 |
セキュリティ情報マネジメント概論[前編]
SIMで企業のセキュリティを統合管理せよ
内田 千博住商エレクトロニクス株式会社
ネットワークセキュリティ事業部
セキュリティシステム第四部長
2005/7/26
 |
企業や組織が求めるセキュリティ管理 |
さて、多くの異なる機器を統合管理することは運用上、非常に大変だといってきたが、実際には何が大変で、なぜ運用者が困るのだろうか。これを理解するには、まず、セキュリティ対策のアウトプットとして企業の経営層が何を求めているかを知る必要がある。これについて大手商社S社の情報セキュリティ部門の運用責任者Aさんとセキュリティ担当役員Uさんを例に考えてみよう。
大手商社S社のセキュリティへの意識はそこそこ高く、大抵のセキュリティ対策ソリューションは導入済みだった。役員Uさんは管理者Aさんを運用担当に任命し、S社のセキュリティ状況を毎月報告すること、そして事件が起ったときにはすぐに詳細を報告するようにと命じた。運用開始後、何事もなく1カ月がたち、初めてのレポート提出日が来た。
| Aさん | 「今月のレポートです。まず、今月の危険度の高いアラームは、ファイアウォールではXX件、IDSではXX件、ウイルス対策ソフトではXX件でした。以上」 |
| Uさん | 「……っで、実際に何か事件は起きたのかい?」 |
| Aさん | 「……」 |
予想していなかった質問にAさんは思わず絶句した。
Aさんは各デバイスが出した危険度「高」のアラームから、事件につながるイベントがないか再調査した。
例えば、危険度「高」というアラームがIDSから出ていた場合、(1)まずIDSのアラームの意味を調べ、本当にその通信が目的のサーバに影響があったかを、(2)サーバのパッチレベル、脆弱性スキャン結果からチェックした。次に、(3)ファイアウォールのログを調査し、目的のサーバから怪しい通信が発生していないかどうかを調べた。また、(4)サーバのログにおかしな形跡がないかも調べた。
すでに運用経験がある方なら分かると思うが、それぞれの調査に必要な関連ログを調べるには、何億個も発生したログの中から必要なログだけを抽出するため、非常に労力と時間がかかる。IDSのアラーム1件だけでもこれだけの作業が発生するのだから、IDSのアラームが月に何百件と発生していたら気が狂ってしまうだろう。
結局この話は、Aさんが徹夜作業でログを解析していったら、社内の重要なサーバが乗っ取られていたことが分かり大騒ぎになったということで終わる。
この例を通して、企業の経営層が欲しいアウトプットと運用者がやらなければいけないタスクが想像できただろう。米国では、何も起こらなかったことを報告することを「Zero Indication Report」という。企業の経営層が求めているものは、まさにこういったレポートなのだ。
もちろん何か起こったときには、それを詳細に説明することは当然のことであるが、何も起こらなかったときには「異常ありませんでした」と報告する必要がある。一般的に、起こったことを報告するより、何も起こらなかったことを証明することの方がはるかに難しい。そのようなレポートを作成するのに活躍するのが、セキュリティ監視・管理のための基盤システムであり、そのシステムがSIMなのだ。
次節では、今回のAさんとUさんのやりとりを踏まえて、SIMに必要な機能について整理し、SIMのあるべき姿について説明していく。
 |
2/4 |
|
| Index | |
| SIMで企業のセキュリティを統合管理せよ | |
| Page1 SIMの生い立ち |
|
 |
Page2 企業や組織が求めるセキュリティ管理 |
| Page3 SIMに求められる基本機能 SIMのシステム構成 |
|
| Page4 SIMの種類 SIMの使われ方 |
|
| セキュリティ情報マネジメント概論 | |
| SIMで企業のセキュリティを統合管理せよ | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(1) | |
| セキュリティ情報マネジメントの仕組みを技術的に理解する(2) | |
| SIMを上手に使いこなす | |
| 業務中にSkypeやIMを使っているのは誰だ? | |
| 不審な通信や無許可ホストを見逃さない | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
