Comments
Description
Transcript
セキュリティ管理と「ビッグ・データ」への 本格的な対応
セキュリティ管理と「ビッグ・データ」への 本格的な対応 セキュリティ分析における「ビッグ・データ」ロードマップ 概要 本書では以下について述べています。 • IT 環境への脅威から、コンプライア ンス要件対応に至るまでの、セキュリ ティ管理を取り巻く環境の複雑化 • 「ごくわずかな有益な情報を探す」の ではなく、「情報の中で無益なものを 除去する」ことで、既に収集したデー タから有益な情報を得る方法 • ビッグ・データからビジネス上の価値 を得るために必要な、インフラストラ クチャ、分析ツール、脅威インテリ ジェンスの組み合わせ セキュリティ専門家にとって、刺激と重圧の両方に対処する時代が始まりました。 セキュリティの脅威は以前に増して活発化し、貪欲になっています。行政機関や業界 団体は、コンプライアンス規制をますます厳格化しています。そして大幅に複雑化す る IT 環境も手伝って、セキュリティ管理はさらに困難な作業になっています。これに 拍車をかけているのが「ビッグ・データ」技術です。セキュリティ専門家は、予測分 析などの高度な分析技術や高度な統計技術についても、もはや無縁ではいられないの です。 今日のセキュリティ・システムの状態からすると、多くの組織はセキュリティ管理の ための高度な技術をそう簡単には使用できません。セキュリティ専門家はすでに収 集・分析済みのデータから、より多くの価値を得る必要があります。また、現在直面 している問題とデータに関連して近い将来発生する問題の両方をよりよく理解する必 要もあります。データ管理と分析機能という基本的なセットから始めることで、組織 はセキュリティ管理の環境を効果的に構築し、ビッグ・データに関連する課題に直面 しても上手に拡張することができます。 その場しのぎのセキュリティでは、今日のセキュリティの状勢に 対応できない 「ビッグ・データ」を扱う場合、IT とビジネスに関連するデータ量と種類があまりに 膨大すぎるため、その場しのぎの方法で処理することはできません。また、収集した データに含まれる有益な情報を確保することがますます困難になっています。 情報セキュリティにかなりの投資をしているにもかかわらず、攻撃者に先を越されて いるようです。Verizon のデータ侵害調査レポート(2012 年)によると、侵害のう ち 91%が、「数日間」またはそれ以内でデータ侵害を達成している一方で、その 79% は、発覚するまでに「数週間」を要していることがわかりました。 これにはいくつかの要因があります。 • 組織的で、資金も豊富な攻撃者が増えています。攻撃はますます動的になってい るのに対し、防御は静的なままです。昨今見られる攻撃は、ユーザ中心の接続性 の高いインフラストラクチャの弱点を突くように設計されています。 • IT に対応した組織は複雑化の一途をたどっています。コラボレーション、コミュ ニケーション、イノベーションの新たな機会を多数創出するために、従来よりも はるかにオープンで機動性の高いシステムが要求されています。しかしこの傾向 が、サイバー犯罪者、「ハクティビスト」グループ、民族・国家のバックアップ を受けたグループの標的となる新たな脆弱性を生むことになりました。 • コンプライアンスは要件を満たすのがさらに困難になっています。規制団体や立 法機関は、規制をますます厳格化しているからです。複数の業種や海外事業を展 開している企業は、既存の規制や必要な規制への準拠、規制の正しい管理方法を 把握することがますます難しくなっています。 IT 環境におけるこれらの要因の複合的な効果により、セキュリティ管理がますます複 雑化し、相互依存性が大幅に高まり、責任範囲が拡大してしまっています。今後デジ タル化されるビジネス・プロセスがさらに増えると、セキュリティ・チームが収集、 管理しなければならないデータ量が増え、その機会と課題の両方に直面します。ログ 管理、脆弱性管理、アイデンティティ管理、構成管理のためのツールに、より多くの 投資が行われるようになっていますが侵害は発生し続け、被害はますます深刻で高額 になってきています。 セキュリティ管理におけるビッグ・データの 3 つの基本的概念 セキュリティ管理における真の「ビッグ・データ」戦略は、インフラストラクチャ、 分析ツール、インテリジェンスという 3 つの側面すべてに対応し、直面している問題 に適切に対処する必要があります。 セキュリティ管理とビッグ・データ 分析および可視化 脅威インテリジェンス スケール・アウト型 インフラストラクチャ 図 1. セキュリティ管理におけるビッグ・データの柱 収集したデータから価値のあるものだけを抽出し、脅威管理活動を効率よく行い、 コンプライアンス活動を活用して意思決定を推進するためには、セキュリティ・チー ムはセキュリティ管理に「ビッグ・データ」アプローチを導入する必要があります。 つまり、以下を意味しています。 • 変化する IT 環境と脅威の進化に対応できる「スケール・アウト」型の機動的な インフラストラクチャ。セキュリティ管理は、新しいアプリケーションから、 モバイル、仮想化、クラウド・コンピューティング、アウトソーシングといった 新たなデリバリー・モデルに至るまで、IT に影響を及ぼす新たなビジネス・イニ シアチブをサポートする必要があります。セキュリティ管理インストラクチャは エンタープライズ規模でセキュリティ・データを収集および管理し、エンタープ ライズが求めている規模まで拡大すると同時に、物理的および経済的な要件を満 たせなければなりません。この種のデータを一元化することは現実的に不可能な ため、単なる「スケール・アップ」ではなく「スケール・アウト」を意味してい ます。また、インフラストラクチャは新しい環境に合わせて簡単に拡張でき、進 化する脅威の分析に容易に対応できなければなりません。 • セキュリティ・アナリストの専門性をサポートする分析機能と可視化ツール。 セキュリティ専門家は自分の作業をサポートしてくれる専門的な分析ツールを必 要としています。あるアナリストは基本的なイベントの特定と詳細な補足情報を 提供できるツールを必要としているかも知れませんし、マネージャには主要な指 標の概要を表示したものやトレンド分析だけでよいかも知れません。マルウェ ア・アナリストには、マルウェア感染の疑いがあるファイルを再構築し、ファイ ルの自動テストを行えるツールが必要です。ネットワーク・フォレンジック・ア ナリストは、セッションについて、すべてのログとネットワーク情報を基に完全 に再構築し、何が発生したのかを正確に把握する必要があります。 • 収集した情報にデータ分析テクニックを適用するための脅威インテリジェンス。 組織は最新の外部脅威環境を確認して、組織内で収集した情報との相関関係を判 断する必要があります。この種の相関関係確立は、最新の脅威指標を明確に理解 し、該当する兆候を特定するためには不可欠な作業です。 「ビッグ・データ」は単なる「大量のデータ」ではありません。セキュリティの脅威 を早期に検出するには大規模なデータ収集と処理のためのインフラストラクチャと、 大量のインテリジェントな分析が必要です。 「ビッグ・データ」が効率と生産性の高いセキュリティを推進 「ビッグ・データ」に対応したセキュリティ管理を成功させるためは、分析のための 主要なデータを非常に高速に、そして効果的な方法で抽出し、提示できるシステムが 必要です。 面倒な人手による作業を排除 ビジネス・コンテキストを活用して、最大の問題にフォーカス 関連性の高いデータのみの提示 人間の知識を補強 「将来を見据える」 図 2. セキュリティ管理用ビッグ・データ・システムの要件 現在のセキュリティ組織は、敵の理解や意思決定に必要なデータの識別に加えて、 このようなアクティビティをサポートするモデルの構築と運用といった「ビッグ・デー タ」アプローチを実践する必要があります。ここでの「ビッグ・データ」とは、時間 のかかる高度なデータ・サイエンス・プロジェクトに突入することでははく、有益な 分析のための基礎作りに限定しています。セキュリティ組織にとっての「ビッグ・デー タ」システムの成功には、以下が必要です。 • 日常的な対応や分析作業において、手間のかかる人手によるタスクを無くします。 システムは問題の調査に必要な、たとえば複数のコンソールを行き来しながら、 同時に 5 つのツールを使用して同じ内容の検索を行うといった、手動での反復作 業の数を減らす必要があります。この種のタスクはすぐに全部を無くすことはで きませんが、システムは 1 つのインシデントに必要な手順数を、継続的に削減し なければなりません。 • ビジネス・コンテキストを活用して、最もインパクトの大きな問題にアナリスト が専念できるようにします。セキュリティ・チームは監視・管理するシステムを、 それらのシステムがサポートしている重要なアプリケーションやビジネス・プロ セスに関連付ける必要があります。そしてこれらのシステムとサービス・プロバ イダなどのサード・パーティとの依存性を理解し、脆弱性やコンプライアンスの 観点から環境の現状を理解する必要があります。 • 最も関連性の高いデータだけをアナリストに提示します。セキュリティ専門家は これを「該当する情報への絞り込み」と呼んでいます。実際に、問題は正誤だけ で判断できるものではなく、もっと奥が深いことが多いのです。システムは「ノ イズ」を除去し、アナリストが最もインパクトが大きい問題に専念できるように サポートする必要があります。システムは最も深刻な問題と思われるものを強調 し、その理由も提供することで、補足データも提供できなければなりません。 • 人間の知識を補強します。システムはアナリストが最も重要な項目の分析に時間 を費やせるようにサポートできます。そのために、例えば最も優先順位が高い問 題を識別するためのテクニックを組み込みます。あるいは、攻撃者のコミュニ ティで使用されている最新のツール、テクニックや手順を特定するためのテク ニックを活用している最新の脅威インテリジェンスを提供します。 • 「将来を見据えて」対処します。最新の脅威に対する防御は時間との戦いです。 システムは外部の脅威インテリジェンスを内部の状況認識と組み合わせて早期に 警告を発し、セキュリティ・チームが受け身の防御から能動的な防御や保護姿勢 に移行できるようにして、最終的には脅威予測が可能なモデルを確立する必要が あります。 セキュリティ分析:「ビッグ・データ」のための段階的なアプローチ 予測分析や統計的推定のような高度なテクニックは将来的には重要性が認められると 考えられますが、セキュリティ・チームはまず基本から着手し、段階的なアプローチ を採用することが重要です。 • 段階的に拡大できるセキュリティ・データを扱うインフラストラクチャを実装す ることから始めてください。これにはログ、ネットワーク・セッション、脆弱性、 設定、アイデンティティに関する詳細情報の収集だけでなく、システムの機能や 仕組みに関して人間が持っている知識も必要です。最初は小規模に始めますが、 変化する要件に合わせてスケーラビリティを確保できるように、堅牢で分散化さ れたアーキテクチャに基づくシステム作りが必要です。システムは法的な管轄を 含む論理的な信頼ドメインと、事業部門や異なるプロジェクトのデータをサポー トする必要があります。また、この種のデータを迅速に、そして簡単に操作、展 開できなければなりません(たとえば特定の IP アドレスのすべてのログ、ネット ワーク・セッション、スキャン結果や、本番用の財務システムへの通信内容の表 示など)。 • 基本的な分析ツールを導入して、手動での反復作業を自動化します。多くの場合、 短期的な目標は、情報の相関関係を視覚的に示し、1 つの画面にすべての情報を 集めるために手動で行わなければならない手順の数を減らすことです(たとえば クレジット・カードのトランザクション処理に対応したシステムに関連するすべ てのログとネットワーク・セッション、そして企業内の別な場所から見ると攻撃 されやすい脆弱性があるように見えるシステムのログとネットワーク・セッショ ンの表示)。 • 主要なセキュリティ機能に対応する可視化および出力機能を作成します。最も疑 わしいイベントだけを、詳細な補足情報と一緒に確認したいアナリストもいます。 マルウェア・アナリストはマルウェアに感染した疑いのあるファイルを優先順位 ごとに並べたリストに、感染が疑われる理由を挙げたものを必要とするでしょう。 ネットワーク・フォレンジック・アナリストは、複雑なクエリの詳細な結果が 必要です。あるいは定期的なコンプライアンス・レポート、システム内のトレン ドや改善点を調べるための一般的なレポートが必要な人もいます。システムを別 なシステムに開放して、別なシステムがデータにアクセスして、攻撃者に対する 検疫を実施したり、攻撃者の動きに関する監視をレベルアップできるようにする 必要もあります。 アーキテクチャの実装と拡張 基本的な分析ツールの導入 可視化と出力のための機能の作成 高度なテクニックの導入 評価と改善点の特定 図 3. セキュリティ管理におけるビッグ・データ実装手順 • 別な情報分析テクニックを追加します。この時点に来て初めて、このような役割 を担っているデータに高度な分析機能を適用できます。この種の分析機能では分 析テクニックをいくつか組み合わせる場合があります。例えば、定義済みのルー ルで不正と思われる動作/既知の良好な動作を識別します。さらにベイズの推定 や予測モデリングのような高度な統計テクニックに基づく、より高度な動作 プ ロファイリングとベースライン設定テクニックも導入できます。このような複数 の分析テクニックを併用して「インフルエンス・モデル」を作成できます。イン フルエンス・モデルは各種指標を組み合わせてシステムが識別した問題を「格付 け」し、最も緊急性が高い問題にアナリストの関心を向けます。 • モデルを継続的に改善します。稼働開始後は、変化する脅威ベクトルや組織の変 更に合わせてシステムを継続的に微調整する必要があります。システムは、ルー ルの微調整、モデルの調整でノイズを無くし、組織内外から追加のデータを入手 し、自己学習機能を導入してシステムの全体的な性能を高めることが必要です。 システムは、新しい IT サービスやアプリケーションのオンライン化に対応して進化、 拡張し、常に進化と改善のサイクルを実践できるべきです。そして各ポイントで、外 部情報をモデルへのインプットとして活用できなければなりません。 したがってシステムには、脅威インテリジェンスの情報源からの外部フィードを自動 的に取り込む手段が必要です。これにはブラックリスト、ルール、クエリを含む構造 化された情報、pastebins、Twitter フィードや IRC チャットを含む構造化されてい ない情報、社内のメッセージ・ボードや社内での電話や会議でのメモ情報が含まれま す。システムは共有している知識を基に、コラボレーションを促進する機能も備わっ ている必要があります。システムはクエリ結果や構造化されていない情報の一般向け の共有、または特定のトピックで集まった信頼関係に基づくコミュニティだけ、ある いは「知る必要がある」場合のみといった限定的な共有が可能でなければなりません。 基礎的なインフラストラクチャで、高度なテクニックに向けた 準備を行う セキュリティ・チームは、最初にスケーラブルなアーキテクチャを作成し、価値の無 いデータを削除するツールを導入することで、セキュリティ分野への「ビッグ・デー タ」実装の成功率を大幅に向上できます。これにより「すぐに効果が表れ」、強力な プラットフォームが作成できます。また、スタッフはもっと複雑な分析ツールの導入 や管理に専念できるようになります。これを正しく実践すると、以下が実現します。 • セキュリティ・アナリストの効率が向上します。アナリストが「1 回のシフトで 処理できる問題」の数が、それまでの数件から 10 件以上に増えます。 • 攻撃者に余裕を与えないため、脅威がビジネスに及ぼす影響を軽減できます。 問題を発生する可能性が高い問題をアナリストに自動的に提示し、ビジネスに悪 影響を及ぼす前に解決できるようにします。 このような基盤または明確で具体的な目標がなければ、ビッグ・データ・イニチアチ ブはすぐ失敗してしまい、期待した効果は得られません。 RSA SECURITY MANAGEMENT:インフラストラクチャ、 分析およびインテリジェンスのための強固な基盤 包括的な可視性 「環境内で発生している すべての事象を分析」 機動的な分析 「潜在的な脅威を 効率よく分析、調査できる」 対応すべきアクションを示 最適化された すインテリジェンス インシデント管理 「標的、脅威、インシデント 「インシデントの の識別をサポート」 管理が可能」 RSA Security Management ポートフォリオは、下記をお客様にご提供します。 • インフラストラクチャに対する包括的な可視性。RSA は各種のデータ・ソースか ら、様々な規模と形式のあらゆる種類のセキュリティ・データを収集する機能を 備えた、実績のあるインフラストラクチャを提供しています。これにより、アナ リストは高度な脅威に関するデータと、ネットワークや主要なシステムから直接 収集したデータに基づくユーザ・アクティビティを、一か所に表示できます。 RSA のインフラストラクチャは、リアルタイムの分析情報と、検索した履歴も一 緒に表示するアーキテクチャも備えています。これにより、リアルタイム・アラー ト、調査のための分析、測定データ、トレンド分析、履歴保存とアーカイブを包 括的に処理できます。 • 機動的な分析。RSA プラットフォームはアナリストが迅速に調査できるような ツールを提供します。たとえば、すぐに分析が必要な場合に調査用に提供される 使いやすいツール、詳細なドリル・ダウン、ビジネス・コンテキストの追加によ る意思決定プロセスの向上などが挙げられます。RSA のアプローチでは、インフ ラストラクチャに接続しているユーザやエンドポイントのうち、最も疑わしいも のを集中的に精査できます。またシグネチャ不要の分析で悪意のある動作の兆候 を突き止めることができます。完全なセッションの入れ替えによって、発生経緯 を正確に再現し、再生できます。 • 対応すべきアクションを示すインテリジェンス。RSA が提供する脅威インテリ ジェンスにより、セキュリティ・アナリストは最新の脅威インテリジェンスの フィードを取り込み、RSA 製品を最大限活用することができます。RSA の脅威研 究チームはセキュリティ専門家コミュニティから得た独自の情報を提供します。 この情報はルール、レポート、解析機能、ウォッチリストによってツールに自動 的に組み込まれます。これによりアナリストはエンタープライズから収集した データを基に、脅威に関する見識を得られます。そして関連するシステムとそれ がサポートしているビジネス機能の関係を示す情報をエンタープライズ・レベル で入手し、対応策の優先順位を決定できます。 • 最適化されたインシデント管理。対応プロセスの定義と始動のためのワークフ ロー・システム、現在未解決の問題やトレンド、過去の経験を追跡するためのツー ルを提供することで、セキュリティ・チームは RSA 製品により準備態勢や対処に 関連する一連の各種作業の無駄を省くことができます。業界をリードするプラッ トフォームにより、インシデントに対する備え、検出、応答をサポートします。 プラットフォームを RSA 製品ポートフォリオおよびサード・パーティ・ツールと インテグレーションして、インシデントの特定と処理に必要な各種ツールと情報 交換し、コンプライアンス管理を合理化します。 EMC ジャパン株式会社 RSA 事業本部 RSA、RSA ロゴ、Archer、EMC2、EMC は、米国およびその他の国における EMC Corporation の登録商 TEL 03-5222-5230 標または商標です。他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商 [email protected] 標です。©2010-2011 EMC Corporation. http://japan.rsa.com HSMCBD0812- J