Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「相関分析ルールを活用すれば、不正の予兆を発見できる」SIEM×情報漏えい対策――マクニカ羽田野氏

2015/01/30 11:00

 企業にとっての脅威は、もはや外部からのサイバー攻撃だけではない。内部犯行による情報漏えい対策の検討は、守らなければならない情報を持つすべての企業における急務となっている。「Security Online Day 2014」では、マクニカネットワークスの羽田野栄志氏が「SIEMで実現する情報漏えい対策~社内外から迫りくる、多様な脅威から企業を守る~」と題して講演を行なった。羽田野氏は、ログを統合分析して脅威に対応する「SIEMソリューション」がどのように内部不正防止に役立つかを解説した。

内部脅威の対策はなぜ難しいのか

 企業で起こるセキュリティ事故のほとんどは、誤操作や管理ミス、紛失などだ。内部犯罪や内部不正、目的外使用なども少なくない。一方、不正アクセスやサイバー攻撃などの外部脅威は内部脅威の10分の1ほどにとどまる。かねてから指摘されているように、企業が脅威に対抗するうえでは、こうした内部脅威への対策をおろそかにすることはできない。

マクニカネットワークス株式会社 ネットワーク第1事業部プロダクト第1営業部 羽田野 栄志氏

▲マクニカネットワークス株式会社 
ネットワーク第1事業部 プロダクト第1営業部
羽田野 栄志氏

 2014年はこうした内部脅威への対策が重要であることをあらためて認識させる事件が相次いだ。羽田野氏はそれらの事件を振り返りながら、内部脅威の特徴として、企業としての対応が難しいことを挙げた。

 「件数が非常に多く、被害の経路が複数ある。外部脅威による情報漏えいが169件だったのに対し、内部脅威による情報漏えいは同期間で1729件だったという調査がある。表面化していないケースは相当数あると思われる。また、内部脅威は、誤操作や管理ミス、紛失、盗難など、情報が漏えいする経路が多くある。それが企業の対応を難しくしている」(羽田野氏)

 被害額も大きいことも内部脅威の大きな特徴だ。経済産業省の調査で、内部脅威により漏えいした企業秘密はどのようなものかを見ると、82.5%が顧客情報・個人情報、38.5%が経営戦略に関する情報、34.4%が製造に関するノウハウ、といったように、企業にとって大きなインパクトのある情報が多く占めた(複数回答式)。

 また、実際に営業秘密の漏えいによって生じた損害については、1000万円未満が31.1%、1000万円~1億円未満が15.8%、1億円~10億円未満が4.4%、10億円以上が3.8%となっていた。10億円以上の損害が出ているケースが約4%もあることも驚きだが、羽田野氏が問題とするのは同じ調査で損害額が「わからない」という回答が44.8%も占めていることだ。「発生件数を把握していないケースが多いうえ、被害額もはっきりとわからない。内部脅威の対策の難しさを示している」というわけだ。

内部脅威による損失 出所:マクニカネットワークス

SIEMは内部脅威にも有効

 羽田野氏によると、内部脅威に対しては、内部ポリシー、教育、個人意識、人事評価、ソリューションといった側面から総合的に対応していくことが求められる。そんななか、ソリューションの面で効果が期待できるのが、SIEMというソリューションだ。SIEMとは、Security Information and Event Managementの略で、あらゆるデータを統合管理し、そこから注目すべきデータを抽出するアプローチのこと。相関分析の手法を使って、グレーな脅威を検知したり、インシデントの調査、原因分析、対応に役立てたりできる。

SIEMとは、あらゆるデータを統合管理し、そこから注目すべきデータを抽出するアプローチ 
出所:マクニカネットワークス

 データとしてはたとえば、セキュリティイベント、ユーザー識別情報、認証情報、ロケーション、脆弱性スキャンデータ、ネットワークフロー、OSイベント、デバイスやアプリケーションのログファイル、アプリケーションのコンテンツ、データベースのトランザクションなどが対象になる。これらを収集し、可視化、分析、管理することでいちはやく脅威に対抗していくという。

 「セキュリティ対策には、予防的対策と発見的対策があり、両方のバランスが大切。特に発見的対策は、100%予防するのは困難だという認識のもとで取り組み、既存の防御をすり抜ける"グレーな脅威"の判別をいち早く検知することが重要になってくる」と羽田野氏。ここで、グレーな脅威というのは、正常なオペレーションかどうかを見分けることが難しい脅威のことだ。

 SIEMというと、不正アクセスやサイバー攻撃のように、外部脅威への対抗策と思われることが多い。たとえば、標的型攻撃で、長期にわたって単発的なアクセスを繰り返す場合は、通常のアクセスと見分けがつきにくい。このため、SIEMをつかって検知するといったことが行われる。こうしたアプローチは、外部脅威だけでなく、内部脅威にも有効だ。「内部不正によるアクセスは、権限のあるユーザーによる通常のオペレーションと見分けがつきにくい。そこでSIEMを使って各種ログを集約し、相関分析することで、それらの兆候をつかむ」(羽田野氏)わけだ。

本講演資料(PDF版)を無料ダウンロード!

■PDF資料:『SIEMで実現する情報漏えい対策~社内外から迫りくる、多様な脅威から企業を守る~』

 企業にとっての脅威は、もはや外部からのサイバー攻撃だけではありません。内部犯行による情報漏えい対策の検討は、守らなければならない情報を持つ全ての企業における急務となっています。本資料では、ログ統合ソリューションMcAfee SIEMを中核とした情報漏えい対策を始め、優れた分析機能を持つプラットフォームだからこそ実現できる、社内外の脅威から企業を守る実践手法をご説明します。

資料ダウンロードはこちら


著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day レポート
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5