サイバー攻撃の巧妙化でセキュリティログが氾濫状態に

サイバー攻撃の手法はますます巧妙化し発見しにくくなっている。またセキュリティログも増加し続けており、どこをどう見ていいのかすらわからない状況に陥っているケースも多い。企業のセキュリティ担当者からは「いつのまにかサイバー攻撃を受けていた」「感染の原因と経路が特定できないので対策ができない」といった嘆きの声が頻繁に聞かれるようになった。

そんな企業が抱える悩みを如実に示すデータがある。SANS Instituteが2014年に公表したレポート「Ninth Log Management Survey Report」によると、「セキュリティログを収集している」という組織は全体の97%に達していたのに対し、「ログを定期的にレビューしている」という回答は44%にとどまっていた。また「ビッグデータの分析、セキュリティトレンドの特定に関して自信を持っている」という回答は14%にすぎなかった。つまりログを見ていない企業が半数近く存在しており、原因をきちんと特定できる企業にいたってはおよそ7社に1社しかいないのだ。

これらは、サイバー攻撃への対策がいかに難しいかということの裏返しでもある。Ponemon Instituteの調査では、2013年の時点で「脅威を検出するまでにかかった平均期間」は80日間だった。それが2014年には6ヵ月とおよそ2.3倍に、2015年には8.5ヵ月と、2年間でおよそ3.3倍にまで拡大した。

実際、2013年12月に大規模な情報漏えいを起こした米小売大手Targetでは侵入を検知するまでの期間は30日だったが、2014年9月の米小売大手Home Depotのケースでは150日に、さらに2015年の米医療保険会社Premera Blue Crossのケースでは269日にまで侵入検知の期間が延びている。

セキュリティ対策に関わる各種数値。ログを収集していても可視化およびレビューができていない企業も多い

注目を集め始めたセキュリティの可視化と監視ツール

こうした傾向は日本国内でも同様だ。国内では、2012年頃から標的型攻撃(APT攻撃)などの発生を受けて、従来のような入り口対策だけではなく、侵入されてしまった後の出口対策や侵入を前提とした内部対策の重要性が叫ばれるようになった。それにともない、ログを収集してすばやく分析する仕組みや、サンドボックスなどの未知の脅威を検出する機能などの導入も進んだ。

だが、そうした新しい仕組みや機能をもってしても被害の拡大を完全にとめることはできずにいる。むしろセキュリティ担当者は、サイバー攻撃の巧妙化とそれに対抗しようとして導入したシステムが生成する膨大なログにますます頭を悩ませることになったと言ってもいい。そんな中にわかに注目されはじめたのが、セキュリティ情報の可視化と監視のツールだ。

セキュリティ情報を収集して分析ツールやネットワークをモニタリングするツールはこれまでにもあった。SIEM(Security Information and Event Management)と呼ばれる検知と防御をリアルタイムに行うようなシステムが代表だ。ただ、こうしたシステムは、ユーザー企業の担当者が日常的に利用できるようなものではなく、どちらかといえば専門家向きだった。

セキュリティの可視化ツールがSIEMと大きく異なるのは、現場のユーザーが日々のプロセスに組み込んで利用することを目的に設計されている点だ。導入がしやすく、だれでも簡単に脅威の存在を確認することができる。担当者は可視化ツールが提供するダッシュボートやレポート機能を使って社内のセキュリティ状態を日々チェックし、必要な対策をその場で実施することができるのである。例えるなら、SIEMがMRやCTスキャンを使った精密検査だとすれば、可視化ツールはウェアラブルデバイスを使ったヘルスチェックのようなものなのだ。

経営陣による1日10分のヘルスチェックで脅威に対抗

セキュリティの可視化ツールを提供している1社にウォッチガード・テクノロジー・ジャパン(ウォッチガード)がある。中堅中小企業から大企業までを対象にUTM製品を展開することで知られる同社は、UTMで提供する次世代ファイアウォール、IDS/IPS、Webフィルタリング、アプリケーション制御、サンドボックスといったさまざまな機能からログを取得し、それを統合して可視化し、社内のネットワークがいまどんな状態にあるかを確認できるソリューションを提供している。

ウォッチガード・テクノロジー・ジャパンのマーケティング部 部長 堀江徹氏は企業のセキュリティ対策の現状についてこう語る。「企業の悩みは大きく2つあります。1つはセキュリティ対策の現状が見えないことです。脅威に対抗するためにさまざまな製品を導入したのに、どの製品が何を守っているのかがわからない。どんな脅威がいつ発生したか把握しにくくなっています。もう1つは、セキュリティ対策の今後が見えないことです。脅威の発生や事故の原因が簡単に特定できないので、次にどんな対策を講じていいかがわかりません。どの分野に対策の漏れがあるか、それを埋めるためにどのくらい投資が必要かの判断もできずにいます」

足元を照らし、さらに先を見通せるようにするのが可視化ツールに課せられた役割だ。実際、可視化ツールをすでに導入している企業の間ではさまざまなメリットが生まれてきているという。

最大のメリットは、脅威に迅速に対応できるようになることだ。ログの分析作業が必要なくなることで、脅威の発生や原因の特定がスムーズに行えるようになる。また副次的なメリットとしては、従業員の生産性向上が挙げられる。例えば、本来業務に必要なトラフィックを増強したり、業務の妨げとなるアプリケーションの利用を制限したりすることで、業務効率の改善につなげるのだ。また監視し可視化した情報をもとに、ネットワークの負荷を改善したり、遅延を減らしたりといったインフラの改善につなげることもできる。

「セキュリティの可視化や監視は、知識を持った専門家が行うものと考えがちです。しかし、重要なことは、ユーザー自身が自社の状況を正しく把握できるようにすることです。1日10分でいいので日々状況をチェックし、問題があったらその場で対処できるようにする。システムの担当者はもとより、経営者自身も日々の売上を確認するように脅威の現状を把握することが、脅威への根本的な対策になると考えています」(堀江氏)

システム担当者は複雑なセキュリティシステムを管理するために、経営者はセキュリティの体制や費用対効果を把握できるよう、ネットワークとセキュリティの状況を可視化し、判りやすいレポートを作成する必要がある

経営者や担当者が簡単に利用できる可視化ツールとはどんなものか。また、ツールを導入し、運用するうえでのポイントはどこにあるのか。次回はウォッチガードが無償で提供している可視化ツール「WatchGuard Dimension」の画面を見ながら、具体的に紹介していこう。

(マイナビニュース広告企画:提供 ウォッチガード・テクノロジー・ジャパン)

[PR]提供: