セキュリティ情報マネジメント概論[中編]

セキュリティ情報マネジメントの仕組みを
技術的に理解する(1)

二木 真明
住商情報システム株式会社
セキュリティソリューション事業部
事業部長補佐(技術担当)
CISSP
2005/9/6

 SIM(Security Information Management:セキュリティ情報マネジメント)という言葉が広く使われるようになったのは、ここ1年ほどのことだ。一方で、SIMというカテゴリに属する(と称される)製品を見ていると、かなり異なっているのが実情である。

 前編では、SIMの生い立ちや必要とされる背景について解説した。今回は、SIMの内部を詳しくのぞいてみよう。

 SIMのコンポーネント

 SIMは大きく分けて4つの機能ブロックからなる。第1のブロックは、さまざまな機器から情報(セキュリティイベント)を収集するための部分である。これを仮に「収集エージェント」と呼ぼう。第2のブロックはSIMの中核部分となる処理ブロックである。これも仮に「イベントマネージャ」と呼ぶことにしよう。

 さらに、第3のブロックとして、収集したイベントや派生するさまざまな情報を有機的に結合し、管理・保存するための「データベース」、第4のブロックとしてオペレータにさまざまな情報を提供し、SIM全体を制御するために使われる「オペレータコンソール」がある。

図1 一般的なSIMの構成

 各ブロックはSIMがその機能を提供するうえで、極めて重要な役割を担っている。以下、それぞれ詳しく見ていこう。

 収集エージェントはなぜ必要か

 SIMは、いわゆるセキュリティ機器に限らず、さまざまな機器からログやアラームを収集する。これらのログやアラームはSIMが管理すべき「イベント」として扱われ、さまざまな処理が行われる。

 ログやアラームを収集する一般的な方法として、syslogプロトコルを使用してログサーバにログを集めたり、SNMPプロトコルを利用してアラーム(トラップ)をネットワークマネージャに送ったりするやり方が確立されている。単純に考えるならば、何も収集エージェントという階層を1つ増やさなくても、汎用的なプロトコルを使って直接イベントマネージャに情報を送ってもいいようなものだ。しかし、イベントマネージャが行うべき作業を考えると、そう単純ではないことが分かるだろう。

 SIMはさまざまな機器からの情報を取り扱う。汎用的なSIMを考えるならばマルチベンダ対応は当然だし、新しい種類の機器やバージョンアップにもタイムリーに対応していく必要がある。場合によっては、メーカー自身が想定しなかった機器から情報を収集するためのカスタマイズが必要になることもあるだろう。

 一方、ログやアラームが含む情報や書式は、製品の種類やメーカーによって大きく異なるばかりか、同じ製品でもバージョンによって一部が異なるケースも少なくない。個別処理をイベントマネージャ自体に組み込んでしまうと、新しい機種やバージョンに対応するためにイベントマネージャの頻繁なバージョンアップが必要になってしまう。ましてカスタマイズなどは不可能だ。

 これは、1社ですべての機器を提供できるメーカーが自社製品群の管理目的で作ったSIMならばともかく、汎用的なSIMにおいては現実的な方法とはいえない。ちょうど、PCのオペレーティングシステム(OS)が、多くのサードパーティデバイスをサポートするためにデバイスドライバと呼ばれるモジュールを用意したように、収集エージェントはそれぞれの機器ごとに存在し、収集した独自フォーマットのログやアラームから必要な情報を抽出、整形、翻訳して、より抽象的な共通フォーマットに作り直す役割を果たしている。

 
1/4


Index
セキュリティ情報マネジメントの仕組みを技術的に理解する(1)
Page1
SIMのコンポーネント
収集エージェントはなぜ必要か
  Page2
イベントフォーマットの標準化に一工夫あり
イベントマネージャの役割と機能
  Page3
関連付けルールの処理の流れ
メタイベントとアクション処理
  Page4
アノーマリ検知とモニタオブジェクト

セキュリティ情報マネジメント概論
  SIMで企業のセキュリティを統合管理せよ
  セキュリティ情報マネジメントの仕組みを技術的に理解する(1)
  セキュリティ情報マネジメントの仕組みを技術的に理解する(2)

SIMを上手に使いこなす
  業務中にSkypeやIMを使っているのは誰だ?
  不審な通信や無許可ホストを見逃さない

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH