今さら聞けない「セキュリティ情報の可視化と監視」(3) 可視化されたセキュリティ情報のレポートと分析

セキュリティ情報の可視化と監視をどのように実現していくか。ウォッチガードの製品を例に、可視化ツールが提供する機能を紹介する。

■今さら聞けない「セキュリティ情報の可視化と監視」
【第1回】セキュリティ情報の可視化と監視の必要性および基礎知識
【第2回】利用シーンに応じて運用できるセキュリティ可視化ツールの初期設定

脅威の概要をすばやく把握できる「セキュリティダッシュボード」

前回、可視化ツールに求められる要件として「シンプルで使いやすい」「導入、運用コストを抑えられる」「利用シーンに応じた運用ができる」があることを紹介した。ウォッチガード・テクノロジー・ジャパン(ウォッチガード)が提供する可視化ツール「WatchGuard Dimension」はそうした要件を満たしながら、セキュリティの脅威に迅速に対応し従業員の生産性向上やインフラの改善に貢献できる製品だ。

WatchGuard Dimensionにはダッシュボードを含む8種類のツールと100種類以上のレポート機能が備わっている。前回は導入方法や経営者向けのエグセグティブダッシュボードの見方について触れ、「シンプルで使いやすい」点および「導入、運用コストを抑えられる」点を紹介した。今回はそのほかのダッシュボードとレポート機能を紹介しながら、「利用シーンに応じた運用ができる」といった要件にどうこたえているのかを見ていくことにしよう。

情報システム部門やセキュリティ担当者が日々の運用で最初に見ることになる画面が「セキュリティダッシュボード」だ。

セキュリティダッシュボードのUI画面

エクゼクティブダッシュボードでは、データの送受信の多いユーザーやアクセス先など、社内ネットワークの全体像を確認することができる。これに対し、セキュリティダッシュボードはブロックした脅威の数やアクセス先を確認するものとなる。

たとえば、セキュリティダッシュボードの「ブロックされた上位のAdvanced Malware(APT)」では、アンチウイルス機能やサンドボックス機能などでブロックされた脅威の一覧を見ることができる。その右隣の「ブロックされた上位のボットネットサイト(Top Blocked Botnet Site」は、標的型攻撃などで外部にデータ送信しようとしてブロックされたサイトの一覧だ。

さらにその下を見ていくと、どのクライアント(ユーザー)がどれだけブロックされているのか、どのアクセス先がどれくらいブロックされているのかも簡単にわかる。こうした情報から、だれがいつどんな脅威に直面したのかをすぐに把握することができるというわけだ。

このように、経営者向けとセキュリティ担当者向けに異なるダッシュボードを用意することで、役割に応じた脅威管理ができるようにしているのがWatchGuard Dimensionの大きな特長だ。

8種類のツールで脅威を分析、次のアクションにつなげる

より深く脅威を分析したいという場合には、目的別のツールを使い分けるといい。ダッシュボード以外には、「登録サービス」「脅威マップ」「FireWatch」「ポリシーマップ」「APデバイス」「Mobile Devices」といったツールが用意されている。これらは単に情報を表示するというだけでなく、脅威を発見したら次にどのようなアクションをとればいいかまで提案できるようなデザインになっていることが大きな特色となっている。

たとえばポリシーマップの使い方を見てみよう。ポリシーマップは、トラフィックのフローを分かりやすく視覚化する機能だ。ポリシー別、UTM機能別、アプリケーションコントール別、アンチウイルス別、サンドボックスのブロック別など、切り口を変えながら、トラフィックを分析することができる。

ポリシーマップのUI画面

ポリシーマップには上の図のように大きく4つの軸がある。左から右に向かって、内部トラフィックがどのようなポリシーを許可されて外部に送信されたかを示している。幅の広さがトラフィックの流量だ。ポリシー別にトラフィックを表示させると以下のような画面になる。

ポリシー別のトラフィック量が一目で把握できる

画面を見ると、ほとんどのトラフィックがHTTPSとDNSの許可ポリシーしか通っていないことがわかる。これは、社内のユーザーは外部のクラウドサービスなどへHTTPSで直接接続しているケースが多いということだ。仮にProxyなどのフィルターを使ってアプリケーションの利用制御をしていたとしても、それらが使われていないことになる。

すると次のアクションとしては、社内から直接HTTPSに接続するのではなく、アクセス制御や認証などを含めた高度なプロキシポリシーを利用できるような対策を講じていくことが考えられる。

今度はポリシー別の表示からアプリケーションコントール別の表示にポリシーマップを切り変えてみよう。切り替えはドロップダウンリストを使って簡単にできる。アプリケーションコントール別に切り替えたうえでトラフィックを表示させたのが下図だ。

アプリケーションごとのトラフィック量

図をみると、動画再生(Streaming Media)やファイル転送(File Transfer)が多くの帯域を消費していることがわかる。この場合、動画再生を多く行っているユーザーは誰なのかを調べたり、帯域を制限したりといった対策が次のアクションとなる。

このように、WatchGuard Dimensionでは目的に応じて視覚化を実施し、それを次のアクションにつなげることができる。利用シーンに応じた運用を可能にすることで、セキュリティ管理者の作業を大幅に削減することが可能なのだ。

脅威を日々把握できるようにするレポート機能

レポート機能は、目的に応じたビジュアルレポートを表示する機能だ。期間を指定したレポートをオンデマンドで表示できる。レポートを表示するにはWatchGuard Dimensionの左側のカラムの「ツール」「レポート」と記載しているタブで「レポート」を選択するだけだ。すると、「Web」「トラフィック」「サービス」「メール」「デバイス」などといったカテゴリごとにさまざまな集計結果が表示できるようになる。たとえば「サービス」のなかの「アプリケーションの使用状況」を選択すると、下図のようなレポートを見ることができる。

レポート機能のUI画面。カテゴリごとにさまざまな集計結果が表示可能

この図はユーザーがどのようなアプリケーションを多く利用しているかを表示したものだ。期間は自由に指定可能で、右上のドロップボックスを使って切り口を変えることもできる。さらに右上にあるPDFアイコンのボタンをクリックすることで、表示内容をいつでもPDFとして保存することができる。PDFを特定のフォルダに定期的に保存したり、メール添付のかたちで経営層などに定期的に送信することもできる。これにより、セキュリティレポートを作成するための時間と手間を大幅に削減することが可能になるわけだ。

PDF出力を行ったレポート例。特定のフォルダに定期的に保存したり、メール添付で経営層などに定期的に送信することも可能だ

1日10分のセキュリティ脅威管理に向けて

WatchGuard Dimensionは、セキュリティ情報の可視化と監視によりこれまでのセキュリティ管理のあり方を大きく変えることができるものだ。自社のセキュリティを高めていくためには、セキュリティログの収集から分析、対策の実施、定期的なレポートのレビューといったPDCAサイクルを回していくことが欠かせない。

だがサイバー攻撃の巧妙化とログの増大により、そうしたPDCAサイクルをまわすことがますます困難になっている。第1回でも見たように、「いつのまにかサイバー攻撃を受けていた」「感染の原因と経路が特定できないので対策ができない」といった声は日増しに高まっている状況だ。

懸念すべきはこうした事態によりセキュリティ事故が起こっても、自社ではそのことに気づかないという点だろう。さまざまな調査機関の調査結果によると、セキュリティ侵害が起こったときにそれを自社スタッフが発見したという割合はわずか1%にすぎない。全体の67%は第三者機関が、16%は法執行機関がそれぞれ発見している。外部からの指摘で発覚し、対応が後手にまわり、被害の拡大を招く最悪の事態がずっとつづいている状況なのだ。

そこで重要になるのが第一回でも触れた「1日10分」のセキュリティ管理だ。企業ネットワークのヘルスチェックを日々行い、脅威を迅速に発見、対処できるようにする。セキュリティの可視化と監視を実現するツールは必須といってもいい状況であり、WatchGuard Dimensionのような使いやすく、業務改善につながるようなツールの導入が望まれる。