【Interop 2014 Vol.7 座談会】「SIEMでセキュリティ全体をマネジメント!」(セキュリティ編) 2ページ目 | RBB TODAY
※本サイトはアフィリエイト広告を利用しています

【Interop 2014 Vol.7 座談会】「SIEMでセキュリティ全体をマネジメント!」(セキュリティ編)

エンタープライズ セキュリティ
セキュリティ対策と新ツールなどの検証・デモを担当するNOCメンバー
  • セキュリティ対策と新ツールなどの検証・デモを担当するNOCメンバー
  • ファイア・アイ テクニカル・アーキテクト橋本賢一郎氏
  • 情報通信研究機構 サイバー攻撃対策総合研究所サイバー防御戦術研究室 技術員遠峰隆史氏
  • デロイト トーマツ リスクサービス/有限責任監査法人トーマツマネジャー森島直人氏
  • 昨年、NICTがデモを行ったNIRVANA 改。今年は、さらにパワーアップされるので乞うご期待!
■ShowNet のチャレンジ~セキュリティ全体をマネジメントするSIEM がキーポイントに

関谷:今後の10年、セキュリティ全般に関し社会やShowNetにおいてどのようなチャレンジがあるでしょうか。

遠峰:多層防御によって組織を堅牢にすることが前提となり、多層防御を突破された後のダメージコントロールの高度化と、そのための多角的な監視が重要なチャレンジになるかと思います。その要素のひとつである早期発見の観点からは、SIEMとしての機能を追加した可視化ツールや監視に関する研究を進めることで、さらに現実的な対策を実現できるのではないかと思っています。

森島:早期発見の中核を担うSIEMでは、インシデント検出のためのイベント分析のチューニングが重要です。それもセキュリティアプライアンスの進化や攻撃手法の変化に応じて、継続的に見直しや改善をしていく必要があるものです。チャレンジする部分は多いですね。

橋本:今後はSIEMのような検出をさらに進めて、さまざまなポイントデータの解析だけでなく、その周辺の人や物の動きなどの間接的な情報も収集し、ビッグデータの相関分析を駆使して、サイバー攻撃を事前に予知するということが出来る世界がくるのでは無いかと期待しています。

関谷:なるほど。セキュリティがかかわる範囲はどんどん広がっていくようですね。それだけ、ShowNet でもセキュリティに関心を持ってくる人も多いかと思います。今年もShowNetでは「ASK NOC」のコーナーを設けますので、セキュリティ編のみなさんにも来場者の質問対応お願いいたします。本日はありがとうございました。

【★脚注1】
RAT:Remote Access Toolの略。ネットワークに接続された遠隔のコンピュータを、手元のコンピュータから操作するツール。本来の目的は、システム管理者が遠隔地からPCやネットワーク機器のトラブルを解決したり、外出先の社員が遠隔地から自分のPCなどを操作したりするために用いられるものだった。しかし、悪意のある攻撃者がRATを使って、攻撃経路に様々な攻撃を仕掛けたり、脆弱なポートからネットワークに不正アクセスするケースなどが確認されている。

【★脚注2】
SIEM:Security Information and Event Management の略。セキュリティイベントの相関および標準化を行うSIM(Security Information Management)と、セキュリティイベントの収集・集約を行うSEM(Security Event Management)という2つの異なる技術を統合したソリューションのこと。

【★脚注3】
標的型攻撃:特定の組織や個人をターゲットにして、明確な目的をもって行われるサイバー攻撃の総称。たとえば、企業の機密情報や、軍事技術などの需要な情報の不正取得、業務の妨害なども含まれる。人が攻撃を行っているため、通常のコンピュータウイルスとは区別されるが、攻撃の過程では不正プログラムが使われることもある。被害に遭ったことが分からず、1年以上前から情報が盗まれていたのに気付かなかったというケースもある。

【★脚注4】
NICTER:Network Incident analysis Center for Tactical Emergency Response の略。NICTが開発しているインシデント分析システムのこと。インターネットで発生するさまざまなセキュリティ上の脅威を迅速に把握し、有効な対策を導出するための複合システム。

【★脚注5】
NIRVANA改:ニルヴァーナ・カイ。NICTが開発した大規模ネットワークの管理を支援するネットワークリアルタイム可視化システム・NIRVANAの改造版。新たに各種の分析エンジンを追加したもの。

【★脚注6】
DAEDALUS:Direct Alert Environment for Darknet And Livenet Unified Security の略。NICTERの大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム。NICTが開発したシステム。

【★脚注7】
証拠保全:ここでは電子データの証拠保全を指す。セキュリティ事故時に最も重要なポイントとなるものだ。ファイルやメールの生成・改変・移動・アクセスなどの情報記録を、法的に有効な証拠となりうる方式で確保すれば、何かあっても正確な事後解析が可能になる。データに改ざんが加えられていないことを証明するためには、デジタルフォレンジック技
術が用いられる。

【★脚注8】
ランサムウェア:Ransomwareはマルウェアの一種で、感染するとシステムへのアクセスが制限されたり、HDDが暗号化されてしまう。その制限を解除するために、マルウェアの作者が身代金を要求することがある。サイバー犯罪のビジネス化の顕在化といえる。

【★脚注9】
DPI:Deep Packet Inspectionの略。パケットフィルタリングの一種。インスペクションする際に、パケットのデータ部(場合によってはヘッダ部も)まで精査する。

【★脚注10】
xFlow:通信トラフィックをフロー単位でサンプリングし、通信の統計を取得する技術のこと。これにより利用者の傾向、AS単位の通信経路、プロトコル毎の通信傾向などが分かる。ネットワークの全体的な傾向を把握し、DoS攻撃などによる不審なトラフィックが流れていないかどうかを検出することができる。
例:Net Flow、sFlow、IP FIXなど。
《RBB TODAY》
【注目の記事】[PR]

関連ニュース

特集

page top