近年、企業ネットワークにおいて、ネットワーク内に存在する多数のセキュリティ・デバイスおよびネットワーク・デバイスから出力されるデータの量が急激に増加しています。そしてこれを契機として、各種のサーバ、Web アプリケーション、データ転送のプロセス、ファイアウォールなどから出力されるデータの意味を理解することにフォーカスしたセキュリティ技術が登場しています。セキュリティ・イベント管理(Security Event Management: SEM)、あるいはセキュリティ情報管理(Security Information Management: SIM)などと呼ばれるこの技術は、害のないプローブ、誤検知、通常のネットワーク・アクティビティ、システムの変更といったネットワーク・ノイズと真の脅威とを区別することで、セキュリティをより正確に評価し、より適切な対処措置を取ることを可能にします。
セキュリティ・イベント管理
SEM とは、異なる種類のさまざまなネットワーク、プラットフォーム、およびアプリケーション・ソースが出力するセキュリティ・イベント・データを収集、集約、正規化、相関、および分析するプロセスのことを言います。ベンダーによっては、これらのソースに
SNMP トラップ、syslog、ログ・データ、ODBC データベースなどが含まれる場合もあります。
集約
集約は、冗長な(重複する)イベント・データを取り除いたり、同じまたは類似するセキュリティ・イベントを 1つのイベントにまとめたりするプロセスです。誤検知(誤認アラーム)をどの程度許容するか(アラートの感度をどの程度にするか)に応じて、特定のイベントに対するしきい値を増減できるので、正規のポート・スキャンに対するしきい値を低くする一方で、分散サービス妨害(DDoS)攻撃やトロイの木馬についての警告は直ちに通知するといった設定が可能です。
正規化
多くの場合、企業ネットワークは、さまざまな種類のセキュリティ・デバイスおよびネットワーク・デバイスで構成されており、これらのデバイスは、そのネットワークのセキュリティに責任を持つアナリストにとって重要な意味を持つログを出力します。これらのデバイスが出力するログは、デバイスごとに異なる形式で記録されるため、先にイベントを正規化しない限り、ログを比較することはほとんど不可能です。例えば、Cisco
社のファイウォール製品である PIX Firewall における受理パケットのレポート形式は、チェック・ポイントのファイアウォール製品とは異なる形式であり、同じ
Cisco 社の製品でありながらルータ製品とは異なります。正規化では、これら 3つの異なるデータ・ソースを分かりやすい1つのコンテキストにまとめるために、同じセキュリティ・イベントについてのメッセージを共通のアラーム
ID にマッピングします。
相関
相関では、ソースやターゲット、プロトコル、イベント・タイプなどの特性に基づいて、複数のソースで発生した異なるイベント同士の関係性を確立し、それらを複合イベントとして扱えるようにします。例えば、侵入検知システムによって検出されたシグネチャを持つアンチウイルス・ソフトウェアで検出されたワームは、相関されたイベントとして通知される可能性があります。通常、このプロセスはほぼリアルタイムで行われ、外部のデバイス、システム、またはアプリケーションに変更を加える自動的なアクションを発生させます。
EPS
EPS(Events Per Second: 毎秒あたりのイベント数)は、SEM 製品で相関可能なデータのサイズまたは容量を表す単位(1
日または週あたり~ギガバイト、など)、あるいは毎秒あたりどれだけのアラームまたはメッセージを捕捉してデータベースに格納できるかを表す単位です。多くの
SEM/SIM ベンダーは、自社のデバイスについて「毎秒あたり数百万のイベントを処理可能」などと謳っていますが、現在のところ、この数値の算出方法に関する基準は定められていません。したがってこの数値を、有用な情報を提供するイベントの数、または対処可能なイベントの数に換算しなければ、自動車のエンジンにおける
RPM ほどの意味しか持ちません。したがって、製品のスケーラビリティを判断するうえでこの数値を参考にする場合には、注意が必要です。