脅威を検知するためのSIEMの仕組み、使いこなすには
組織が守るべき対象を定め、どのような脅威があるのかを判断できたならば、次は“どのようにアプローチするか”を考えるフェーズになる。
ただ、その前に知っておくべきが「予防と検知」に係わる概況だ。NISTのサイバーセキュリティフレームワークでは「特定・防御・検知・対応・復旧」という5つのフェーズが設定されている。従来型のセキュリティでは、外部攻撃からアセットを守るために「特定と防御」という予防策にフォーカスが当てられてきた。しかし、現実はどんなに予防しても防ぎきれないため、「侵入を前提として」いかに素早く検知するかが重要だ。具体的なソリューションでは「SIEM」「UEBA」「SOAR」などが使われている。
たとえば、SIEMはセキュリティログ管理「SIM」とセキュリティイベント管理(SEM)を統合したものだ。SIMはファイヤウォール、プロキシ、データベースのアクセスログなどの“ヒストリカルデータ”を自動的に収集・集約し、長期間保存して分析やレポートに使う。一方、SEMはIDS、WAF、EDRなどのリアルタイムデータからセキュリティ関連イベント(警報、特権アクセスなど)をリアルタイムに特定し、管理コンソールに通知することで相関関係を理解する。つまり、SIEMではSIMとSEMの両方の情報をうまく集約して対応していくことが活用の鍵だ。
SIEMではシステムログ、アセット&アイデンティティ(両者の紐付け)、外部情報を利用する。このとき大量のセキュリティデータを扱うため、高速にアクセスできるかどうかは確認しておきたい。矢崎氏は「高速にアクセスできて、初めて可視化につながります。もし、データへのアクセスが遅ければ、可視化やレポーティングするだけでも大変です」と説明する。
正規化や高速化を実現できると、データを突合して相関関係から対処すべき課題を見つけ出していく。ここでは特にアセットとアイデンティティを紐付ける仕組みが欠かせない。加えて、外部にある脅威インテリジェンスやガイドラインなどをイベントデータに紐付けて情報を補足したり、機械学習を組み込むことで見逃したものを検知できたりするようにしていく。また、アラートが数多く発報されることにもなるため、ここをどれだけ上手く集約できるかが効率的なインシデントレスポンスの実現を左右する。
矢崎氏は「多くの要素がありますが、『次世代型SIEM』と呼ばれるものにはこうした基礎的なファンクションが導入されていますので、うまく管理して使いこなすことが重要です」と話し、中でも注目すべきは“セキュリティコンテンツ”だと指摘。収集したセキュリティ情報から、どのようなイベントが起きているのかを発見するためのコンテンツとなるからだ。
スプランクでは、1,400以上のサーチ(検出できるもの)をグループ化した“アナリティックストーリー”のコンテンツ集がある。たとえばラテラルムーブメント、ランサムウェア、DNS、さらにクラウド特有の問題を見つけるためにサーチ対象をグルーピングしたものだ。MITRE ATT&CKやサイバーキルチェーンなどとマッピングされているため、どういうカテゴリーのどのような攻撃なのかを素早く把握できる。その上でSOARを用いることで、検出した攻撃に対して対処することが可能だ。
脅威検知/調査・対応のためのツールを統合する「Splunk Mission Control」
保護すべき対象が決まり、どのような脅威があるか知り、脅威を検出するアプローチが決まると、いよいよオペレーションをどうするかが問題となる。
矢崎氏が所属するスプランクでは、2023年初頭にTDIR(Threat Detection, Investigation, and Response:脅威検知、調査、対応)ソリューション「Splunk Mission Control」を発表。検知(Detection)は「Splunk Enterpriseセキュリティ」、調査は「Splunk Attack Analyzer」、対応は「Splunk SOAR」が担う。
Splunk Enterpriseセキュリティは、脅威トポロジーの可視化やMITRE ATT&CKのマッピングなど、利便性を向上させる新機能が追加されており、機械学習を用いたクラウドベースのストリーム分析も可能だ。また、Splunk SOARのGUIでロジックを組むことができる。
さらに、Splunk Attack Analyzerは調査部分を担う新製品。これまでデータとデータ、イベントとイベントなどを紐づけて調査はできたものの、URLやバイナリファイル、JavaScriptなどは経験者のスキルに頼る部分が大きかった。そこが同製品を用いることで、たとえば不審なURL付きのフィッシングメールをSplunk Attack Analyzerに渡すだけで分析できるようになっている。
そして、これら3つのツールを統合的に監視するのが「Splunk Mission Control」だ。イベントや分析結果を統合したり、1つのコンソールから複数製品にまたがっての活用が実現できる。矢崎氏は「運用が煩雑になるところを単一のワークスペースを用いることで、自分は何にフォーカスしているのか、次にどこに進めていけばいいのかがハッキリとわかるようになります」と話す。
セキュリティ・ストラテジスト 矢崎誠二氏
一般的に、インシデントレスポンスに関しては、NIST 800-61(コンピュータセキュリティ インシデント対応ガイド)が参考になるだろう。ここでは「準備」「検査と分析」「封じ込め、根絶、復旧」「事件後の対応」という流れで進めるよう示されている。たとえば「検査と分析」という項目だけでも事件の分類、事件の兆候をつかむなど項目が多い。もちろん、既存のツール群を使いこなせばできないことはないが、Splunk Mission Controlのような1つのツールで完結できるメリットは大きいだろう。頻出するインシデントレスポンスの内容をテンプレート化したものも用意されているなど、助けとなるコンテンツも充実している。
まだまだインシデントレスポンスは複雑で難しい領域だ。データを投入したばかりでこれから取り組んでいくユーザーもいれば、コンソールの統合(脅威検知の調査と対応の一元化)のフェーズにたどり着いたユーザーもいる。
矢崎氏は「我々はこれをジャーニーと呼んでいます。基礎的な可視性から最適化されたエクスペリエンスまで、お客様のニーズにあわせた形でスプランクのソリューションを提供できます。アセスメントが必要なら無償で提供できますし、Splunk Enterpriseセキュリティをご利用であればMission Controlは無償利用いただけます。また、6ヵ月間のSOARの無償トライアルもありますので、興味がありましたらお声かけください」と呼びかけて講演を締めた。
