特集・ブログ
前回の特集記事「2016年上半期セキュリティ・トレンドを振り返る」では、上半期のセキュリティ・トレンドを振り返りつつ今後の備えについて考えを巡らせてみましたね。今回はそのトレンドの1つ「SIEM」にフォーカスをあて、その実態に迫ってみましょう。 以前は愉快犯的なサイバー攻撃が中心でしたが、ここ数年で特定の標的に対する攻撃が目立ってきました。例えば、送りつけられるメールもいかにも送付先の業務に関係するようなものになり、リテラシーがあったとしても騙されてしまうことが多くなってきています。脅威を監視・検知するだけのセキュリティ対策では限界となってきており、脅威の侵入を前提としたセキュリティ対策が求められています。 そこで今回ご紹介する SIEM が必要となるのです。SIEM は国内でも導入が進んでおり、ご存じの方は多くいらっしゃるかと思いますが「今さら聞けない…」という方に向けに、基本の "き" を、関連記事を中心にご紹介します。 では、早速本題へ入っていきましょう。 目次 SIEMとは 投資が高まるSIEM SIEMが効果を発揮するのは? SIEMのポイント まとめ 参考情報 お問い合わせ SIEMとは まず SIEM は「Security Information Event Management(セキュリティー情報の収集・分析 + イベント管理)」の略で、「シーム」と発音します。様々なネットワーク機器やサーバーからのセキュリティ情報を収集し、イベント管理と組み合わせ一元管理する仕組みです。不正を検知すると、相関関係を分析、アラートで通知し、そのレポートを作成する機能を提供します。 これまで、セキュリティに関するログは収集していたものの、セキュリティ・インシデント発生後にその原因や分析のために膨大なデータを人手で追うのはかなり大変な作業でした。SIEM は、これらの作業をリアルタイムかつ省力化できる仕組みです。 投資が高まるSIEM 標的型の脅威が増えるにつれ侵入を前提としたセキュリティ対策への注目が高まっています。 IT分野の調査・アドバイザリを行う Gartner社は、SIEM分野への投資を以下のように予想しています。 "企業は、セキュリティ情報とイベントの管理(SIEM)技術への投資によって、ハッカーによる容赦ない攻撃から身を守ろうとしている・・・。Gartner のアナリストらによると、この分野での投資は前年比15.8%増であり、他のセキュリティ分野よりも早い勢いで成長しているという。その一方、コンシューマー向けのセキュリティソフトウェアに対する投資は急激に落ち込んでおり、前年比5.9%減だった。"出展:『セキュリティソフトへの関心は「防御」から「早期検知と対応」へ』ZDNet、2016年07月27日 標的型脅威やハッカーによる攻撃に対し、前年比約16%増で SIEM に投資するとしています。コンシューマー向けのセキュリティソフトへの投資の急激な落ち込みも気になるところですが、より突破されることを前提としたリアルタイムでの分析、脅威検知に注目が集まっている証拠とも言えるのではないでしょうか。 アイ・ティ・アール社は『国内SIEM市場規模推移および予測』で、以下のグラフのように日本国内の SIEM市場について、2016年度は約15%増を、2015~2020年度は13%の伸びを予測しています。 SIEMが効果を発揮するのは? 大手旅行代理店が793万人分もの個人情報を流出させてしまった事案は記憶に新しいのではないでしょうか。"取引先を装ったメール" はセキュリティをかいくぐり、内部に侵入したようです。 侵入を前提に対策が可能な SIEM が効果を発揮する可能性のある例としてあげておきます。(JTB が確認した事実と対応) 3月15日に取引先を装ったメールの添付ファイルを開いたことで i.JTB のクライアントPC が感染。この段階では感染に気付いていなかった 3月19~24日に i.JTB内に本来個人情報をを保有していないサーバに内部から外部への不審な通信を複数確認。 出展:『JTB、793万人分の個人情報流出か--外部への通信で不正アクセスと判明』2016年06月14日、JDNet Japan 親会社までの伝達のスピードにも問題があったかも知れませんが、SIEM が上手く機能していれば早い段階での原因究明、対策、発表ができていたのでは?と考えさせられる事案です。 SIEMのポイント 侵入されることを前提にした対策 前項の大手広告代理店では、疑似的に月2回もの定期的な攻撃メールを送信する訓練を実施していたとの話もあります。その例からもわかるように、サイバー攻撃は常に高度化かつ多様化しており、監視・検知するだけのセキュリティ対策では限界があります。 侵入されることを前提に対策を講じることで、監視や検知をかいくぐる最新の脅威への対応が可能となります。その「侵入されることを前提にした対策」が SIEM なのです。 ポイント1 さまざまなログやイベント情報の統合管理 ログの相関分析によるインシデントの早期発見、未然の防止 検知結果からの怪しい箇所の特定、脅威への対策の判断の早期化 情報の組み合わせ "単一の情報からピンポイントで脅威を見つけ出すのではなく、複数の情報を組み合わせることで、時間経過とともに拡散していくリスク全体を把握することが可能となる。"出展:『「SIEM」はどうすれば使いこなせるのか?』2016年05月19日、@IT 上記の言葉の通り、SIEM はそれ単体で何かを見つけ出すというものではなく、既存のファイアウォール、マルウェア対策、IDS/IPS、データベースなどの情報と組み合わせることで力を発揮します。 実際には、これらの情報を組み合わせ「相関分析」を使ってセキュリティの脅威を検知します。「相関分析」とは、あるイベントが1つだけなら正当と考えられる場合でも他のイベントと組み合わせて分析すると、何かしらのセキュリティ・インシデントになるようなものを発見することを言います。 例えば、管理者権限で特定のサーバーにログインすること自体は問題ではありませんが、管理者が退室後にログインしていれば何らかの問題があると考えられます。これらは入退室管理システムのログと特定サーバーのログとを照らし合わせて初めて検知できる問題です。 人手だけでこれをリアルタイムに監視することは不可能なため、SIEM を利用することにより脅威を検知することができます。 ポイント2 SIEM単体では効果を発揮できない 既存の他のセキュリティ製品との組み合わせで力を発揮する 複数の情報を組み合わせることで、時間の経過とともに拡大するリスク全体を把握可能 まとめ 大手旅行代理店の例では起点となったメールを開いた社員に対する非難は聞こえてきません。それは、「月に2回突破テストを実施していた中発生した事案であり、メールを受け取り添付ファイルを開いてしまったことまで完全に防ぐことができない」との考えの表れでもあるのではないかと思います。 SIEM を導入する目的は、あくまでも侵入を前提としたセキュリティ運用にかかる労力を削減することです。完全に防ぐことはできませんが、SIEM の導入により、侵入を前提とした対策が可能です。インシデントを未然に防ぎ、攻撃の種類や発生源、影響といった情報をリアルタイムで確認し、影響範囲の特定や被害を拡大させないための措置を速やかに講じることができるのです。 次世代SIEM 「IBM Security QRadar」 IBM の次世代SIEM である Security QRadar は、高度なインテリジェンスと豊富な解析ルールなどにより運用にかかる労力を削減し、実装にかかる時間の短期化を実現します。一般的なログ・マネージャーや SIEM製品の機能に加え、ネットワークの振る舞い監視やフォレンジック、挙動分析機能を有する、セキュリティ・インテリジェンス製品です。 セキュリティ・インテリジェンス イベントログやセキュリティ・ログに加えネットワーク・トラフィック情報をリアルタイム収集し、自動的に正規化、知見を活かした提供ルールに基づいて分析する機能 フォレンジック コンピュータやネットワークシステムなどのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集める機能 これまでのSIEMと違うIBM Security Qradarの特長 セキュリティ・イベントやネットワークのトラフィックのフロー情報を解析、自動的に正規化、分析 複数のイベントの組み合わせで危険度を「マグニチュード」として単一の指標で数値化し総合的に判断 ノウハウの詰まった多くの解析ルールをテンプレートとしてあらかじめ提供し、独自解析ルール作成の手間を削減 大量のログデータを瞬時に意味づけし、データを正規化、横断的な自動解析を実現 今回は、SIEM の導入や運用にかかわる労力を高度なインテリジェンスとノウハウの提供によって実現する IBM Security Qradar をご紹介しました。ご参考になれば幸いです。 次回は「モバイル・セキュリティ」についての特集を予定しています。 参考情報 NI+C Pサイト情報 IBM Security QRadar ご紹介資料&構成例 IBM Security QRadar 製品情報 IBMサイト情報 IBM Security QRadar お問い合わせ この記事に関するお問い合せは以下のボタンよりお願いいたします。問い合わせる .highlighter { background: linear-gradient(transparent 50%, #ffff52 90% 90%, transparent 90%); } .anchor{ display: block; margin-top:-20px; padding-top:40px; } .btn_A{ height:30px; } .btn_A a{ display:block; width:100%; height:100%; text-decoration: none; background:#eb6100; text-align:center; border:1px solid #FFFFFF; color:#FFFFFF; font-size:16px; border-radius:50px; -webkit-border-radius:50px; -moz-border-radius:50px; box-shadow:0px 0px 0px 4px #eb6100; transition: all 0.5s ease; } .btn_A a:hover{ background:#f56500; color:#999999; margin-left:0px; margin-top:0px; box-shadow:0px 0px 0px 4px #f56500; } .bigger { font-size: larger; }
2016年度も半ばとなりました。これまでのセキュリティ・トレンドや事件を振り返りつつ、後半以降への備えについて考えていきたいと思います。 (さらに…)
IBM Watson(ワトソン)が人間の真のパートナーとなる日 「この事案を早く進めたいだけど判断材料が足りなくて後手後手に」・・・・皆さんはそんな経験ありませんか? 限界ある記憶力と時間の中で、私たちに適切な判断材料や新鮮なアイデアを与えてくれるシステムが欲しい、スピーディに適切な判断ができたら毎日楽しく過ごせるのだろうな、と思うことはよくありますよね。 人間は知識と経験に基づいてあらゆる可能性を考え出し、行動に移すことができます。ただ、知識や経験の蓄積には限界があります。 一方、コンピューターは、莫大なデータを蓄積することができますが、人間の右脳のような働きは苦手とされてきました。 しかし、もうそれは過去の話。IBMが打ち出した新しいコンピューター・システムの概念「コグニティブ・コンピューティング」は、人間のようなコンピューターなのです。 コグニティブ(Cognitive)は英単語では「経験的知識に基づく」という意味ですが、 このコグニティブ・コンピューティングがどんな夢をかなえてくれるものなのか、3回に渡ってお話していきたいと思います。 コグニティブ・コンピューティングを知る近道として、IBM Watsonについてお話したいと思います。 IBM Watson(ワトソン)はどう答えてくれるのか? 米のクイズ番組「Jeopardy!(ジョパディ!)」でクイズ王たちを破ったIBM Watsonは単なる検索システムではありません。 たとえば、ある質問に対して、Watsonはこんな風に回答候補を出してきます。 候補1. 綾瀬はるか 70% 候補2. スカーレット・ヨハンソン 55% 候補3. タチアナ・マスラニー 30% (この質問文が何かは本文の最後に) 回答候補に、根拠に応じた確信度もスコアリングされています。 Jeopardy! では、Watsonは確信度が低い候補しか見つけられない場合には、自信のない回答者と同じように回答ボタンを押さずに静観するという振る舞いをするよう設計されていました。 さて、この確信度とはどのようなものなのでしょうか? Watsonは複数の回答候補を出しますが、それは検索結果ではなく、予測結果です。それぞれの予測結果の根拠を予測モデルに当てはめて、確信度としてスコアリングしているのです。単語のヒット数をベースにスコアリングするGoogleとはココが違います。 ここで、あれ?と思われた方も多いのではないでしょうか? 予測モデルを作成し確信度を導き出すシステムはWatson以外にもありますね。 そう、Analytics分野で広いシェアを持つSPSSという予測分析ソフトウェアを思い出した方もいらしたかもしれません。 SPSSは、統計アルゴリズムを使って、過去の購買データなどから商品Aを買った人はどういう人かを分析し、顧客層毎の商品Aの購買確率をはじき出すことができるソフトウェアです。 よく使われる、ある顧客層にどういう商品カテゴリーが、来月どれ位の確率で売れるか、という問いかけに、複数の商品の回答候補と購買確率という確信度を提示する、という点でWatsonと似ているようにも思えます。 では、Watsonは何が違うのでしょうか。 なぜコグニティブか? 1.扱うデータが違う SPSSは購買情報や商品マスタといった数値データを扱いますが、Watsonはテキストデータを扱えます。みなさんが想像できるように、数値に比べてテキストデータは、単純な集計を行うだけでも遥かに扱いにくく、まして、それをベースとした予測などは難しいと思われてきました。 例えばある企業のコールセンターで使われる膨大なFAQデータがあります。このFAQを見ながら問合せに応えるオペレータの効率化をWatsonで実現する例を考えてみましょう。 つまり、お客様の質問に対して、どの回答候補の確信度が一番高いかを導き出すという仕組みです。 これらはテキストデータをベースにするため、多くの技術を必要とします。構文解析、意味解析、文脈解析といった自然言語処理でFAQの中身を理解・整理し、問い合わせに対する回答を学習しモデル化するという多くのテクノロジーを必要とします。ここが、数値データを扱うより遥かに複雑で難しいのです。 2.言葉で対話ができる さて、人間は当たり前ですが言葉を話します。数値データを扱う代表的な言語はSQLですが、“select”や”insert”のように似せてはいるものの自然な言語ではありません。 一方、前述のコールセンターFAQは質問も回答も言語そのものであり、その言語を読み解くために複雑なテクノロジーの多くが費やされています。つまり、質問も回答も全て自然言語で出来る、だからコグニティブなのです。 そして、これを実現するWatsonの素晴らしいテクノロジーの一つに、IBMが永年研究してきたDeepQAという存在があります。 DeepQAはWatsonのコアテクノロジーである質疑応答の仕組みで、大きく2つの機能で成り立っています。(図1:DeepQAの概要) まず、質問文のニュアンスや文脈を解析し、解答予測のための仮説が生成され、回答候補を列挙します。 質問文のバリエーションは無限にありますし、仮説を探すための情報源も膨大な量です。また、ここで候補を見落としてしまっては取り返しがつかないので、数百以上にも及ぶ候補が列挙されます。 次に、それらの候補からより正しい答えを選択するため、根拠探しと根拠に応じた確信度のスコアリングをしていきます。 確信度のスコアリングでは、機械学習によって予測精度を向上させています。 機械学習は、数値データを扱う前述のSPSSなどでも使われている手法ですが、人間だとトライ&エラーで導き出さざるを得ない回答予測のアルゴリズムを、過去のやりとりをベースにコンピューターを使って学習させ、そこから最適な回答を導き出し、さらに学習を続ける、ということをさせています。 図1 DeepQAの概要(出典IBM) IBM Watson(ワトソン)の導入って大変? DeepQAが、素晴らしいテクノロジーであることをご理解いただけたと同時に、Watsonを活用したビジネスを考える上で、学習データや統計モデルの設計・作成・メインテナンスが必要であることもご理解いただけたと思います。Watsonとて知らないことには答えられないのです。 汎用的かつニーズが高いものは、Watson for Oncology(がん診断支援)のように、IBMからユースケースが提供されていくでしょう。 ただ、地域特性を持った旅行業向けWatsonやある企業の業務向けWatsonなど、個々の特化型ビジネスでのWatson活用を考えると、ソリューションやサービス毎に最適化された学習データや統計モデルを作る必要があるわけです。 そこで、このDeepQAテクノロジーをもう少し簡単に実現できるソリューションとして、IBM Watson Explorer(WEX)というWatson製品をお勧めします。 Watson Explorerはコンテンツ分析ソフトウェアで、数値データだけでなくテキストデータも高速にテキストマイングが可能です。言語の意味を理解し、利用頻度の高い分析パターンや、実装を簡素化する様々なテンプレートが用意されており、視覚化による新たな知見を発見することができます。 三井住友海上火災では、このWEXを採用し、お客さまサービスの品質向上を実現しています。 お客さまが「なぜ(Why)」問い合わせされたのかを分析することで、今まで以上に効果的な傾向分析と確かな未来予測が可能となり、Webでの情報発信や要員の適正配置などにも活用しています。 このWEXについては次回詳しくご紹介したいと思います。 日本語の対応がスタート 先日、Watson日本語版APIの提供がいよいよスタートしました。 このAPIでは、DeepQAテクノロジーを活用した質疑応答ソリューションの1つ「文献などから正しい答えを探し出す」エンゲージメント機能が提供されますが、Watsonには創造的な発見を可能にしたり、判断を支援したりするソリューションも用意されています。Watson APIについは第三回でご紹介したいと思います。 おまけ 冒頭の回答候補の質問は、“遺伝子操作やクローンを題材にした作品がたくさんありますが、最近日本でドラマ化された海外作品にも出演している、カンヌ国際映画祭エントリー経験のある女優は誰か?” でした。 正解は1の、綾瀬はるかさんで、私がはまっているドラマ「私を離さないで」というイギリス作品に主演しています。ちなみに、クローン/海外作品/ドラマ/カンヌ という単語でGoogle検索すると、回答候補3のタチアナ・マスラニーさんが頻出でした。 はまっているといえば、いま一番欲しいWatson商品はこの“CogniToys”です(笑)
社内のファイルサーバ、どのように管理されていますか? 多くの利用者がアクセスするファイルサーバーには日々様々なファイルが蓄積され、適切なルール設定を施さなければファイル数は増加の一途を辿るばかり。 (さらに…)
