| エンタープライズ:ニュース | 2002/08/02 23:50:00 更新 |
Black Hat Briefings Report:インシデントハンドリングにはログの統合管理が不可欠
Black Hat Briefingsの2日目のセッションでは、IDSやインフラ、Webなど主要なサービスに関するセキュリティの話題が中心となった。その中から、米セキュリティフォーカスと米ガーディッドネットの講演を紹介しよう。いずれも、よりよいインシデントハンドリングには、世界中から収集したログの統合管理と、それに基づく判断が不可欠だという。
昨日に引き続き、Black Hat Briefingsの会場からレポートをお届けする。8月1日のセッションでは、IDS(不正侵入検知システム)やインフラ、Webなど主要なサービスに関するセキュリティの話題が中心となった。
ここではその中から2つの講演について紹介する。1つは、米セキュリティフォーカス(先日シマンテックによる買収が発表された)のオリバー・フレドリック氏とエリアス・レビー氏(“アレフ・ワン”の名前でご存じの方も多いであろう)が「Building a Global Early Warning Sytems for Internet Attacks」と題して発表した講演。もう1つは、米ガーディッドネットのマシュー・カルドウェル氏による「Event Correlation: Security's Holy Grail?」だ。
Black Hat Briefings会場の様子
情報を総合的に判断するDeepSight
セキュリティフォーカスの講演は、同社が提供する「DeepSight」のシステム説明が大筋となった。
DeepSightでは、世界中に存在するファイアウォールやIDSなどをセンサーとして登録してもらい、そこから世界各地で現在起こっているインシデント(セキュリティ上問題のある攻撃や動作)を収集する。センサーは170カ国以上、サイトの数では1万4000以上存在しており、世界中のネットワークに対する攻撃をカバーする。これはかつて、「ARIS」というサービスで提供されていたものだが、DeepSightではさらに一歩踏み込んで、それぞれの攻撃の脅威度を総合的に判断する。
DeepSightでは、送られてきたインシデントデータをイベントデータベースに格納する。この情報を、セキュリティフォーカスが誇る脆弱性データベースとリンクさせることにより、それがどういった問題であり、どのような危険性があるのかを瞬時に知ることができる。
さらに同社のセキュリティエキスパートがこの情報を総合的に判断し、顧客に情報を提供する。顧客はこの情報を元に早急な対応が可能となり、管理下にあるネットワークへの影響を軽減することが可能になるという。
これまでセキュリティ監視製品には、複数のアラートを関連付けて総合的に判断することが難しいという問題点があった。たとえファイアウォールやIDSを用意したとしても、それぞれ独立したアラートが発せられるため、これらの間にどういった関連があるのかは、監視員がそれぞれGUIを見比べながら判断するしかなかった。
これに対しDeepSightでは、これらの情報を1つの関連するデータとして利用できる。例えば、特定の接続元IPから複数の接続先IPに対し、複数のポートへのアクセスが記録されている場合は、ポートスキャンと判断できる。また多数の接続元から特定ホストの特定ポート(例えばTCP/80=HTTP)に対し、短時間のうちに大量のアクセスが集中している場合、DDoS(分散型サービス拒否攻撃)の可能性が高いと判断できる。
このシステムの利点は、ISPやデータセンター単体ではどうしても量・規模が限られてしまう攻撃情報を、効率よく収集できることだ。
マルチベンダー対応の監視が不可欠
一方、ガーディッドネットのマシュー・カルドネル氏は講演の中で、集められたアラートを統合して(Correlate)判断することが重要だとしながら、現在は以下の状況にとどまっていると述べた。
[現状]
- マルチベンダーで構成されるセキュリティインフラを持っていても、それらのログデータをインシデントの総合的な判断に効果的に利用できない
- 非常に巨大なネットワークシステムの場合、アラートログも含め、統合的に管理できるシステムが存在しない
- 現状のIDSでは誤検知が多すぎて、効率的な管理が出来ない(単体での限界)
- セキュリティ管理にかけられる予算が少ない
よって今後は、マルチベンダー対応の総合セキュリティ監視プロダクトが非常に大きな意味を持ってくる、と同氏は強調した。
カルドネル氏によると、ログを統合して判断することによって、以下のメリットが生まれるという。
- 各セキュリティインフラ専用の機器や管理する人員を減らすことができ、トータルの運用コストを削減できる
- 総合的な判断が可能になり、その結果インシデントへの対応時間が減少する
- 複数のシステムからのアラートを集中管理することにより、まだ攻撃を受けていないシステムに対する被害を最小限に抑えることができる
- 現在のセキュリティインフラの情報がすべて利用可能になり、各種のリソースを最大限に活用できる
- 実際の脅威を統合的に、また視覚的に判断できることから、ネットワーク管理者だけではなく、システムを利用するあらゆるレベルの人間のセキュリティ意識を高める事ができる
事実、少しずつではあるが、カルドネル氏が言うような、複数のファイアウォールやIDSからの情報を統合し、総合的にネットワークへの攻撃を判断するシステムも登場してきている。今後、この動きはますます加速していくだろう。いずれは“ネットワーク攻撃天気予報”とでもいった警告サービスや、統合判断システムを活用した監視サービスが登場することだろう。
関連リンク
Black Hat[烏山雄大(三井物産GTIプロジェクトセンターコンサルタント),ITmedia]
