――先ほど多層防御というお話がありましたが、たとえばTargetの場合は、怪しいファイルを仮想マシン上で実際に稼働させてマルウェアかどうかを判定するサンドボックス製品を導入していて、攻撃のアラートも上がっていたといいます。しかし、アラートがあまりにも多くて実際には無視してしまった。
今後、多層防御が一般的になると、いろいろなポイントからアラートが上がり、脅威の度合いを正しく判断するためにの手段としてSIEM(セキュリティ情報イベント管理システム)、侵入をリアルタイムに検知する仕組み、予見型のシステムなどの選択肢がありますが、このジャンルの製品やサービスについて、意見をください。
外村氏 すでにそういう世界に入っていると思っています。先ほど私はセンサという言葉を使いましたが、エンドポイントもある意味センサで、サンドボックスも非常に高機能なセンサといえます。ただ、そのセンサが教えてくれるのはある意味、機械語なのです。そのため、ほとんどのログは流れていくだけになります。
また、システムのある1点だけで発生するログだけでは判断できないこともあります。複数のログを相関的に分析して初めて、システム全体で何が起きているのかを把握でき、それに対する運用も検討できます。相関的な分析ができるような仕組みが必要です。逆に言うと、相関分析できる仕組みを作るためには、今まで投資してきたセンサも必要になるわけです。
現在の問題は、バラバラなセンサだけがある状況で、センサは何かに反応している。でも人はそれが何を意味するかわからないわけです。そこを解決すれば、全体が見えてくるのではないでしょうか。
村田氏 いわゆる管理者権限のある人による不正やヒューマンエラーといった異常が起きる前には、必ず予兆があります。その予兆をどう捉えるかという話しで、SIEMには単にログを集めて相関分析をする以外にも有効な面があります。
それは、イベントをエスカレーションしていくことで、リスクの高いユーザーを自動的に発見していくことです。どういうことかというと、SIEMを導入すると、ある企業では1日に何十億件というアラートが生まれることもあります。もちろん、そのすべてには対応できないのですが、低レベルの違反もひっかかってアラートしてしまうということです。違反についてルールを書いていくと、アラートがが積み重なったときに「どうもこの人は怪しい」というユーザーが特定できます。そこで重点監視リストのようなものを作って、怪しいユーザーを入れていくわけです。
そうすると、重点監視リストに入っているユーザーが危ないことをするたびにスコアが上がっていきます。そして、最終的に重大かつ確度が高いリスクをしているユーザーが挙がってきます。その時点で、そのユーザーが最後の一手をする前に、捕まえることができます。ポイントでネットワークをみているだけでは、そのポイントで起きていることしかわからない。ただ、そのデータをSIEMに入れて、予兆を見ていくためのロジックを組むということが非常に有効だと思います。
また、SOC(セキュリティ監視センター)を入れる場合は必ずビジネスリスク評価のヒートマップを作って、そこからユースケースみたいなものを作っていきます。SOCやSIEMを入れることは、それがきちんとできていることが前提になります。逆に言えば、ポイントでしか製品やサービスを持っていない会社の製品を使うことが有効です。
外村氏 SIEMの難しさは、言ってしまえばしょせんエンジンでしかないということです。ですから本当にそれを使い回せる人がいない限り、活用できません。また、使い回すにはそこに特化した体制やシステムが必要ですし、しかもセキュリティ関連のビッグデータをつき合わせないと解決できません。クラウドで大きなデータとつなぎ合わせて、そこを含めた相関分析が必要でしょう。それが、システムがどんどん大きくなっている理由でもあると思います。