Bizコンパス

社内PCが外部へ攻撃?アナリスト分析の有効性とは?
2014.11.26

セキュリティトラブル事例徹底解剖!第4回

社内PCが外部へ攻撃?アナリスト分析の有効性とは?

著者 Bizコンパス編集部

 ここ数年の企業におけるセキュリティ対策において、大きなポイントとなっているのは「既存のセキュリティ製品では検知できない攻撃をどのように防ぐか」ではないでしょうか。そこで注目を集めているのが、ログの相関分析を行う「SIEM(Security Information and Event Management)」と、専門家の知見を組み合わせて提供される「マネージドセキュリティサービス」です。

 

既存のセキュリティ製品をすり抜ける未知の脅威

 ウイルス対策製品やファイアウォールIDS(Intrusion Detection System)IPS(Intrusion Prevention System)など、市場では数多くのセキュリティ対策製品が提供されています。これらのソリューションは攻撃を検知して通知したり、通信を遮断したりするなどの動作を行いますが、注意したいのはすべての攻撃を検知できるわけではないという点です。

 その代表例と言えるのが、前回解説したウイルス対策製品に対する“未知のマルウェア”の存在でしょう。すでに発見されていて、その情報がパターンファイルやウイルス定義ファイルに登録されていれば、それをマルウェアとして検知することができます。しかしパターンファイルに登録されていなければ、それが実際にはマルウェアであってもウイルス対策製品はマルウェアと認識できず、正常なファイルとして処理してしまうのです。

 同様に、危険な通信や攻撃を正常であると看過する可能性はいずれのセキュリティ製品にもあります。たとえばIPSは、事前に設定された特定の通信パターン(シグネチャ)と現在行われている通信の内容が一致すればそれを攻撃と判断するセキュリティ装置であるため、逆にシグネチャとして登録されていない通信はそれが攻撃であっても検知されず、遮断することもできません。

 従って、セキュリティ製品の判断にのみ頼ったセキュリティ対策では、攻撃を見過ごす可能性があります。そこで、セキュリティ製品では検知できない未知の攻撃を検出し、迅速な対応を実現するためのソリューションとして注目を集めているのが「SIEM(Security Information and Event Management)」と呼ばれる仕組みと、リスクアナリストの知見を組み合わせたマネージドセキュリティサービスです。

 

リスクアナリストによる分析が鍵となるSIEMによるセキュリティ対策

 SIEMはセキュリティ機器やネットワーク機器、各種サーバーのログを一元的に管理する仕組みであり、ファイアウォールやIDS/IPSのみならず、Webプロキシサーバーや各種サーバーが出力するログやアラートも一元的に収集し、それぞれのログの内容を相関分析することを可能にします。ファイアウォールを通過した通信がサーバーに対してどのような攻撃を行ったのか、さらにプロキシ経由でインターネット側のサーバーとどのような通信を行ったのかなど、多数の機器のログを分析することにより、攻撃者の通信を多角的に捕捉します。

 しかしながらSIEMはログを分析することが目的であり、単体では攻撃を防ぐことはできません。そこで重要となるのがリスクアナリストの知見と、それによる感染源の隔離・対処です。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

この記事で紹介しているサービスについて

SHARE

関連記事

激化するサイバー攻撃に対し企業が行うべき対策とは

2014.09.05

セキュリティ対策は先を見越した取り組みが重要!

激化するサイバー攻撃に対し企業が行うべき対策とは

米軍の衛星通信システムはセキュリティ脆弱?

2014.06.02

海外IT動向ウォッチング 2014年4~9月第10回

米軍の衛星通信システムはセキュリティ脆弱?

“ログ=宝の山”を実現するセキュリティ対策とは?

2014.05.07

実例から読み解くクラウド活用術第3回

“ログ=宝の山”を実現するセキュリティ対策とは?

高度化するサイバー攻撃の最新実態と有効な対策とは

2014.01.24

企業のセキュリティ対策最前線前編

高度化するサイバー攻撃の最新実態と有効な対策とは

DX時代のITインフラに、「SD-WAN」が欠かせない理由とは

2019.05.29

デジタルトランスフォーメーションの実現へ向けて第14回

DX時代のITインフラに、「SD-WAN」が欠かせない理由とは

みずほ情報総研が目指す、環境変化に即応可能なIT

2019.04.10

ビジネススピードを加速するIT基盤第20回

みずほ情報総研が目指す、環境変化に即応可能なIT

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

2019.04.05

セキュリティ対策に求められる新たな視点 第3回

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

クラウドとネットワーク活用で経営戦略を強化する花王

2019.01.09

基幹システムのクラウド化とグローバルネットワーク

クラウドとネットワーク活用で経営戦略を強化する花王

IT運用の在り方が、ビジネスの成長を左右する

2018.10.03

DXを加速させるITシステムの運用改革第3回

IT運用の在り方が、ビジネスの成長を左右する

クラウドへの移行で検討したい「4つの選択肢」

2018.08.24

モード1のクラウド化を推進せよ前編

クラウドへの移行で検討したい「4つの選択肢」

インフォアジャパンが示すERPクラウド化のカギとは

2018.06.29

ビジネススピードを加速するIT基盤第16回

インフォアジャパンが示すERPクラウド化のカギとは

知っておきたい!「ServiceNow」導入とIT運用の勘所

2018.06.15

DXを加速させるITシステムの運用改革第2回

知っておきたい!「ServiceNow」導入とIT運用の勘所