世の中には、「ありすぎて困ることはない」というものも確かに存在します。しかしながら、セキュリティ・ログに関して言えば、逆に「ありすぎて困る」という状態になっているのが実情です。一般的にネットワーク中に存在するセキュリティ・デバイスはそれぞれのデバイスが膨大な量のログ情報を出力し、それらの形式に互換性がないことも多々あります。 そのため、これらのログ情報を一括して網羅的に表示する手段がない場合、管理者は、大量のログ情報を把握しきれないばかりか、充分な解析を行うこともできません。例えば一般的な企業では、ファイアウォールは1日あたり平均500,000 ものメッセージを出力します。 また、日々増加する一方のセキュリティ上の脅威に加え、マルチベンダーの機器により構成されるセキュリティ・アーキテクチャが、情報過多の問題を一層深刻なものにしています。さまざまなセキュリティ機器を導入し、ネットワーク上のデバイスをすべてセキュリティ保護できていると考えていても、生のログ・データをより詳しく解析することで、今までは見過ごしていた複雑なウイルスやワームなどの脅威が脆弱性を攻撃している痕跡が見つかる場合があります。
現在企業は、各種法規制を遵守するために、セキュリティ・データを管理レポートに利用するうえで、ある問題に直面しています。 Sarbanes-Oxley Act(サーベンス・オクスリー法: 米国企業改革法)や Gramm-Leach-Bliley Act(グラム・リーチ・ブライリー法: 米国金融制度改革法)、HIPAA(Health Insurance Portability and Accountability Act: 医療保険の相互運用性と説明責任に関する法律)といった法規制の遵守が求められる中、セキュリティ・ログおよびセキュリティ・イベント・データを一元的に管理する手段を備えていない場合、ネットワークの状態とセキュリティに関する包括的なレポートを作成することは非常に難しくなってくるのです。こうしたレポートは、企業情報および顧客情報が確実に保護され、安全にネットワークが運用されているということを証明するうえで重要な要素の1つです。このようなレポートを用意できない企業は、ネットワークを法規制に従った状態に整えるのに、数週間あるいは数か月にわたって人的資源を投入する必要があるだけでなく、場合によっては数十万ドル規模の罰金を課せられるリスクを負うことになります。
このような問題を解決するのが、セキュリティ・イベント管理(Security Event Management: SEM)です。SEM ソリューションは、セキュリティ・ログが持つ重要なセキュリティ情報の意味をネットワーク管理者が理解できるようにするための仕組みです。また、これにより管理者は、ネットワークに被害を及ぼすセキュリティ上の脅威を検出および分析し、それらをブロックするための具体的な手段を講じられるようになります。SEM ソリューションは、複数のスタンドアロン型セキュリティ製品によって出力された大量のデータを取りまとめ、それらを統一性のある分かりやすい形式で管理者に提示します。SEM ソリューションが存在しない環境でセキュリティ・ログを解析しようとするのは、大勢の人が同時に話しかけてくる中で必要な情報を聞き取ろうとするようなものです。SEM ソリューションがあれば、セキュリティ・ログは分かりやすい明快なメッセージとして提示され、管理者はこれに基づいて何らかのアクションを起こすことが可能になります。
とりわけ、SEM ソリューションでは次の 5つの機能が重要です。
 |
異なる製品からのログ収集: さまざまなベンダーの多様なセキュリティ・デバイスが出力する情報の読み込み、解析、正規化、および集約を行う機能。 |
|
一元的なイベント検出: イベントを自動的に検出し、対応が必要なものとそうでないものを区別する機能。これにより管理者は、より重要な脅威への対応に専念できるようになります。 |
|
攻撃のブロックと発生した被害の修復: 特定のセキュリティ・イベントが発生した場合に、アラートを発して自動的に対応し、事後調査できるようにイベント・データを記録および追跡する機能。 |
|
レポートの生成: 事後調査の実施と法規制の遵守を可能にし、企業のセキュリティ状態を包括的に把握するという管理上のニーズを満たすレポートを作成できる機能。 |
|
スケーラブルな分散アーキテクチャ: 1 日あたり数百万件のログの管理や処理負荷の分散に対応し、相関、更新、表示などの機能を切り分けてアーキテクチャの個々のコンポーネントを柔軟に活用するための機能。 |
これら 5つの機能に加えて、短時間の導入が可能で、導入と同時にすべての機能を使用できることも重要です。現在市場に出回っている多くの SEM ツールではこうしたことは行えず、また、カスタマイズに数か月かかることもしばしばです。さらに、多くの SEMツールは複雑で習熟に時間がかかり、有効に機能させるために大がかりなチューニングが必要となることも珍しくありません。以上の条件を考慮すると、SEM ソリューションの導入方法としては、まず範囲を限定したうえで初期導入を行い、最も重要な要件がクリアされることを確認してから、カスタマイズを加えていくというのが賢明なやり方と言えます。
SEM のベスト・プラクティス
最も優れた SEM ツールでは、前述のように迅速な導入が可能であるだけでなく、さまざまなベンダーの多様なセキュリティ・デバイスから情報を収集し、ネットワーク上の複数のポイントから得られたデータを分析・比較することも可能です。このような
SEM ツールは、分析・比較したデータに基づいて、各エントリを相関させ、既存のイベント・ポリシーに抵触するパターンをログ・データの中から見つけ出します。不審なパターンは、脆弱なホストを探している不正なスキャンや、ウイルス、ワーム、サービス妨害(DoS)攻撃、ネットワーク・アノーマリ、その他のホストベースのアクティビティを表している可能性があります。こうしたパターンの中で、ある一定のしきい値を超えているものがログの中に見つかった場合には、事前に指定した対応がリアルタイムで行われます。
チェック・ポイントは、ログ・データの相関性分析を行うための SEM ソリューション、Eventia Analyzer を提供することにより、セキュリティ情報過多の問題を解決します。Eventia Analyzer は、イベント・ポリシーが事前定義されているため短時間での導入が可能であるほか、ポリシーの新規作成にも対応しています。また、セキュリティ・イベントに基づいてアラートを発し、イベントに自動的に対応して、事後調査のためにイベント・データを記録しておくことができます。法規制の遵守については、管理レポートの作成のほか、Sarbanes-Oxley Act、Gramm-Leach-Bliley Act、および HIPAA における主な統制要件(情報および通信のセキュリティなど)に直接的に対応しています。さらに、最も重要な機能として、膨大な量のセキュリティ・ログ・データを整理・分析し、ネットワークのセキュリティを強化することを可能にします。