製品などが数多く導入されながら、それぞれが独立したポイントソリューションになっているセキュリティ対策の弱点をカバーするため、現在は「SIEM」が注目を集めています。SIEMとは、「Security Information and Event Management」の略で、日本語では「セキュリティ情報およびイベント管理」という意味です。
SIEMは、セキュリティ対策機器やネットワーク機器などのさまざまなログを収集・分析することで、セキュリティポリシーを監視し、コンプライアンスを支援する「SIM(Security Information Management)」、そして、脅威をリアルタイムに検出する「SEM(Security Event Management)」の2つの機能が組み合わされています。複数のログを関連付けて分析してみることにより、単体のログでは検出できなかった脅威を事象として把握できるようになります。
SIEMは現在のセキュリティ対策にもはや欠かせないものとなりつつあり、組織のSOC(Security Operation Center)では必須になっています。これはSOCを自分たちで運用する企業や、SOCのアウトソース先となるマネージメント・セキュリティ・サービス(MSS)でも同様です。高度な機能を持つSIEMは高価ですが、その有効性の高さから大企業を中心に導入が進んでいます。最近ではSIEM機能がクラウドサービスとして提供されるケースも出てきました。
また、攻撃の検出精度をさらに向上させる目的から、「インテリジェンス」の活用も進んでいます。ここでいうインテリジェンスとは、セキュリティ上の脅威や対策に関する知見を蓄積したもので、セキュリティベンダーが日々収集・分析している脆弱性や攻撃手法といったさまざまなナレッジが含まれます。従来はセキュリティベンダーが独自にインテリジェンスを構築して、自社のセキュリティ製品などに利用していましたが、最近ではインテリジェンスそのものをサービスとして提供するケースも増えてきました。
インテリジェンスを活用すれば、例えば、ある企業で検出された新しい攻撃手法を素早く解析し、その特徴をフィードバックしたり共有したりすることで、他の企業はその新たな攻撃を未然に防ぐことが可能になります。また、C&Cサーバなどに悪用される可能性が高い大量のIPアドレスの取得といった兆候を先に把握できれば、そのIPアドレスを怪しいものとして登録しておくことで、従業員がアクセスする時に、注意を呼びかけることもできます。
SIEMやインテリジェンスを積極的に活用するために、セキュリティ業界ではログや脅威に関する情報の形式を統一しようという動きもあります。形式が統一されれば、ベンダーの枠を超えてSIEMやインテリジェンスをさらに活用することが可能になります。このように、セキュリティベンダー各社の総力を結集してサイバー犯罪者に立ち向かう時代がすぐ近くにやってきているのです。
特集「脅威に負けない我が社のセキュリティ強化大作戦」の特集記事をまとめた電子冊子(PDF)を、特集終了後にプレゼントいたします。
Copyright © ITmedia, Inc. All Rights Reserved.