Bizコンパス

事業継続のためのセキュリティ対策を考える
2017.06.02

エバンジェリストに聞く!セキュリティ最新トレンド

事業継続のためのセキュリティ対策を考える

著者 Bizコンパス編集部

多層防御とSIEMで脅威を着実に検知

 そこで重要となるのがネットワークの出入口における多層防御です。具体的なソリューションとしてはIDS/IPSや未知のマルウェアを検知するサンドボックスなどが挙げられます。竹内氏は、IDS/IPSで検知できた脅威は全体の25%、サンドボックスでは14%を検知しており、多層防御の必要性を説きますが、併せてプロキシを分析対象に加えることの重要性も強調しています。

 「プロキシのログを正確かつ精密に分析することで、43%の脅威を見つけられています。さらにプロキシとIDS/IPS、あるいはサンドボックスのログを相関分析することにより、さらに18%の脅威を見つけることができました。この結果からも相関分析が必要だということが分かりますが、ポイントとなるのがSIEMです。これはユーザーの環境内にあるセキュリティ製品やプロキシサーバーのログを集約してビッグデータ化し、横串で分析し異常な通信を見つけ出すという仕組みになります」

プロキシを組み合わせた多層防御が有効

 つまりセキュリティ製品を使って防御することに加え、SIEMを使ってログを集約・分析することにより、それぞれのセキュリティ製品では見つけられなかった脅威が検知できるというわけです。加えて竹内氏が提示したのは、セキュリティ機器単体が自動で判定した脅威度と、SIEMとセキュリティの専門家が判定した脅威度の一致した割合は36%に留まり、セキュリティ機器の過剰判定が48%、過小判定が16%もあるという事実でした。

 「管理者が通知されたイベントをチェックし、調査してみたところ何事もなく、セキュリティ機器の過剰判定による誤検知だった。このようなことが繰り返されると、管理者はまた誤検知だろうと判断し、そのイベントを無視するようになってしまいます。すると、せっかく性能のよいセキュリティ装置を導入しても、IT管理者は脅威に気付けなくなってしまうでしょう。セキュリティ脅威を検知するセキュリティ製品は必要不可欠ですが、そこから出力されたアラートやログを適切に取り扱い、分析できる体制を持つことも同時に不可欠なことなのです」

セキュリティ製品は万能ではない

 セキュリティ製品は導入したが、あまりに多くのアラートが出力されるため、ほとんどチェックされずに放置されるといったケースは珍しくありません。とはいえ、そうしたアラートの中に本当の脅威が含まれています。それを見逃さないために、SIEMを活用した効率的な分析を行い、さらにセキュリティのプロフェッショナルの目を通すことで、本当の脅威をあぶり出すことが可能になるのです。

SHARE

関連記事

今すぐ見直したい!IoTセキュリティのあるべき姿

2017.05.19

狙われるインフラ、工場、プラント…

今すぐ見直したい!IoTセキュリティのあるべき姿

毎日のサイバー攻撃は当たり前!?セキュリティの現場

2017.05.12

担当者が語る◯◯の現場第1回

毎日のサイバー攻撃は当たり前!?セキュリティの現場

セキュリティ対策「まず何をすべきか」の最適解!

2016.11.09

サイバー攻撃から企業を守るために今何をすべきか前編

セキュリティ対策「まず何をすべきか」の最適解!

他人事ではない!「日本年金機構・情報流出事件」考察

2015.06.19

標的型攻撃を念頭に自社のセキュリティ対策を再点検

他人事ではない!「日本年金機構・情報流出事件」考察

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは