「SIEM運用は難しい」を覆す次世代ソリューション「LogRhythm」とは?
侵入後に社内システムを偵察し、高い権限を奪取して重要なデータを暗号化したり、盗み出したりする巧妙な手口が増えています。こうしたサイバー攻撃をいち早く見つけ、対処する上で有用なのがSIEM(Security Information and Event Management)による横断的なログ解析です。しかし、「高度な知識が必要」「運用しきれない」といった理由で宝の持ち腐れとなるケースが多く見られます。本稿では、SIEMの運用を含めて各社が抱えているセキュリティ対策の課題と、それに対する解決策としての次世代SIEM製品「LogRhythm」を解説します。
- 金銭を目的に、高度化・巧妙化し続けるサイバー攻撃
- SIEMへの注目度が高まる一方で「運用しきれない」という声も
- 既存のSIEMの課題を解消する「LogRhythm」
- あらかじめ用意された脅威判定シナリオが運用負荷を低減
- インシデント発生時に人が取るべき行動をシステム側が提示
- 会社全体で取り組むべきセキュリティ対策をLogRhythmがサポート
※東京エレクトロンデバイスはLogRhythmとの代理店契約を解消しております
金銭を目的に、高度化・巧妙化し続けるサイバー攻撃
サイバー攻撃が年々高度化・巧妙化していることはメディアで大きく取り上げられるようになり、多くの人が見聞きした経験があるでしょう。
もはや、ウイルスを添付したメールを送りつけ、単純にユーザーに対して嫌がらせするだけで終わるパターンはほとんどありません。近年見られるサイバー攻撃の多くは、金銭を奪い取ることを目的に組織化されており、未知のウイルスを利用したり、Windows OSが標準で備える機能を悪用したりして、セキュリティ製品の検知をかいくぐる手口が増えてきました。
特に多いのは、無差別にマルウェアをばらまいて侵入できる糸口を確保しつつ、侵入に成功した後は標的型攻撃的な手口を用いるケースです。まずは感染した端末を足がかりにして検知されないように社内ネットワークを偵察し、より高い権限のアカウントを盗み出します。次に、業務に不可欠なサーバーや機密情報・個人情報が保存されたサーバーを特定した上で暗号化して業務を妨害し、外部に持ち出すといった手口です。データを元に戻す、あるいは情報をネット上に公開しない代わりに金銭を要求してくるランサムウェアは、その典型例と言えるでしょう。
もちろん企業側も手をこまねいていたわけではありません。システムを守るためのファイアウォールやプロキシサーバー、IDS/IPSといった複数のセキュリティ機器をインターネットとの境界に配備するとともに、エンドポイントにはアンチウイルス製品を導入するなど、多層防御に取り組んできました。しかし、国内でも複数の企業がランサムウェアの被害を受け、中には工場の操業停止や決算の延期といった事態に陥ったことを公表するなど、被害はなかなか止まない状況が続いています。
SIEMへの注目度が高まる一方で「運用しきれない」という声も
昨今のサイバー攻撃者が用いる、検知をすり抜けて侵入範囲を広げる手口は、セキュリティ機器やサーバー、PC単体を確認するだけでは、なかなか被害に遭っていると気づくことができません。システム全体を見ていくことによって始めて、攻撃者の動きや意図をつかむことができます。
たとえば、「認証サーバーのログで、複数のアカウントに対するログイン試行が失敗し、アカウントロックが発生していた」というケースは、システム運用上よくあることでしょう。ですが、その少し後に「特定のアカウントから、複数の社内サーバーへのアクセスが試みられている」「認証に成功したアカウントが、業務とは無関係なファイルにアクセスしている」といった事象が続けて発生していると、「社員のアカウントが誰かに乗っ取られ、社内を探査されている危険性がある 」 と多くの方が判断するでしょう。
東京エレクトロンデバイスのCNビジネス開発室 酒井 は、システム全体を俯瞰的な視点で見直す重要性を以下のように語ります。
「1つひとつを見れば通常の業務で発生しうるイベントでも、それぞれを紐づけて見ていくと不審な行動をしていることが見て取れます。このように、シナリオに基づいて分析していくことが重要です」
しかし、複数のログを集約して横断的に分析していく作業を人間が行うのは非現実的です。そこで、インシデント対応に当たるCSIRT(Computer Security Incident Response Team)や、セキュリティ監視に特化したSOC(Security Operation Center) を立ち上げて体制を整備するとともに、それらの組織で利用されるさまざまなセキュリティ機器やネットワーク機器、エンドポイントのログやイベント情報を収集、集約して分析する「SIEM(Security Information and Event Management)」と呼ばれるソリューションへの注目が高まってきました。
ただし、ここでも新たな課題が浮上しています。話題になり始めているSIEMを導入してみたものの、「SIEMを運用しきれない」といった声が見受けられます。
セキュリティ機器やネットワーク機器、認証サーバーなど、各種デバイスが生成するログ情報の量は膨大です。その中からどのような情報を集め、何を付き合わせて解析していくかを判断するには、高度なノウハウが必要となります。このため、担当者が手探りで模索しても適切な方法が見つからず、苦労している企業も多いでしょう。しかし、外部の専門家にその都度頼っていてはコストがかさんでしまいます。せっかく多額の投資をしてSIEMを導入したものの、宝の持ち腐れに終わっているケースもあるようです。
既存のSIEMの課題を解消する「LogRhythm」
こうした既存のSIEMの課題を踏まえて、「次世代SIEM」ともいうべきソリューションが登場しています。その代表例が、セキュリティ・インテリジェンス・プラットフォームである「LogRhythm」です。
LogRhythmでは、サーバーやアプリケーションが出力するログに加え、ネットワーク機器やセキュリティ製品のログやフローデータ、マイクロソフト製品のイベントログなど、幅広いデータを「マシンデータインテリジェンスファブリック」(MDI)と呼ぶ分析基盤に取り込みます。入退館システムなど物理的なセキュリティに関するログも取り込み可能で、のべ800種類以上の製品やアプリケーションから情報を収集できます。
「一連のデータを一定の形式にそろえた上で、外部の脅威インテリジェンスなどとも連携しながら分析を行い、『不審な動き』『注意すべき動き』を警告できる点がLogRhythmの強みです」(酒井)
さらに、取り込んだ情報を基に「ここをもう少し掘り下げて調べる」「このシステムの担当者と連絡を取って、さらなる情報を収集する」といった次のアクションを、管理者や運用担当者がスムーズに取れるよう支援するワークフロー機能も備えています。
あらかじめ用意された脅威判定シナリオが運用負荷を低減
同製品の特徴の1つは、LogRhythmの研究開発チームが作成した「シナリオ」に沿って、高度な解析を容易に行えることです。あらかじめ1000種類以上の相関分析ルールが用意されており、使い始めた直後であっても容易に分析を始められます。
LogRhythmが持つ「シナリオ」による解析について、酒井氏は以下のように補足します。
「SIEM製品は、導入してもなかなか使いこなせないという悩みが生じがちです。この大きな理由の1つは、どのように分析するのかというルールを作るのが難しいからです。しかし、LogRhythmでは、『どういったパターンのログが並ぶと脅威の可能性があるか』をまとめたシナリオ解析機能があるため、スムーズに使い始めることができるのです」
しかもこのシナリオは、LogRhythmのリサーチに基づいて、クラウドベースで随時アップデートされます。
また外部からの脅威の分析だけではなく、内部のユーザー情報を基に、管理者権限の悪用など「そのユーザーが取るべきではない不審な行動の有無」を検知したり、ネットワークトラフィックのデータを取り込んで怪しい通信が発生していないかを分析したりするUEBA(User and Entity Behavior Analytics)機能も備えています。
「これまでSIEMの使い始めと運用に苦労されてきた企業は多いと思いますが、LogRhythmではさまざまなサンプルを用意することで、すぐに使える機能群を提供しています。サンプルをそのまま使うことも、自社の環境に合わせてカスタマイズを加えることも可能です。これによって、SIEMを導入したものの運用につまずくことなく、しっかり活用できる点が、多くの企業に評価されています」(酒井氏)
そしてLogRhythmは、脅威を把握するだけでなく、その脅威に対する適切なアクションを取れるよう支援する機能も搭載されています。具体的には「SmartResponse™」機能を活用することで、エンドポイントセキュリティ製品やファイアウォールなど他のセキュリティ製品と連携し、LogRhythmで検知した怪しい通信を迅速に遮断できます。
インシデント発生時に人が取るべき行動をシステム側が提示
そのほか、「プレイブック機能」を参照すれば、あらかじめ用意された「行動マニュアル」に沿って、いざというとき誰に連絡を取るべきか、どのような調査を行うべきかといった事柄を確認し、LogRhythmの画面内で対処を完結することも可能です。LogRhythmは、いわゆるSOAR(Security Orchestration, Automation and Response)の役割も補完するものと言えるでしょう。
「イベントが発生したら、その情報が本当にインシデントなのか、そうでないかを判断するために追加調査をしなければなりません。本当にインシデントであった場合は、さらに深く調査を行い、生じている影響を把握した上で無害化する必要があります。LogRhythmは、脅威の検知から分析、サードパーティ製品との連携による対応・復旧作業に至るまで、一連のライフサイクルをサポート可能です」と酒井氏は強調する。
LogRhythmは、汎用的なログ解析ではなく「セキュリティ分析」に特化して開発された製品です。サードパーティが提供する脅威インテリジェンスとも連動し、最新の脅威動向やシナリオに基づいて対策できるという意味でも、導入のメリットがあると言えるでしょう。
会社全体で取り組むべきセキュリティ対策をLogRhythmがサポート
今や、セキュリティインシデントはIT部門やセキュリティ担当者レベルの問題ではなく、企業全体の事業継続や信頼、ブランドイメージの毀損にもつながる深刻な問題です。場合によっては、取引先やパートナー、自社の顧客にも影響を及ぼす恐れすらあります。
こうした観点からも、経営層の関与の元でCISO(Chief Information Security Officier)が企業全体のセキュリティ状況を俯瞰し、把握していくことが不可欠です。その可視化と分析を容易に行えるLogRhythmのような次世代SIEMは、企業としてのセキュリティ対策全般を強力に支援してくれるでしょう。
さらにLogRhythmは、1秒当たりのログ件数という、パフォーマンスに基づくライセンス体系を採用しているため、より多くのソースからログを取り込み、多角的に分析を行う場合でもコストパフォーマンスに優れています。
これからSIEMを検討する方はもちろん、「もうSIEMはこりごり」という方も、高度な機能群をすぐに使えるLogRhythmの導入を検討してみてはいかがでしょうか。
