セキュリティ対策の高度化にSIEMが不可欠な理由、選択のポイントはどこに？

巧妙化するサイバー攻撃に対して企業は、さまざまな防御策を導入するだけでなく、対策をさらに高いレベルで機能させるため、「SIEM」に注目し始めた。専門家の観点をもとに、SIEMの選定におけるポイントをひも解いてみたい。

[PR／ITmedia]

PR

　セキュリティの脅威が企業や組織のビジネスリスクに直結する現在、巧妙化するサイバー攻撃などへの対策が喫緊の課題といえる。本稿では企業や組織がこれまでに講じてきた対策の有効性を高めていくポイントについて、内閣官房サイバーセキュリティー補佐官を務める東京電機大学の佐々木良一教授と、セキュリティソリューションを数多くの企業に提供しているSCSKの長澤俊哉氏に挙げていただいた。両氏の観点をもとに、対策の高度化において注目を集めるSIEMソリューションの選び方を紹介していこう。

SIEMとは？

SIEMとは、「Security Information and Event Management（セキュリティ情報・イベント管理）」の略称。ITシステムやネットワークなどから収集するさまざまなログ、イベント情報などの相関関係をリアルタイムに分析することにより、従来のセキュリティ対策では見つけることが難しい巧妙な攻撃を検知するソリューションとして注目を集めている。

多段防御を講じた次のステップとは？

東京電機大学 未来科学部 情報メディア学科教授 サイバー・セキュリティ研究所所長 （内閣官房サイバーセキュリティー補佐官） 工学博士の佐々木良一氏

佐々木氏　かつてのサイバー攻撃は愉快犯が中心でした。それが2010年頃にターニングポイントを迎え、攻撃者の属性や目的、標的が多様化したのです。従来の攻撃を“風邪”だったとすれば、現在の攻撃は“新型インフルエンザ”に例えられるほど、攻撃が厳しくなったといえます。

　例えば、標的型攻撃には「初期侵入」「侵入の拡大」「目的の遂行」のステップがあります。各ステップにおける対策としては「初期侵入」では不正メールを見抜く教育や訓練、「侵入の拡大」ではサンドボックスによる早期検知、「目的の遂行」では外部に送信される情報の監視が必要です。こうした防御手段を講じた上で、さらに取り組むべき重要なことが、「ログの収集」でしょう。

長澤氏　おっしゃる通りです。お客様との会話でも、各種のログを管理する必要性が認識されてきたと実感しています。ログの統合管理を象徴するキーワードとしてSIEMという言葉が日常的に使われるようになりました。SIEMを検討する企業は着実に増えていますね。

佐々木氏　SIEMを使うと、さまざまなログやイベントの情報を統合管理し、それらのログを相関分析することでインシデントを早期発見したり、場合によっては攻撃を未然に防ぐことができるようになりますよね。

長澤氏　そうです。ポイントは統合管理と相関分析です。各種疑わしいログを人間の手で突き合わせるのは膨大な時間と労力を費やしますから、SIEMによる相関分析は統合管理同様、有用な機能です。

佐々木氏　また、SIEMでの検知結果をトリガーに調査を進めることによって、怪しい箇所を特定し、脅威に対してどのように対策をとるのかを判断できるという点でも重要なツールといえるでしょう。

---

巧妙な攻撃の検知に不可欠なSIEM

　セキュリティ対策の高度化に向けて必要なものとして、インタビューではログの統合管理と各種ログの相関分析を通じて巧妙な攻撃を検知するSIEMが挙げられた。近年はさまざまなSIEM製品が提供されているが、製品を選ぶポイントはどこか。例えば、SCSKが提供している「IBM QRadar」は、大きく3つの特徴を備えている。

　最初の特徴は、膨大なログやネットワークのフロー情報の解析と予測を通じて、潜在的な脅威を可視化する能力である。IBM QRadarではファイアウォールやIDS/IPSといったセキュリティ機器はもとより、サーバやデータベースなどのシステム、ネットワークなどから提供される膨大なログやイベント情報を一元化する。そして、それらの相関関係の解析にIBMがグローバルで有する豊富な情報を取り入れながら、脅威の疑いがあるイベントやインシデントを高い精度で検知する。

　次の特徴は、脅威をリアルタイムに検知しながら、管理者がインシデントへの迅速な対応において必要とする情報を詳しく、かつ、分かりやすく提供する点だ。IBM QRadarのダッシュボードでは検知されたさまざまなインシデントが重要度別に表示され、管理者が対応を優先すべきインシデントを把握できる。これにより管理者は攻撃の種類や発生源、資産への影響といったインシデントに関する詳しい情報をその場で確認し、影響範囲の特定や被害を拡大させないための措置を速やかに講じられる。

　3つめの特徴は、IBMの知見を生かしたルールや検索パターンなどのノウハウが製品に実装されている点だ。IBMには「X-FORCE」と呼ばれる世界最大規模のセキュリティ研究機関があり、7000人以上の専門家が24時間体制で世界中から収集される脅威情報を解析している。IBM QRadarは脅威を検知するための約350種類のテンプレートルールや1000種類以上の検索パターンを備えているが、それらにX-FORCEによる成果がリアルタイムに反映される。セキュリティに関する高度な知見を持たない管理者であっても、ルールや検索を活用しながら最新の脅威に対応できるだろう。

SIEMの導入・運用の成否を握るパートナー

　多くの企業や組織では脅威に対する多段的な防御策が講じられつつある。それらを実際に運用していくと、各種の機器から毎日大量のアラートが発生し、現場の担当者がその確認作業に追われてしまう。ログの重要性を認識していても、収集対象がサーバなど一部のシステムだけであったり、保存はしているものの分析や監視に着手できていなかったりという状況だ。運用面には多くの課題がある。

　また、セキュリティの脅威がビジネスリスクに直結する現在、セキュリティ対策に経営層が積極的に関与することも重要だ。現場担当者が経営層の期待に応える上で、SIEMは大きな役割を果たすと期待されるが、SIEM初心者の現場担当者が主導して導入・運用の検討を行うのは容易ではない。そこで、パートナーの存在が不可欠になる。

　パートナー選びのポイントはどこか。まず運用について考えてみたい。

　例えば、多くの企業や組織ではIDS/IPSの運用をセキュリティオペレーションセンター（SOC）の事業者に委託している。ユーザー企業は検知された膨大なイベントの中から、経験豊かなSOC事業者の分析によって重要だと判断されたイベントやインシデントへの通知を受けとり、対応に集中できるようになっている。

SCSK ITマネジメント事業部門 netXデータセンター事業本部 セキュリティサービス部 SIEMインテグレーション課プロダクトスペシャリストの長澤俊哉氏

　SIEMのパートナーにも豊富な経験が求められるだろう。国内でSIEMが本格的に提供されるようになったのは数年前だが、SCSKは2002年からSIEMを手掛けており、製品の日本語化や入口対策、内部監視、出口対策と適用領域を広げながら実績を積み重ねてきた。長澤氏によれば、SCSKの社内でもSIEMが運用され、実際に検知したインシデントの危険度や、重大なリスクになりかねないインシデントの内容を評価して、経営層に報告している。こうして得たノウハウを顧客に提供できるのもSCSKの強みだとしている。

　また、SCSKは顧客固有の環境も考慮し、製品に備わる標準的な検知ルールやテンプレートに加えて、個別要件に応じてカスタマイズした検知条件の実装もしている。SIEM導入実績は35社以上に上り、「すぐにSIEMを導入したい」という場合でも、ある程度汎用化された検知ルールの使用とナレッジを生かした調整により、顧客環境にとって最適な導入方法をしている。

顧客の課題解決をサポートできる頼もしい存在を選べ

　巧妙化する攻撃へ対応可能なセキュリティ対策を実現していく上では、SIEM製品選びに加え、適切なパートナーと組むことがポイントだ。

　当然ながら企業や組織によって取るべき対策は一様ではない。場合によってはSIEM導入の前に幾多の課題を解決しなければならないこともあり、セキュリティ対策の強化をトータルで支えてくれるパートナーを選びたい。そうなると、パートナーには技術力は当然として、豊富な実績と的確なアドバイスを提供できる知見が必要になる。

　SCSKは、さまざまな規模・業種のITシステムを多数運用しているといい、企業や組織の環境に合ったソリューションの提供で長い歴史と実績を持つとしている。このような同社の実績にも着目しつつ、自社にとって適切なパートナーを選ぶべきであろう。

専門家が注目する「SIEM」の導入ではパートナー選びが大きなポイントだ