複数のセキュリティ製品が発する大量のアラートから、対処が必要なイベントを見つけるのに役立つ「SIEM」。だがログ管理と同じだとか、利用が困難だといった“誤解”が多いのも事実だ。その真偽を検証する。
米小売り大手Targetにおける大規模情報漏えい事件を覚えている方も多いだろう。2013年末に明るみに出たこの事件では、約4000万件のクレジットカード情報に加え、約7000万件という大量の個人情報が流出、一部が悪用された。過去最悪との声もあるこの事件で同社の信用は失墜し、CEOをはじめ複数の経営陣が辞任する事態にまで発展した。
この漏えい事件の原因の1つとして、セキュリティ機器が発したアラートの「見落とし」が挙げられている。多数の個人情報を扱うことから、Targetでも複数のセキュリティ機器を導入していた。事実、漏えいにつながったアクセスも検知し、アラートとして担当者に通知できていたという。しかし、多数のアラートの中から本当に重要なものを見つけ出し、対応するプロセスを整えていなかったことが、同社にとって致命傷となった。
Targetと同様、ほとんどの企業や組織も、ファイアウォールや不正侵入検知/防御システム(IDS/IPS)、あるいはサンドボックス型の標的型攻撃対策アプライアンスなど、さまざまなセキュリティ製品を導入していることだろう。だが利用するセキュリティ製品が多くなればなるほど、多数のアラートの中から緊急性の高いイベントを拾い出し、対応に結び付けるのは困難を極める。こうした状況に対処するための有力な手段が「SIEM(Security Information and Event Management)」だ。
セキュリティ分野に携わった経験の長い人ほど、SIEMといえば「ログを収集してまとめるだけの製品だろう」という印象を持っているかもしれない。他にも設定が大変だとか、明確な投資対効果が分かりにくいといった懸念を抱いている人も少なくないだろう。だがこれらは、過去の認識に基づいた誤解だ。知っているつもりにならないためにも、SIEMの現状をあらためて確認しておこう。
提供:日本ヒューレット・パッカード株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
