そこで重要となるのがネットワークの出入口における多層防御です。具体的なソリューションとしてはIDS／IPSや未知のマルウェアを検知するサンドボックスなどが挙げられます。竹内氏は、IDS／IPSで検知できた脅威は全体の25％、サンドボックスでは14％を検知しており、多層防御の必要性を説きますが、併せてプロキシを分析対象に加えることの重要性も強調しています。

　「プロキシのログを正確かつ精密に分析することで、43％の脅威を見つけられています。さらにプロキシとIDS／IPS、あるいはサンドボックスのログを相関分析することにより、さらに18％の脅威を見つけることができました。この結果からも相関分析が必要だということが分かりますが、ポイントとなるのがSIEMです。これはユーザーの環境内にあるセキュリティ製品やプロキシサーバーのログを集約してビッグデータ化し、横串で分析し異常な通信を見つけ出すという仕組みになります」

プロキシを組み合わせた多層防御が有効

　つまりセキュリティ製品を使って防御することに加え、SIEMを使ってログを集約・分析することにより、それぞれのセキュリティ製品では見つけられなかった脅威が検知できるというわけです。加えて竹内氏が提示したのは、セキュリティ機器単体が自動で判定した脅威度と、SIEMとセキュリティの専門家が判定した脅威度の一致した割合は36％に留まり、セキュリティ機器の過剰判定が48％、過小判定が16％もあるという事実でした。

　「管理者が通知されたイベントをチェックし、調査してみたところ何事もなく、セキュリティ機器の過剰判定による誤検知だった。このようなことが繰り返されると、管理者はまた誤検知だろうと判断し、そのイベントを無視するようになってしまいます。すると、せっかく性能のよいセキュリティ装置を導入しても、IT管理者は脅威に気付けなくなってしまうでしょう。セキュリティ脅威を検知するセキュリティ製品は必要不可欠ですが、そこから出力されたアラートやログを適切に取り扱い、分析できる体制を持つことも同時に不可欠なことなのです」

セキュリティ製品は万能ではない

　セキュリティ製品は導入したが、あまりに多くのアラートが出力されるため、ほとんどチェックされずに放置されるといったケースは珍しくありません。とはいえ、そうしたアラートの中に本当の脅威が含まれています。それを見逃さないために、SIEMを活用した効率的な分析を行い、さらにセキュリティのプロフェッショナルの目を通すことで、本当の脅威をあぶり出すことが可能になるのです。