第12回 イベントログ集中管理ツール「SIM」の常識知ってるつもり?「セキュリティの常識」を再確認(1/2 ページ)

多くのセキュリティ機器を導入した結果、イベントログの山に埋もれていないだろうか? これらログを相関的に解析できたら、重要なインシデントの兆候を見逃すことは減る。SIMはそれを支援してくれるツールだ。

» 2005年05月17日 10時30分 公開
[伊藤良孝(三井物産セキュアディレクション),ITmedia]

SIMとは何か?

 SIM(SEM)という言葉を聴いたことがあるだろうか? SIMとはSecurity Information Manager (SEM:Security Event Manager)の略で、一言でいうならば、セキュリティデバイスが発生するイベントログの集中管理を行うシステムである。2001年頃からこれに分類されるセキュリティ製品が市場へ現われた。

 「今までのイベントログ管理システムとどこが違うの? 」という疑問を持たれた人もいるかもしれない。確かに、今までセキュリティデバイスなどを運用されてきた人は、セキュリティデバイス製品に付属している管理用コンポーネントを使って、それぞれ工夫しながらイベントログ管理や解析を行ってきたと思う。しかし、そのイベントログをリアルタイムで解析し、具体的なインシデント処理に利用しているか? という問いに対して、「YES」と答えられる人は非常に少ないのではないだろうか。

 さらに、あなたが管理しなければならないセキュリティデバイスが複数になった場合を想像してみよう。あなたの机の上にはファイアウォールやIDS/IPSの管理コンソールが設置され、場合によってはサーバのアクセスログを表示するコンソールや、クライアントPCの動作ログを表示するコンソールまで設置される。そして各コンソールには膨大な数のイベントログが絶え間なく表示される。

 セキュリティインシデントの解析に参照することのできる情報量は増大したが、逆に情報のスクリーニングや、各コンソールに表示されるイベントログの因果関係を調査する作業に多大な時間を費やしてしまうなど、とてもインシデントレスポンスを行える状況ではなくなってしまう。SIMはまさにこのような状況において、セキュリティデバイスから生成されるアラートをデバイス横断的に効率良く管理・分析し、的確なインシデント処理を行うツールとして、注目を浴びてきている。

SIMの構成と基本動作

 SIMは通常、(1)イベント収集エージェント、(2)イベントデータベース、(3)解析・処理エンジン、(4)管理コンソール――の4つのコンポーネントから構成される(図1)。

図1 図1■SIMを構成するコンポーネント

 まず、イベント収集エージェントであるが、これはファイアウォールやIDSといったセキュリティデバイスからイベントログを収集する機能を持つ。エージェントの設置方法としては、セキュリティデバイスそのものに搭載して、デバイス内部に保持されているイベントログを直接的に収集する方式(1A)や、外部に独立したコンポーネントとして構築し、SMTP/SNMP trap/Syslogプロトコルを利用してイベントログをリモートで収集する方式(1B) が存在する。商用製品のほとんどはこの2つの方式を選択できるようになっている。また、収集できるイベントログはセキュリティデバイスに限らない。ルーターやスイッチといったネットワークデバイスや、サーバが生成するイベントログも収集できる製品がほとんどである。

 次にエージェントで収集されたデータは暗号化や圧縮された後、転送され、イベントログデータベースに格納される(2)。その後、管理コンソールからの手動による解析要求の発行や(3)、予め定義された解析スキーマが作動することによって(4)、イベントデータベースに蓄えられたイベントログに対して解析が行われ、ログの洪水の中から具体的なレスポンスが必要な重要インシデントを浮かび上がらせるのである。

SIMの重要機能

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ