セキュリティ情報管理は、ログファイルやその他のソースからセキュリティ情報を収集し、セキュリティインシデントの検出と対応を行うために使用される技術であり、SIMの使用はますます広まっています。今日のサーバ、ネットワーク・デバイス、アプリケーションは、大量のログ・データと、セキュリティ、コンプライアンス、アプリケーション・パフォーマンスに関連するさまざまな意思決定を推進するために分析、相関、フィルタリングが可能なさまざまな種類の情報を生成します。多くの用途が考えられますが、SIM ソリューションは焦点を絞らなければ、情報の過負荷やパフォーマンスの問題によって「沼」にはまり、役に立たなくなります。
SIMの限定的な目標設定
SIMの機能は、多数のセキュリティ・イベントの中から特定のセキュリティ・イベントの「手がかり」を探すことです。簡単に言えば、SIMは針の山に針を刺すようなものです。これは難しい作業ですが、多くの企業はSIMで多くのことを行おうとしているため、「針の山」が大きくなり、「針を見つける」作業がますます難しくなっています。
SIMを導入する上で、まず最も重要なことは、単一のターゲット、あるいは限られたターゲットに焦点を絞ることです。侵入を検出するためですか?あるいは、内部または外部からの攻撃に焦点を当てるのでしょうか?SIMは侵入の検知に使うのか、侵害の発見に使うのか、それとも内部攻撃や外部攻撃に焦点を当てるのか?SIMで解決しようとする問題が多ければ多いほど、どの問題を解決するにしてもSIMの効果は低くなります。
収集すべきログとは?SIM の具体的な目標が決まっていれば、収集すべきデータを簡単に特定できます。たとえば、ペイメントカード業界のデータセキュリティ基準への準拠に重点を置くことにした場合、ファイアウォールのログが最初に収集・分析しなければならないデータになります。PCIは数少ない規定的な規制の1つであるため、ログ収集に関する具体的なガイダンスがたくさんあります。例えば、HIPAAは個人健康情報の保護を義務付けていますが、そのためにどのようなログを収集すべきでしょうか。
ログ収集でよくある間違いは、セキュリティ専門家がプロセスの初期段階でフィルタリングを使いすぎることです。例えば、ある医療機関では、ログインに失敗した場合にのみログメッセージを収集するように SIM が設定されています。その根拠は、そのようなログメッセージはシステム侵害の試みを示している可能性があるというものでした。しかし、データ侵害が発生したとき、同社は攻撃者がユーザーパスワードの窃取に成功していたことを発見しました。攻撃者はログイン失敗のログ・メッセージを生成しておらず、正規のユーザー・アカウントを使ってシステムへのログインに成功していました。しかし、この成功したログイン情報は収集されなかったため、情報漏洩の分析を担当するセキュリティ専門家は、攻撃者が何を行ったかを知ることができませんでした。
特定の詳細なデータを収集しなければ、データ漏洩後に過去のデータを見る必要が生じたときに見ることができないからです。しかし、すべてのデータを収集すると、パフォーマンスやストレージの増加の問題に直面することになります。一見重要でないように見える小さな詳細が、インシデント後に必要となる重要なデータかもしれません。
SIMは、データ侵害後の履歴データのフォレンジック分析に使用されるだけではありません。多くの組織が、セキュリティオペレーションセンターにおけるリアルタイムのインシデント対応の基盤としてSIMソリューションを使用しています。リアルタイムのインシデント対応とインシデント発生後の履歴分析の区別は非常に重要です。リアルタイム分析のためのSIMソリューションは、高性能な相関とフィルタリングのために調整されており、収集される情報量は最小限に抑えられています。しかし、事故後の履歴分析のためにSIMの操作性を向上させるには、収集・保存される情報を最大化するために、正反対の方法でチューニングする必要があります。
実行可能な結果とは、ビジネスプロセスで使用できる結果です。目的がコンプライアンス(法令遵守)であれば、そのプロセスでは年次監査報告書が作成されるはずです。データ侵害の検出が目的であれば、インシデント対応プロセスを通じてアナリストがセキュリティアラートを調査できるような結果が必要です。セキュリティ運用を改善しようとしているのであれば、SIM の結果は変更管理プロセスや構成管理プロセスをサポートするものでなければなりません。明確な目標と達成しようとしているプロセスがなければ、SIM は実用的な結果を得ることはできません。#p#
SIMをセキュリティ規制プログラムの一部に
SIMを単一の目的に集中させ、それを標準的なセキュリティ運用にうまく統合することができれば、他のビジネス課題の解決に徐々に関心を移し始めることができます。これは、より多くのデータを収集するという意味ではありません。むしろ、SIM の結果をセキュリティ規制プログラム全体の一部として再利用する新しい方法を見つけることを意味します。
多くの企業は、コンプライアンスからリスク管理へと徐々に重点を移しつつあります。リスク管理とは、ビジネスが直面しているリスクに目を向け、ビジネスに対するリスクに基づいてセキュリティ管理とインシデント対応の優先順位を決定することによって、リスクを管理することを意味します。SIMソリューションの場合、これは例えばセキュリティ・イベント情報とリスク情報の関連付けを意味します:
ユーザーID/ロール:どのユーザー/ロールが関与または影響を受けるか
システムリスク:影響を受けるシステムがビジネスクリティカルなシステムであるかどうか
アプリケーションリスク:影響を受けるアプリケーションがビジネスクリティカルなアプリケーションかどうか
SIM製品にリスク管理を追加するために、必ずしも多くのログを収集する必要はありません。たいていの場合、アプリケーション、システム、ユーザー、ロールのリスク/クリティカリティに関する情報で、既存のログデータを補完することができます。例えば、多くのSIM製品では、セキュリティアナリストが、数値スコアまたはラベルを使用して、重要性に基づいてサーバをレベルに分類することができます。このような属性を追加することで、結果に別の視点が加わり、セキュリティ担当者はビジネス上重要なセキュリティ・イベントを優先し、重要でないイベントを後回しにすることができます。ここでの重要な違いは、重要性の程度がセキュリティ属性ではなくビジネス属性であることです。
同様に、SIM を規制コンプライアンスに適合させるためには、必ずしも多くのログが必要なわけではありません。多くの場合、既存の SIM の結果を特定の監査レポート要件やルールに関連付ける必要があります。ほとんどの規制は、業界が展開する必要のある最低限のセキュリティ管理を表しています。SIM が堅牢なセキュリティ手順をサポートするように設計されている場合、コンプライアンスに必要なすべてのログをすでに収集している可能性があります。
組織によっては、セキュリティ・インシデントにリアルタイムで対応したいと考えているところもあるでしょう。これはすべての企業にとって野心的な目標であることは間違いありません。リアルタイム対応には、ほぼ完璧な技術、プロセス、人材が必要であり、この分野で成功している企業はほとんどありません。この野心的な目標を達成しようとしているのであれば、それがSIM導入の最初の目標ではなく、健全かつ成功するための最終目標であることを確認してください。SIM がリアルタイムの相関と分析に適しているためには、相関するログデータのサブセットを選択する必要があります。多すぎるログデータに対してリアルタイム分析を実行するとパフォーマンスが低下し、少なすぎるログを収集すると記録に多くのギャップが生じるため、インシデント発生後の分析が不可能になります。導入に成功している企業は、ログデータを長期アーカイブに分割し、可能な限り包括的なログデータを確保し、相関とアラートのためのログデータを少なくしています。
成功の鍵は、漸進的な進化です。限られた数の焦点を絞った目的から始め、SIMシステムがデータに圧倒されないようにしながら、徐々に機能を追加していきます。SIMソリューションをより広範な運用プロセスの一部として見れば、最も弱いリンクはテクノロジーではなく、オペレーターであることがわかります。SIMに過度に野心的な目標を設定すると、システムはログデータで上書きされ、スタッフはログ結果で溢れかえります。あまりに多くの結果とアラートを生成するSIMに直面したオペレーターには、2つの選択肢しかありません:セキュリティイベントを見逃す可能性のある結果の生成を止めるか、アラートを無視するか。これらのシナリオのいずれか、あるいは両方が多くの SIM 導入プロジェクトで発生し、一定期間が経過した後、SIM は最終的に非推奨になるか、キャンセルされることになります。#p#
セーフティ・カイゼン:継続的な品質向上のためのSIM
SIM をセキュリティプログラムへのフィードバックリンクとして見るのは、興味深い見方です。SIM は、リスクマネジメントプロセスの優れた好循環メカニズムであり、また、ポリシーが適切に機能しているかどうかを判断するために使用することもできます。
SIMを強力なフィードバックメカニズムに変えるには、セキュリティオペレーショ ンマネージャーは、SIMを継続的改善プログラムの一部にしなければなりません。安全の専門家が安全事象に目を向けるとき、その事象を越えて、方針、プロセス、または管理の根本的な問題を特定する可能性があります。日本の製造業では、継続的な品質改善のプロセスを「カイゼン」と呼びます。
最初のレベルの調査では、セキュリティ・インシデントが、ログ収集プロセスにおける漏れやエラーを浮き彫りにすることがあります。インシデントを検証している間に、セキュリティアナリストは、ログ情報の重要な部分が収集されていないことを発見するかもしれません。多くの場合、組織はこの発見に対して直ちに行動を起こさず、変更も行われません。その代わり、継続的な改善プロセスにおいて、セキュリティアナリストは、ログを収集に追加するための変更要求フォームを提出することができるようになります。
セキュリティ・インシデントをレビューする過程で、セキュリティ・アナリストが、アラートが生成されていない以前の重要なイベントを発見することがあります。この場合、SIM にアラートパターンを追加することで、プロセスを改善することができます。たとえば、あるアナリストが、異常な SQL クエリなどの不適切なデータベースアクセスパターンに関するアラートを受け取ったとします。インシデントを調査している間に、アナリストはこの特定のクエリが異常であるだけでなく、確立されたアドレスとユーザーとは異なるIPアドレスとデータベースユーザーから来ていることを発見します。しかし、SIM はこの奇妙なクエリに対してのみ警告を発し、実際には奇妙な接続元とログイン認証情報に対して警告を発することができました。このパターンを追加することで、アナリストは、将来 SIM がこのようなイベントに対してアラートを発するようになり、セキュリティチームが迅速に対応できるようになります。
しかし、最も基本的なレベルでは、SIMによって、テクノロジーだけでなく、ポリシーやプロセスを改善することができます。さまざまなログを収集したり、スキーマを変更したり、新しいスキーマを導入したりすれば、SIMを改善することができます。しかし、SIMを使用して、破損したプロセスや効果のないプロセス、誤用されたセキュリティポリシーを発見すれば、SIMだけでなく、組織全体のセキュリティを改善することができます。
ポリシーとプロセスを修正するために、セキュリティアナリストに必要なのは、変更要 求書だけではありません。継続的な改善のためには、インシデント発生後のレビューを実施し、プロセス改善のための明確な目標を設定する必要があります。従業員による意図しない単純なポリシー違反から壊滅的な混乱に至るまで、セキュリティ・インシデントを、既存のポリシーとプロセスを見直すための改善策としてとらえる必要があります。
セキュリティ情報管理ツールは、セキュリティ企業の重要な武器です。これらのツールは非常に多くの機能を備えているため、多くの企業は過剰な拡張を行い、あまりにも早く多くのことを行おうとしています。その結果、SIMの導入の多くが失敗しています。パフォーマンスの問題や、オペレータの過労、あるいはコストがかかりすぎて効果が上がらないことが原因です。このような結果を避けるためには、企業は小さく始めて、一つの目標に集中し、成功するまで徐々に規模を拡大するべきです。
