半導体の世界では、プロセッサの処理能力はムーアの法則に従って18か月ごとに2倍になると考えられていますが、同じような成長パターンはセキュリティの分野でも見られます。 例えばスタンドアロン型のファイアウォールや VPN 機器は、ここ数年の間に、統合脅威管理(UTM)デバイスと呼ばれる、ネットワークの境界を保護するための集中型のデバイスに取って代わられつつあります。より新しいところでは、セキュリティ・イベント管理ツー ルの分野に登場した、現在ではセキュリティ情報/セキュリティ・イベント管理(Security Information and Event Management:SIEM)ツールと呼ばれている画期的な製品が、セキュリティ専門家らの間で高く評価されています。
この種のツールについて初めて言及がなされたのは、市場調査会社の Gartner が2005年に発表したレポートにおいてでした。このレポートでは、SIEM ツールとはセキュリティ情報管理(Security Information Management: SIM)とセキュリティ・イベント管理(Security Event Management: SEM)という2つの異なる機能を組み合わせたものであるとされています。SIEM ツールでは、これら2つの機能が連係して動作することで、ネットワークのセキュリティを強化します。具体的には、ログ・データを解釈してセキュリティ・イベントがいつ発生したのかを特定し、法令遵守およびセキュリティ・レポーティングのコスト削減に役立つセキュリティ統計データを生成します。これは、ネットワークのセキュリティを常に高いレベルに維持するための手段としては理想的とも言える方法です。
SIEM ツールの仕組み
SIEM ツールは基本的に、かのシャーロック・ホームズとドクター・ワトソンのように、2つの機能がペアとなってマルウェアやハッカーに対処しますが、最初に出番となるのは
SEM コンポーネントです。SEM コンポーネントの主な目的は、セキュリティ・インシデント
の解決までの時間を短縮することにあります。SEM コンポーネントは、セキュリティ機器 やセキュリティ・システムから収集したほぼリアルタイムのデータを処理してセキュリティ・イベントがいつ発生したかを特定するための機能を提供します。つまり、SEM
コンポーネントはセキュリティ・データのリアルタイム分析機能を提供し、これによって IT セキ
ュリティ担当者は、より効率的にセキュリティ・イベントを検出し、管理できるようになるということです。
次に、SIM コンポーネントの出番となります。SIM コンポーネントの目的は、セキュリティ・ データの傾向分析、内部調査の支援、法令遵守およびセキュリティ・レポーティングの負担軽減を可能にすることにあります。SIM コンポーネントは、セキュリティ・インシデントのレポーティングを一元的に行うための環境を提供します。つまり SIM コンポーネントは、一定期間におけるセキュリティ・イベントのレポーティングおよび履歴分析を可能にし、セキュリティ・ポリシーの遵守と将来的に使用するセキュリティ統計データの生成を支援するということです。
SIEM ツールのメリット SEM と SIM の機能を組み合わせるという SIEM ツールのアプローチは、多くの場合、ユーザとユーザの組織の双方にとっていくつかのメリットをもたらします。第一に、これは言うまでもないことですが、多種多様なセキュリティ・データを有用なセキュリティ情報として利用可能な形に変換できるという点が挙げられます。ネットワーク管理者は、この情報 に基づいて必要な対策を施し、ネットワークのセキュリティを高めることができます。また SIEM ツールでは、過去のセキュリティ・インシデントの記録をまとまった形で示すこと ができるため、フォレンジック調査を効率的に行うことが可能になります。これにより、攻撃からの復旧作業に要する時間も短縮されます。
情報管理とイベント管理の両方の機能を提供する SIEM ツールでは、追加ソフトウェアを別 途購入し、既存のネットワーク・セキュリティ・ソリューションと統合する必要がありません。多くの SIEM ソリューションは複数のプラットフォームに対応しており、導入が容易に行えるようになっているからです。導入の容易さとコスト的な優位性といった面からも、 SIEM ソリューションは注目するに値します。
収集するデータのレベル
原則的に言えば、SIEM ツールは扱いの容易なツールです。しかしながら、実際に SIEM ツールを活用するうえで最も困難な点を1つ挙げるとすれば、このツールからいかにして最大限の効果を引き出すか、ということになります。SIEM
ツールをネットワーク中心の観点から導入した場合、ファイアウォールやルータのルーティング・テーブルなどのネットワーク上のネットワーク機器やセキュリティ機器などから高いレベルのネットワーク情報が得られます。これらの情報からは、比較的大きな規模のセキュリティ侵害の痕跡が見つかるかもしれませんが、ネットワーク自体に内在するセキュリティ・リスクを見逃してしまう可能性があります。
より包括的な情報を取得するには、多くの場合、Active Directory のデータ、アプリケー ション・ログ、オペレーティング・システム・ログ、アイデンティティ/アクセス管理ツールのログも同様に監視するように SIEM ツールを設定します。このアプローチでは、特定のアプリケーションやサーバに対してネットワーク環境内のユーザが行っているアクティビティについて、より多くの情報を取得できます。またこの場合、法令遵守の取り組みを実 証するための、経営層向けのレポートを生成することも可能になります。
SIEM ツールの課題
多くの場合、SIEM ツールの導入メリットは、一朝一夕には享受できません。Gartner のアナリストは、SIEM
ツールの導入を成功させるためには、導入前に周到な準備が必要になる と指摘しています。Gartner のアナリストによると、十分な準備をしていない場合、あるいは初期導入の範囲を広くし過ぎた場合には、プロジェクトが失敗したり、多大なコスト
超過が発生したり、期待どおりの成果が得られなかったりする可能性が高くなります。
同じく重要なのは、SIEM ツールで何を実現したいのかをよく把握しておくことです。例え ば SIEM ツールは、あらゆるセキュリティ・リスクを簡単に排除したいという目的には適し ていません。SIEM ツールはあくまでも、セキュリティ上の問題が発生した時の対応をより迅速に行うためのデータを提供することを目的としており、セキュリティ問題を予防する ためのものではありません。また SIEM ツールは、組織をある規則(法令)に準拠するため の機能を提供することもしません。ただし、法令遵守の取り組みを支援する基盤として SIEM ツールを利用することは可能です。
チェック・ポイントのアプローチ
チェック・ポイントが提供する Eventia Analyzer と Eventia Reporter
という2つの製品は、複雑な設定なしで直ちに機能する、高性能かつ利便性に優れた SIEM ソリューションと
して、連係して動作します。Eventia Analyzer と Eventia Reporter
は、チェック・ポイント製品との統合に最適化されているほか、チェック・ポイント以外のベンダーのさまざまな製品も幅広くサポートします。ホームズとワトソンがロンドンの街で協力して数々の
事件を解決していったように、この2つの製品も、ユーザおよび顧客にとってネットワークが安全な場所となるように連係して機能します。
Eventia Analyzer と Eventia Reporter は、ネットワークで何が、いつ、どのように、なぜ起きたのかをリアルタイムで把握できるようネットワーク管理者を支援します。この2 つの製品は、大量のセキュリティ・ログを分析し、セキュリティの状態に関するリアルタイムのレポートを生成します。また、自社のネットワークが法規制を遵守していることを 証明するために必要とされる、あらゆる情報を提供します。これは、少し前の SEM ツールでは実現できなかったことです。セキュリティの分野でもムーアの法則と同じような法則 が成立していると、ゴードン・ムーア氏も誇らしく思っているかもしれません。