セキュリティトラブル事例徹底解剖!(第4回)

社内PCが外部へ攻撃?アナリスト分析の有効性とは?

2014.11.26 Wed連載バックナンバー

 ここ数年の企業におけるセキュリティ対策において、大きなポイントとなっているのは「既存のセキュリティ製品では検知できない攻撃をどのように防ぐか」ではないでしょうか。そこで注目を集めているのが、ログの相関分析を行う「SIEM(Security Information and Event Management)」と、専門家の知見を組み合わせて提供される「マネージドセキュリティサービス」です。

 

既存のセキュリティ製品をすり抜ける未知の脅威

 ウイルス対策製品やファイアウォールIDS(Intrusion Detection System)IPS(Intrusion Prevention System)など、市場では数多くのセキュリティ対策製品が提供されています。これらのソリューションは攻撃を検知して通知したり、通信を遮断したりするなどの動作を行いますが、注意したいのはすべての攻撃を検知できるわけではないという点です。

 その代表例と言えるのが、前回解説したウイルス対策製品に対する“未知のマルウェア”の存在でしょう。すでに発見されていて、その情報がパターンファイルやウイルス定義ファイルに登録されていれば、それをマルウェアとして検知することができます。しかしパターンファイルに登録されていなければ、それが実際にはマルウェアであってもウイルス対策製品はマルウェアと認識できず、正常なファイルとして処理してしまうのです。

 同様に、危険な通信や攻撃を正常であると看過する可能性はいずれのセキュリティ製品にもあります。たとえばIPSは、事前に設定された特定の通信パターン(シグネチャ)と現在行われている通信の内容が一致すればそれを攻撃と判断するセキュリティ装置であるため、逆にシグネチャとして登録されていない通信はそれが攻撃であっても検知されず、遮断することもできません。

 従って、セキュリティ製品の判断にのみ頼ったセキュリティ対策では、攻撃を見過ごす可能性があります。そこで、セキュリティ製品では検知できない未知の攻撃を検出し、迅速な対応を実現するためのソリューションとして注目を集めているのが「SIEM(Security Information and Event Management)」と呼ばれる仕組みと、リスクアナリストの知見を組み合わせたマネージドセキュリティサービスです。

 

リスクアナリストによる分析が鍵となるSIEMによるセキュリティ対策

 SIEMはセキュリティ機器やネットワーク機器、各種サーバーのログを一元的に管理する仕組みであり、ファイアウォールやIDS/IPSのみならず、Webプロキシサーバーや各種サーバーが出力するログやアラートも一元的に収集し、それぞれのログの内容を相関分析することを可能にします。ファイアウォールを通過した通信がサーバーに対してどのような攻撃を行ったのか、さらにプロキシ経由でインターネット側のサーバーとどのような通信を行ったのかなど、多数の機器のログを分析することにより、攻撃者の通信を多角的に捕捉します。

 しかしながらSIEMはログを分析することが目的であり、単体では攻撃を防ぐことはできません。そこで重要となるのがリスクアナリストの知見と、それによる感染源の隔離・対処です。… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter