが対応にあたるなど、McAfee SIEMを社内のインシデント対応力の向上に役立てているところも多い。

　McAfeeではMcAfee SIEMを中核としたSIEMソリューションを展開している。さらに、より深いレベルで相関分析を行うための「McAfee Advanced Correlation Engine」、アプリケーションの利用状況の分析・把握やトラフィックに潜む脅威を検出するための「McAfee Application Data Monitor」などをラインアップする。企業では必要に応じてこれら製品を組み合わせて利用したり、セキュリティ対策の進捗に合わせて追加したりできる。

セキュリティのレベルアップ、決め手はログ分析

　これまでも内部統制やコンプライアンスの必要性から、ログの保存や管理に取り組んできた企業や組織は多い。しかし、これまでは年に数回の定期レポートを作成したり、万一の事態が起きた時に初めて分析や調査のために利用したりするというケースがほとんどだった。

　いざ作業に取り掛かろうとすると、乏しいノウハウや経験が壁となってスムーズに作業ができず、対応が遅れたり、外部の専門機関に丸ごと委託して高いコストが生じたりということがあった。さらに上述したようなサイバー攻撃などによるセキュリティの脅威が深刻な事業リスクにもなっている。

　こうしたことから、海外ではセキュリティの脅威から大切な情報資産を保護するために、SIEMなどを利用して平時からセキュリティ対策を機能させるための「Security Operation Center（SOC）」を自社で運用し、万一の際に対応にあたる「Security Incident Response Team（SIRT）」と呼ばれる組織横断型の体制を整備している企業が増えている。

組織的なセキュリティ対策のためのデータ活用

　マカフィーのようにセキュリティに強い関心を持って取り組む企業や、ITインフラにビジネスが大きく依存する業種でもSIEMを活用した取り組みが進んでいるが、ほかにも「100以上の病院と13カ所のデータセンターを保有する米国の医療グループがMcAfeeのSIEMを導入したところ、McAfeeの事例と同じ効果を得ている。医療に関する米国の規制へのスムーズな対応、プライバシーや機密データを狙うセキュリティ侵害への迅速な対応を実現した」（クレイシグ氏）

　McAfeeによれば、国内でもSOCの構築に取り組み始めた企業が増えつつあり、効果の高い継続的なモニタリングの実現、異変への気づきの強化、経験やノウハウを共有し活用することで複雑化するセキュリティの脅威を可視化することに力を入れている。SIEMの検討や再構築時にはスケーラビリティやスピードに柔軟に対応していくことの重要性が認識されるようになってきている。SIEMはセキュリティ基盤強化の中心的な役割を担い、状況認識の実現により自社の現状把握、脆弱ポイントの対応、対策の強化、そして、有事における迅速なレスポンスまでを可能にするプラットフォームとなる存在である。こうした取り組みを始める企業にとって、McAfeeが提供するSIEMソリューションは将来にわたる大切なパートナーとなるだろう。