ひと通りのセキュリティ対策を実施していても“有事”は起こり得る。いざ問題が起きたときに必要なのが状況を説明できる体制だ。そのためには、“平時”からログ管理に取り組む必要がある
ファイアウォールに侵入検知システム/侵入防止システム(IDS/IPS)、アンチウイルスソフトウェアと、多種多様なソリューションを導入して、ひと通りの“正面装備”でセキュリティ対策を講じている企業は多い。にもかかわらず、標的型攻撃やランサムウェア(身代金要求型不正プログラム)など、ビジネスに影響を及ぼす恐れのある新しい脅威が次々に登場している。しかも、新しい脅威が登場するサイクルが短くなるなど、サイバー脅威は深刻化する一方だ。こうなると、防御側がついていくのが困難になってくる。
このギャップを埋めるアプローチとして、正面装備だけでなく「侵入は起こり得る」という前提で脅威の迅速な検知と対応が可能な体制を整える動きが広まり始めている。この対策で重要な要素の1つが「ログ」だ。いつ、どのIPアドレスの端末が、外部のどのサーバと通信を行ったかを把握することで、侵入口となった端末がどれで、どのような被害を受けたのかを解明していく手掛かりとなる。
ただ、ログを保存していても、セキュリティインシデントへの対応に「本当に必要なログ」をすぐ照合できるように管理できているかというと、なかなか難しいのが実情だ。しかし、この問題を放置していると、企業価値を大きく損なうことになる。その有効な対策について考えてみる。
提供:株式会社シマンテック
アイティメディア営業企画/制作:TechTargetジャパン編集部