LogmanagerとFlowmonのシナジーを生む

オリゾンシステムズでは、多くのお客様にご活用いただいているFlowmonの、さらなるセキュリティーイベント監視の強化に向けて、Logmanager社SIEM(Security Information and Event Management)製品ならびにそのソリューション連携の国内展開を推進してまいります。 SIEMは、様々なITシステムが生成するログを収集し、監視・分析・対応する技術です。 Logmanager社製品はそのSIEM機能を実装し、他システムからの情報も踏まえ、NDR(Network Detection and Response)製品となる Flowmon のセキュリティーリスク検知機能を強化するものとなります。

参照:オリゾンシステムズよりLogmanager社への出資に関する アナウンス記事(Logmanager社サイト)


SIEMによるセキュリティーリスクの洗い出し

一般のオフィス環境では、個々の日常タスクに対して様々なIT機器が関わっています。たとえばユーザーによるメールの確認作業などでは、ノートPCなどのユーザー端末類や、それらをつなぐ社内ネットワーク、社内と社外の境界をつなぐFirewallなどのゲートウエイ製品、そして外部のメールサーバー含め、様々なシステムがそれぞれの処理を実行し、最終的に対象となるメールの内容を確認することができます。

それぞれのITシステムは一定の形式でその動作状況などをログとして記録し、またそのログ情報を外部に取り出す又は転送する機能を持っています。ここで生成される様々なログを統合し、その相関を見ることによって、個々のITシステムでは把握のできなかったセキュリティーリスクを洗い出すことが可能となります。SIEM製品では、ログの統合と保管そしてその解析を行い、複雑なセキュリティーリスクの洗い出しを行うことができます。

NDRの機能拡張としてのSIEM

FlowmonなどのNDR製品ではネットワーク上で検知可能な動きのみが解析対象となるため、事象によってはその正確な評価が難しくなる場合があります。 特に多くの通信が暗号化されている昨今のネットワーク通信では、やり取りされているデータそのものを解析対象とはできないため、事象の判定は限定的なものにならざるを得ません。 一方、SIEMでは他のITシステムからの情報も合わせ関係性を判断することで、より高い精度でセキュリティリスクを評価し、事象を適切に切り分けることができます。

NDR製品では、発信元・発信先のIPアドレス、使用されているプロトコルやポート、通信量や暗号属性などが解析対象となります。典型的な対象としては、マルウエアの通信先となるC&CサーバーのIPアドレスが例となります。ブラックリストとしてそれらのIPアドレス情報を保持し、発信元または発信先がそのIPアドレスと合致する場合、セキュリティーリスクが疑われるものとしてアラートが挙げられます。ただこのブラックリスト化されているIPアドレスも、マルウエア自身が通信先を変えるなど、刻々と変化しているため、そのリスク度合いもまた変化しており、それのみでのリスク判定ではセキュリティーリスクを正しく評価することは困難です。

Flowmonなどの一部の高機能NDR製品では、いわゆる振る舞い検知機能によって、個々の既知のマルウエアの感染パターンのネットワーク上の特徴を捉えることができます。これにより定型パターンとのマッチングを判断材料とする従来の解析では特定困難なセキュリティーリスクも、Flowmonでは検知することが可能となっています。一方、マルウエア感染の条件として、特定のOSやミドルウエアのバージョンや構成に依存する場合も多いため、それらの情報をNDR製品の情報と合わせて相関を見ることで、SIEMはより高い精度でセキュリティーリスクを洗い出すことができます。

ルール定義の柔軟性

SIEM製品では、収集された多様なITシステムのログの相関を自動分析するため、その分析定義を行う仕組みが機能性を評価する上で重要な要素の一つと言えます。 Logmanagerではルール定義をBlockly形式で行うことが可能です。 Blocklyは、Googleが提供するオープンソースの視覚的プログラミングツールで、プログラミングの知識がない初心者でも、色分けされたブロックをドラッグ&ドロップで組み合わせることで、直感的に処理定義を組み立てることが可能です。

個々のお客様の様々なIT環境を踏まえ、100を超える多様なベンダー製品のログの構造解析モジュール(パーサー)を備えており、またご要望に応じて新規パーサーの対応も逐次行われてゆきます。 パーサーにより解析されたログの各要素を参照し、プロトコル、ポート、閾値、条件評価などをブロック表現で組み立てることで、多様なセキュリティーリスクの洗い出しの自動化が実現できます。 各企業のIT機器の構成や運用を踏まえた定義が容易になるため、実効性の高いルール定義が可能となっています。


終わりに

今後SIEM製品の普及は加速度的に進むと予測されます。サイバー攻撃の高度化や巧妙化に伴い、企業や組織は単一のセキュリティー対策では防御が難しくなっています。特に、リモートワークの普及やクラウド環境の利用拡大により、セキュリティーの監視対象が複雑化しているため、統合的なセキュリティー監視の必要性が高まっています。

SIEM製品は「予防的な防御から、迅速な検出と対応」へとシフトする、ITセキュリティーの中核的な存在として位置付けられるでしょう。特に、これまで多種多様な機能を搭載した重厚なSIEM製品から、NDR製品を拡張する位置付けとなるLogmanager社の軽量SIEM製品が普及することで、大企業のみならず多くの企業で利用が進むものと期待されています。