SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press(AD)

“インテリジェンス”で脅威を特定する次世代SIEM、「IBM QRadar」の持つ技術力

次世代のインテリジェンスを搭載して「マグニチュード」で示す

 本当に危険な兆候というのは一定の経験やノウハウを持つ専門家でないと検知は難しいとされてきた。複数のデータを横断的に集約し、通常では起こりえない異常を見つけ出して判断しないとならないからだ。単純にブラックリストに合致するかどうかだけではすまない。

 「ブラックリストの情報は1時間おきに変わります。社内の人間がマルウェアに感染したから調べてほしいと、1ケ月前のURLやIPの情報をいただいても意味がありません。その時点でのブラックリストで調べないとダメなのです」(中田氏)  

 QRadarはSIEMに加えて、高度なセキュリティーインテリジェンスも持ち合わせている。民間では最大級となるセキュリティ研究機関となるIBM X-Forceからの最新の脅威情報を取得し、検出したイベントの相関分析解析を行う。  

 セキュリティイベント(アカウントの不正使用、脆弱性をついた攻撃、ウィルス/マルウェアの検知など)と、ネットワークトラフィック監視(ベースラインからの逸脱〔通常とは異なる振る舞い〕、ポリシー違反、セキュリティ機器を回避する攻撃など)を組み合わせることで不審なインシデントをいぶりだす。  

 さらにQRadarらしい特徴となるのが脅威を「マグニチュード」で示すところだ。脅威のインパクトを総合的に評価し「マグニチュード」という単一の指標で数値化する。

 「QRadarの自動化の機能に、すべてのセキュリティ機器毎のイベント情報から、危険性の情報を全部マッピングするデータベースを持っています。このデータベースが様々な指標値で判断して、重み付けを行い、マグニチュードが決められます」(中田氏)

▲図3:オフェンス情報画面

 マグニチュードはセキュリティの高度な知識がなくてもインシデントがどれだけ致命的なのかを直感的に判断できる。企業として決断を下すべき立場に「結局のところ、今はどのくらい危機的な状況なのか?」を伝えるのに有用だろう。 

QFlowで不審な通信をドリルダウンで詳細まで分析

 また、インシデントを詳細に分析しようとすると、担当者は往々にして生のパケットまで見て調査する必要がある。生パケットまで見るとなると、けっこうな手間だ。

 「QRadarのQFlowを用いれば、ダッシュボード画面からドリルダウンして通信のペイロード情報を調査することができます」(中田氏)  

 例えばQRadarではマルウェア感染によるビーコン通信の可能性があるトラフィックをダッシュボードに設定して監視することができる。ネットワーク・アクティビティグラフでは通信の時間帯や頻度、宛先IPから発信先の国が割り出され、通信の内容やペイロードなどの詳細を確認できる。  

 HTTP通信を装いながらも通信量が異様に小さい、ヘッダがHTTPの要件を満たしていない、片方向のみのTCP通信を行うものであれば、マルウェア感染によるビーコン通信の典型的な特徴となる。QFlowではオフェンスの詳細を検知したルールと照らし合わせながら確認することができる。攻撃の裏付けができるというわけだ。

▲図4:QFlowを用いたアプリケーション別通信解析画面
▲図5:QFlow ペイロード情報画面

次のページ
「デプロイ期間が短い」「より多くのアノマリ異常を検出できる」「誤検知が減った」など顧客から高い評価

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6640 2015/06/25 17:27

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング