EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

【対談】大量マシンデータをセキュリティに活用する新手法とは?未知の攻撃や内部不正をログから”追いかける”Splunk

  2014/09/30 11:00

 高度化する標的型攻撃や、情報漏えいなどの内部不正が後を絶たない。従来型のセキュリティ対策では企業の重要な情報資産を守ることが困難になるなか、現在のセキュリティ対策環境でも有効な手法として注目されているのがログ解析ソフトウェア「Splunk」(スプランク)のセキュリティ分野での活用だ。Splunkは、大量マシンデータを活用し、各機器からの収集と情報の解析の両方の機能を持つのが特徴だ。本対談では、Splunk事業を展開する日立ソリューションズの蔵重一紀氏とセキュリティサービスでSplunkを活用するブロードバンドセキュリティの安藤一憲氏に、企業を取り巻くセキュリティの現状を踏まえ、大量マシンデータのセキュリティ分野での活用と可能性について議論してもらった。

セキュリティ対策は“マシンデータも活用する”という時代

蔵重:現在の企業を取り巻くセキュリティについて見てみますと、かつての脅威はメールでマルウェアを単純に一斉送信するような単純な手法が主でしたが、昨今では標的型など手口が巧妙化・多様化しています。また悪意を持つ内部の人間が情報漏えいを起こす事件も起きており、不正行為対策も重要な課題です。内部の人間による情報流出は、外部からの脅威を想定したセキュリティ対策製品だけでは効果は期待できません。また、ログを定期的に監査すれば、不審な動きを把握することができますが、それも既存のログ管理の仕組みで特定のコンピューターのログを追うだけでは突き止められません。攻撃者や内部不正の犯行者はネットワーク、サーバ、PCほかの各機器から巧妙に弱点を見つけ、そこから誰にも知られずに必要な情報を抜き取ってしまうからです。

 株式会社日立ソリューションズ プロダクトソリューション事業部 コンテンツソリューション本部 第5部 部長 蔵重一紀氏
株式会社日立ソリューションズ プロダクトソリューション事業部 
コンテンツソリューション本部 第5部 部長 蔵重 一紀氏

安藤:サーバーやパソコンといったコンピューターのなりすましもありますし、パターンファイルを更新していないOSのままだと狙われて情報を吸い上げられてしまうことがありますから。例えばコピー機など、ネットワークに接続しているありとあらゆる機器を監視する必要があります。

蔵重:内部不正対策のための監視となりますと、監視カメラの映像や社員の入退出記録も有用ですね。サーバーへの不正アクセスが起きたログと照らし合わせて容疑者を割り出していく必要があるからです。セキュリティ対策は入退出記録のようなマシンデータも活用するという時代です。

安藤:セキュリティ対策を施す対象がよりいっそう広くなってきていますね。例えばデータベースへの入出力記録だけでは流出したことは分かっても、PCなどのUSBポートから外部のデバイスに抜き出されてはその後、どこに流出したのか突き止められませんから。

蔵重:それを防ぐには、日立の情報漏えい防止ソリューション「秘文」でPCのUSBポートを含めて外部デバイスの利用を禁止したり、ログを取得する必要がでてきます(笑)。

安藤:これほどに監視対象が広がると、データ量もまた膨大になります。全体をくまなく把握するとすれば、数GBが2~3桁増えるくらいではないでしょうか。こうなると以前のように検索コマンド「grep」で調べるには限界があります。

蔵重:これまではデータを追跡するにはサーバーごとに「grep」で検索をかけるのが一般的でした。ただし、サーバーが20台あれば20台分作業が必要です。地道で根気のいる作業が必要ですし、時間もかかります。

安藤:かつてはファイアウォールのデータを監視すれば十分でした。しかし今は内部のパソコンがマルウェアに感染し、巧妙に乗っ取られてしまうこともあります。そのため、内部にあるパソコンの挙動も常に監視しなくてはいけません。ありとあらゆる情報を集めて照合しながら追跡していく必要があります。

■■■  Splunk 関連セミナー 11月21日(金) 開催! ■■■

「内部不正やセキュリティ事件はなぜ防げないのか? ~情報漏えい事件のトレンドと巧妙な攻撃や内部不正を追い詰めるSplunkのログ解析~」

★詳細・お申込み(無料)はこちら⇒ http://www.hitachi-solutions.co.jp/events/2014/splunk1121/


著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5