ログ分析で見つかるサイバー脅威、即時対応できるセキュリティ基盤を構築せよ

標的型攻撃などの脅威から被害を防いだり、抑止したりするために活用したいのが、企業や組織で蓄積されている多種多様なログの情報だ。日本IBMの「QRadar」ソリューションは、リアルタイムなログの相関分析による脅威の可視化や脆弱性管理、疑わしいアクティビティをたどってデータを復元し、証拠証跡として用いることを可能とするフォレンジックといった広範なセキュリティ対策におけるプラットフォームとして注目を集めている。

» 2014年08月20日 10時00分 公開
[PR/ITmedia]
PR

溜めたログを死蔵していないか

 重要な情報資産やシステムを狙う標的型攻撃などのサイバーの脅威から無縁だという企業や組織はもはや存在しない。あらゆる規模・業種の企業や組織が脅威に絶えず晒され、機密情報の侵害や流出、大規模なシステム障害といった危機に絶えず直面している。

 そうした現状は様々なセキュリティ調査レポートからも明らかだ。米IBMのセキュリティ研究機関X-Forceの「2013 Trend and Risk Report」によれば、2013年は世界で5億件以上のデータが侵害を受けたとされ、漏えいとセキュリティインシデント(セキュリティに関する事件や事故)の報告件数は、2012年に比べて40%も増加した。

 また、警察庁が2014年2月に発表した「情報技術解析平成25年報」によると、1つのIPアドレスに対する1日当たりの不審なアクセスは約310件あり、平均約4分40秒に1回の割合で不審なアクセスが行われているという(全国59地点の警察施設における観測)。

 攻撃の手口としては、攻撃者が標的とする人物の関係者になりすましたメールでのやり取りを通じて不正に侵入を試みる「標的型メール攻撃」、巧妙に改ざんされたWebサイトを通じて閲覧者のコンピュータに不正プログラムを送り込む「ドライブ・バイ・ダウンロード攻撃」、システムに不正なデータを送りつけてダウンさせる「DoS(Denial of Service)攻撃」などが目立つ。

 企業や組織ではこれまでファイアウォールやIDS/IPS(不正侵入検知/防御システム)、アンチウイルスといった様々なセキュリティ製品が導入され、多層的なセキュリティ対策システムが構築されてきた。こうしたセキュリティ製品はサイバーの脅威から企業や組織を守ることに成果を上げているものの、残念ながら万能ではない。

 上述した近年の脅威は、様々に講じられているセキュリティ対策の隙間を巧妙に突いて侵入を図り、攻撃などを実行される。そこでこうした最新の脅威に対抗するには、多層的に講じられたセキュリティ対策システムの隙間を可能な限り埋めるアプローチが必要だ。そこで注目されるのが、「SIEM(セキュリティ情報イベント管理)」である。

SIEM導入による脅威の可視化

 SIEMでは各種セキュリティ機器だけでなく、ネットワークやシステムなどの様々なログやイベントの情報を収集し、その相関関係を分析することによってセキュリティに関する問題をリアルタイムに可視化する。つまり、ログやイベントに関する情報が既存のセキュリティ対策の隙間を埋める役割を果たす。

 企業や組織では多種多様な膨大なログやイベント情報が日々蓄積されているものの、そのほとんどはコンプライアンスや内部統制での必要性から蓄積されているだけだ。ネットワークやシステムなどに問題が起きた際の分析で使われることはあっても、実際には“死蔵”状態にある。ログやイベント情報をセキュリティ対策に活用できれば、情報セキュリティリスクの低減に大きく貢献するだろう。日本IBMは、そのためのソリューション製品として「IBM QRadar Security Intelligence Platform」(以下、QRadar)を提供している。

セキュリティ対策全体のプラットフォーム

 QRadarは、IBMが2011年に買収したQ1 Labsのソリューションをベースにしている。Q1 Labsは2001年に設立され、QRadarはマルチベンダーに対応したセキュリティ対策の基盤を担うソフトウェアとして世界中の企業や組織に多数導入された。IBM買収によって製品の開発・提供体制はさらに強化されている。

QRadar 日本IBM ソフトウェア事業 セキュリティシステムズ事業部 第二営業部 アドバイザリー セールス スペシャリストの菅原啓之氏

 「グローバルでの導入実績は既に3300社以上に達しており、国内でもこの1年で引き合いが急増しています。Gartnerのマジッククアドラントにおいても、SIEM 市場におけるリーダーポジションとして評価されています」(セキュリティシステムズ事業部 第二営業部 アドバイザリー セールス スペシャリストの菅原啓之氏)

 QRadarはSIEM機能を中核として、そのファーストステップにあたるログの統合管理や、IBMなどから提供される情報を活用したシステムやアプリケーションなどの脆弱性対策、さらにはネットワークのパケット情報を利用した詳細な解析調査(デジタルフォレンジック)に至るまでの広範なセキュリティ機能を提供する。製品の提供形態としては、物理アプライアンスや仮想アプライアンス、ソフトウェア版が用意されている。

 企業や組織の必要とする機能や運用形態に応じた柔軟性や拡張性と同時に、日々のセキュリティ対策の運用に不可欠な詳細かつ分かりやすい情報をリアルタイムに提供する点が高く評価されてきた。

QRadar QRadarの全体像

 「近年は幾つかのSIEMソリューションが提供されているものの、その多くは脅威の可視化に特化しています。しかし、国内の企業や組織におけるニーズは、『ログをリアルタイムに分析したい』『日々のセキュリティ管理を最適化したい』というように多様です。QRadarはこうした異なるユーザーの課題へ柔軟に対応し、スモールスタートから始めることもできます」(菅原氏)

 菅原氏によれば、QRadarは企業や組織がこれまで講じてきた多層的なセキュリティ対策システムの効力をさらに高めるためのプラットフォームとしての役割を担うという。

 Webの管理コンソールにはログ管理や相関分析、ネットワークのアクティビティ、リスク管理、脆弱性管理、ネットワークフォレンジックの情報が集約され、ユーザーが各項目の情報を確認する時はタブを切り替えるだけ良い。セキュリティイベントなどの状況は、管理コンソールからドリルダウン操作で詳しい内容を確認していける。

QRadarQRadar QRadarのWeb管理コンソール。検知されたインシデントを一目で把握できる(画面右)

 ここでユニークなのは、発生したセキュリティイベントが組織に与える影響の度合いを、地震の強さを示す「マグニチュード」という言葉で表現している点だ。ユーザーはまずこのマグニチュードの値を確認して、発生したセキュリティイベントが対応に急を要するものであるか否かを直感的に判断できる。攻撃元の情報、攻撃によって影響を受けるアセット情報、脆弱性を持つアセット情報なども表示されるため、攻撃の予防・改善に役立てることもできる。

 例えば比較的危険度の高いマグニチュードの攻撃が発生した場合、管理コンソールで詳細状況を確認しつつ、すぐにファイアウォールやアンチウイルスなどのシグネチャをアップデートして追加の攻撃を検知できるようにしたり、仮想パッチ機能を有効にして脆弱性を突く通信を遮断したりすれば、攻撃の影響を食い止められる可能性が大いに高まるだろう。

脅威の可視化に向けたステップアップ

 非常に巧妙な近年の脅威に対処する上でSIEMは不可欠なアプローチだ。QRadarはログの統合管理から高度なネットワークフォレンジックまで、企業や組織がステップアップでセキュリティ対策全体の基盤を強化していける点に強みがある。ただ、その途上では「どんなログソースを取り込めばいいか」「分析の仕方が分からない」「高度なスキルを持つ人材がいない」といった課題を感じるかもしれない。しかし、QRadarではそうした心配はほとんど無用であるようだ。

 例えば、ログソースの取り込みではグローバルに広く利用されているマルチベンダー製品の情報が登録された「デバイスサポートモジュール(DSM)」が予め用意されている。ユーザーがDSMで自組織の利用する製品を指定するとQRadarに設定が反映され、ログソースを自動的に正規化して保存してくれる。DSMに登録の無い製品やログフォーマットに関しても、オプションの「Universal DSM」でXMLを定義するだけで良い。

 また、脅威を可視化するための相関分析ルールはデフォルトだけで350種類以上も用意されており、検索パターンやレポートのテンプレートは1000種類以上ある。一般的なSIEMでは相関ルールの検討や設計、作成、検証といった作業を専門家に委ねる場合が多いが、QRadarではテンプレートを利用すればこの作業に要する時間やコストを大幅に削減できるという。

QRadar 知見を生かしたルールと検索パターンを装備

 「インシデントを正確に検知するルールを設計するには、高度な経験やノウハウが必要です。QRadarで用意しているデフォルトのテンプレートルールは業界でも最多の規模であり、導入企業の70%がデフォルトのテンプレートルールで運用しています」(菅原氏)

 なお、人的リソースなどの制約から自組織でSIEMの運用が難しいというケースもある。日本IBMではユーザー企業内に設置したQRadarを同社のセキュリティオペレーションセンターからリモートで運用し、脅威のリアルライムな監視や重大なインシデント発生時の初期対応を支援する「IBM Managed SIEM」サービスも提供している。


 IBMのQRadarは世界中で利用され、サイバーの脅威から組織を守るセキュリティのプラットフォームとして日々活躍している。

 海外では欧州の大規模な金融機関がQRadarを活用してインシデント調査に要する時間を99%も削減したという。また、国際的なエネルギー企業では毎日数十億件のイベントを分析し、天然資源などに関する機密性の高い情報を狙う脅威をリアルタイムに発見できるようにしているとのことだ。菅原氏によれば、国内企業の間でも金融や製造、メディアなどの業界を中心にSIEMへの関心は急速に高まりつつある。

 これからのSIEM活用を検討する企業や組織向けに、日本IBMではユースケース集も用意している。ログ分析を通じたシステムやネットワークの最適化する方法や、コンプライアンスの順守状況の監視、組織内に潜むボットネットの検知、情報漏えい対策といった各種課題において、SIEMはその解決を力強くサポートしてくれるだろう。

おすすめホワイトペーパー

調査結果が示すSIEMのQRadarへの乗り換え効果

米調査会社が、セキュリティ情報とイベント管理を行うSIEMソリューションをIBM QRadarに乗り換えた企業にその結果をインタビューした。乗り換えた理由は何だったのか。また、導入で大きく変わった点は何か。他製品との比較からひも解いていく。


おすすめホワイトペーパー

IBM Security QRadar SIEM

何年分ものコンテキストの洞察を活用し、使用可能なネットワークデータの収集、正規化、および相関を行うことで、セキュリティインテリジェンスを提供するIBM Security QRadar SIEMを紹介する。


おすすめホワイトペーパー

IBM QRadar Security Intelligence Platform

SIEM、ログ管理、異常検知、および構成と脆弱性管理を一元化し、知見の活用、統合化、自動化によってセキュリティに関するす360度の洞察を提供するIBM QRadar Security Intelligence Platformを紹介する。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本アイ・ビー・エム株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2014年9月19日

関連ホワイトペーパー

米調査会社が、セキュリティ情報とイベント管理を行うSIEMソリューションをIBM QRadarに乗り換えた企業にその結果をインタビューした。乗り換えた理由は何だったのか。また、導入で大きく変わった点は何か。他製品との比較からひも解いていく。

何年分ものコンテキストの洞察を活用し、使用可能なネットワークデータの収集、正規化、および相関を行うことで、セキュリティインテリジェンスを提供するIBM Security QRadar SIEMを紹介する。

SIEM、ログ管理、異常検知、および構成と脆弱性管理を一元化し、知見の活用、統合化、自動化によってセキュリティに関するす360度の洞察を提供するIBM QRadar Security Intelligence Platformを紹介する。