セキュリティ対策は“マシンデータも活用する”という時代
蔵重:現在の企業を取り巻くセキュリティについて見てみますと、かつての脅威はメールでマルウェアを単純に一斉送信するような単純な手法が主でしたが、昨今では標的型など手口が巧妙化・多様化しています。また悪意を持つ内部の人間が情報漏えいを起こす事件も起きており、不正行為対策も重要な課題です。内部の人間による情報流出は、外部からの脅威を想定したセキュリティ対策製品だけでは効果は期待できません。また、ログを定期的に監査すれば、不審な動きを把握することができますが、それも既存のログ管理の仕組みで特定のコンピューターのログを追うだけでは突き止められません。攻撃者や内部不正の犯行者はネットワーク、サーバ、PCほかの各機器から巧妙に弱点を見つけ、そこから誰にも知られずに必要な情報を抜き取ってしまうからです。
安藤:サーバーやパソコンといったコンピューターのなりすましもありますし、パターンファイルを更新していないOSのままだと狙われて情報を吸い上げられてしまうことがありますから。例えばコピー機など、ネットワークに接続しているありとあらゆる機器を監視する必要があります。
蔵重:内部不正対策のための監視となりますと、監視カメラの映像や社員の入退出記録も有用ですね。サーバーへの不正アクセスが起きたログと照らし合わせて容疑者を割り出していく必要があるからです。セキュリティ対策は入退出記録のようなマシンデータも活用するという時代です。
安藤:セキュリティ対策を施す対象がよりいっそう広くなってきていますね。例えばデータベースへの入出力記録だけでは流出したことは分かっても、PCなどのUSBポートから外部のデバイスに抜き出されてはその後、どこに流出したのか突き止められませんから。
蔵重:それを防ぐには、日立の情報漏えい防止ソリューション「秘文」でPCのUSBポートを含めて外部デバイスの利用を禁止したり、ログを取得する必要がでてきます(笑)。
安藤:これほどに監視対象が広がると、データ量もまた膨大になります。全体をくまなく把握するとすれば、数GBが2~3桁増えるくらいではないでしょうか。こうなると以前のように検索コマンド「grep」で調べるには限界があります。
蔵重:これまではデータを追跡するにはサーバーごとに「grep」で検索をかけるのが一般的でした。ただし、サーバーが20台あれば20台分作業が必要です。地道で根気のいる作業が必要ですし、時間もかかります。
安藤:かつてはファイアウォールのデータを監視すれば十分でした。しかし今は内部のパソコンがマルウェアに感染し、巧妙に乗っ取られてしまうこともあります。そのため、内部にあるパソコンの挙動も常に監視しなくてはいけません。ありとあらゆる情報を集めて照合しながら追跡していく必要があります。
■■■ Splunk 関連セミナー 11月21日(金) 開催! ■■■
「内部不正やセキュリティ事件はなぜ防げないのか? ~情報漏えい事件のトレンドと巧妙な攻撃や内部不正を追い詰めるSplunkのログ解析~」
★詳細・お申込み(無料)はこちら⇒ http://www.hitachi-solutions.co.jp/events/2014/splunk1121/
