Innovation Leading Company

ソリューション

SIEM

セキュリティログはビッグデータ化/活きたログとするためのSIEM

今まで既にセキュリティ対策で導入された機器のセキュリティログはビッグデータ化しています。これらのログをリアルタイムで相関分析し、活きたログとするためのSIEMが必要になります。サイバー攻撃の解決に平均25日~数カ月、1年以上との調査会社のレポートもあるため、早期の問題解決にはいち早い現状把握と対策が必要になります。

リアルタイム相関分析による早期発見

2014年には1組織あたり平均78件のインシデント調査が実施されました。
そのインシデントのうち28%は、組織に重大な損害を与えるサイバー攻撃である標的型攻撃に関するものでした。
またセキュリティ対策の問題点として、調査回答者の80%近くが、セキュリティツール同士の連携が弱点となりセキュリティ上の脅威を検出・対応する妨げになっていると認識しており、特に標的型攻撃に関しては、リアルタイムかつ包括的な可視性が必要とされています。



このような状況下で、SIEMは2015年度導入が最も進むサイバーセキュリティ対策ソリューションの一つです。
理由としては、「標的型攻撃」「セキュリティツールの連携」「リアルタイムかつ包括的な可視性」のお客様の課題を解決するからです。
ここで重要になってくるのがセキュリティログの存在になります。
お客様のセキュリティログに関する認識と重要性も、従来のログ取得さえ行っておけばよい状態や有事の際のログ検索からリアルタイム相関分析のステージ(SIEM)へと進化してきています。

SIEMに求められるもの

最先端光伝送ソリューション:品質管理センターSIEMは、イベントを収集し、インシデントを検知・調査するツールです。
SoC/CSIRTの運用においてコアエンジンとして多く採用されており、 膨大なイベントから重要なイベントを絞り込み、さらに相関分析することで、最重要なインシデントを炙り出します。
さらに、インシデントチケットの発行からインシデント解析、レポーティングまでのワークフローを提供します。

なぜArcSightなのか

数あるSIEMの中で、日商エレクトロニクスがArcSightを選ぶ理由は下記の3つです。

最先端光伝送ソリューション:品質管理センター 1) 実績
マーケットシェア(SIEMとしての稼働実績)、マーケット評価 (Gartner Magic Quadrant for SIEM)ともにNo.1である

2) チューニング能力
脅威検知ルールなどをきめ細かく設定できるためお客様が求める脅威対策を実現できる。
それに比べ他社製品はテンプレートをそのまま利用するものが多く、お客様が検知したいインシデントを見逃してしまう。

3) リアルタイム相関分析
インメモリーで高速に分析を行うことができる。また条件に合致した状態を一時的に保持することにより(チェーンルール)多様な相関分析に対応できる。
それに比べ他社製品は、DBにイベントが格納された後に検索するためリアルタイム性に若干欠ける。

DDoS対策における境界防御

一方、日本国内でもDDoS攻撃の手口が巧妙になってきています。
大量のパケット攻撃によるセキュリティセンサーのダウン・ログ生成妨害により、SIEMを間接的に無力化させるといった従来型の攻撃だけではなくなっています。
少ないトラフィックで、特定のサーバーサービスをダウンさせるスロー&ロー攻撃と同時に攻撃したサーバーに不要なログを大量生成させることで、直接的にSIEMのリアルタイムな相関分析性能を低下させる手口が主流になっています。
また、DDoSによる飽和攻撃を隠れみのとして、同時多発的にAPT攻撃などの手法を組み合わせるハイブリッド型の攻撃も流行の兆しを見せています。
そこで、境界防御でDDoS対策が必要になります。

例えば、DDoS対策で著名なThreat Intelligence研究所であるATLASの擁するDDoS対策製品は、可視化と緩和をワンボックスで行い操作性も容易です。現状Cybercrime-as-a-Serviceという名のサービスがアンダーグランドでビジネスとして成立しており、サイバー攻撃が誰にでも容易に可能な状態です。そのため、入口対策としてDDoS対策を導入することで、サービス低下を回避すると同時にArcSight自体への攻撃も防ぐことができます。

暗号化への対策

また、現在通信トラフィックのSSL/TLS化が進んでおります。
SSL/TLS化は通信の秘匿性の面では良いですが、同時に攻撃者がSSL/TLSのしくみを攻撃ツールに仕込むケースが増えています。
2017年にはサイバー攻撃の50%がSSL/TLSを利用した攻撃になると想定されています。

SSL/TLS通信は暗号化されているため、各セキュリティセンサーでは悪意なパケットかどうか判別不能になります。そこで必要になるのがSSL Visibilityです。
SSL/TLS通信を一度ひもといて各セキュリティセンサーにパケットを投入し、従来のセキュリティ機能を発揮させる必要があります。

SIEMによるアクティブディフェンス

最先端光伝送ソリューション:品質管理センター これらのサイバー攻撃の高度化(DDoS、SSL化通信など)を対処して初めてSIEMが活きてきます。
また上記のソリューションとArcSightとの組み合わせは、サイバー攻撃を100%完全シャットアウトすることができない昨今、アクティブディフェンスにて攻撃者の侵入を最小化するために必要なソリューションです。

サイバー攻撃は巧妙化・持続的・執拗になってきているため、いかに今そこにある危機を迅速に炙り出すかが重要です。
不要なログをフィルタリングし、同様なログをアグリゲートし、さらに本当に攻撃されているかどうかを判別し、攻撃されている際はインシデントとして可視化するArcSightは、SIEMとして非常に優秀なソリューションです。

Security Analytics Platformによる詳細把握



ArcSightでインシデントの検知・原因を特定した後に、インシデントが発生した時の状況が再現できれば、「起きたこと」を詳細かつ容易に把握することができます。
ArcSightでも調査可能ですが、より早急にインシデントの原因究明し攻撃を止めるためにも、そのインシデントの前後の振る舞い、例えば15分前後の攻撃前後の振る舞いを知る必要があります。それをカバーするのが、Blue CoatのSecurity Analytics Platformです。Security Analytics PlatformはArcSightと連携可能です。
ArcSightのGUIの画面からインシデントをクリックし、その前後の振る舞いをSecurity Analytics Platformの画面に自動的に遷移し確認できます。 Security Analytics Platformは、ネットワーク上を流れるパケットをフルキャプチャーしているため、ArcSightで行う調査部分をより掘り下げて、万が一被害にあった場合も拡散を極小化するためのダメージコントロールを実現します。

今後の展望(SIEMとビッグデータ解析とのインテグレーション)

SIEMはログがあってこそのソリューションであるため、セキュリティセンサーが取得するログベースでArcSightにリアルタイムで相関分析をさせるのは限界があります。
最近では、サイバー攻撃に特化した内部対策を行えるBig Data Security Analytics(BDSA)ソリューションがあります。
特長は、ネットワークトラフィックをベースにマシンラーニングを行い、振る舞い検知し、キルチェーンのフェーズに沿って脅威分析を行います。
このBDSAソリューションも、優秀なセキュリティセンサーの一つおよびトラフィックベースの脅威情報としてArcSightに取り込むことが可能です。
SIEMであるArcSightでこれらセキュリティセンサー群を束ね、サイバー攻撃の高度化に対応することができます。

セキュリティ・インテリジェンスシステムとは

お客様をサイバー攻撃から守ります

ArcSightは、「標的型攻撃」「セキュリティツールの連携」「リアルタイムかつ包括的な可視性」というお客様の課題を解決する唯一のソリューションです。
また、ArcSightと上記ソリューションを組み合わせることでSoC/CSIRTのコアとなるとセキュリティ・インテリジェンスシステムを実装することが可能になります。
日商エレクトロニクスは、ArcSightをコアとしてお客様の要望に応じてセキュリティ・インテリジェンスなシステムの設計・構築を提供しています。最大で30種のセンサーをつなぎ込み、ArcSightにて相関分析、ならびにインシデント分析のワークフローを構築した実績もあります。当社はArcSightのインテグレーターとしてお客様をサイバー攻撃から守ります。

関連情報