多くの企業が頭を悩ます標的型攻撃への対策で、社内の機器のログを監視し、事前に必要な対応を取ることができるSIEMが注目されている。有効なSIEMソリューションを紹介する。
悪意ある人物が正規の社員証を入手、または正社員として雇用されて内部に潜入し、時機を見て機密情報を盗み出す。どれだけ会社の出入口に警備員とセキュリティゲートを配置してもこのような形の情報漏えいを防ぐのは難しい。最近の標的型攻撃を含む外部からのセキュリティ脅威は、そんな例え話がぴったりだ。
標的型攻撃では運良く持ち出しの形跡を発見しても、盗み出した人物や流出経路などが特定できなければ、犯人は潜伏したまま第2、第3の犯行を繰り返すことができる。2013年1月、サイバー攻撃で行政文書の流出が発覚した農林水産省では、調査の結果、2012年1月から4月にかけて不審な通信があったことが判明した。だが、十分な分析が行われずに放置され、第2のインシデント発生に至った。このような事例はどの企業でも起こり得る。
標的型攻撃の登場で、ネットワークの境界線やエンド端末に対策を施すだけのセキュリティソリューションの限界が見えてきた。これからはネットワークやシステム全体のログ情報を総合的に分析し、異常な通信を積極的に検知して対策する「SIEM」(Security Information and Event Management、セキュリティ情報イベント管理)の視点が必須だ。一見して運用管理が大変そうなSIEMだが、「初めてのSIEM」をしっかり支えてくれる製品がある。
提供:日本ヒューレット・パッカード株式会社
アイティメディア営業企画/制作:TechTarget編集部