セキュリティ・インテリジェンスとは

セキュリティ・インテリジェンスは、企業のITセキュリティに影響を与えるシステムやインフラに関する大量のデータをリアルタイムに収集・分析して可視化することにより、素早く効果的にセキュリティ対策をするという考え方です。情報セキュリティの脅威が年々増大する中、企業内でファイヤーウォールなどピンポイントでの機器の監視をするだけでは十分ではありません。さまざまなサーバやネットワーク機器のデータを収集・分析して、社内外の攻撃者の痕跡から即時に対策を打つことで、被害を最小限に抑えることが求められています。このようにセキュリティの分野もビッグデータの時代になっており、関連技術も進化してきています。

なぜ今、セキュリティ・インテリジェンスなのか？

セキュリティ・インテリジェンスを実現する代表的な技術として「セキュリティ情報イベント管理（SIEM: Security Information Event Management）」があります。 SIEMをコンセプトとした製品は数年前から存在したのですが、ビッグデータへの対応と分析技術の進化により、これまで以上に広範囲で多様なデータやイベントを扱えるようになっています。その結果、最近では脅威や不正をリアルタイムに把握し、対策を講じることができるようになりました（図１）。

図1.　セキュリティ・インテリジェンスを実現する環境の例

例えば、社員が社内のデータベースから重要な情報を抜き出し、不正に社外のSNSにデータを送信したというケースが発生したとします。最新のSIEMが導入されたセキュリティ・インテリジェンスの環境では、常に社内の各種システムのログやイベント情報が統合管理されており、問題が発生した時にはリアルタイムに分析することが可能です。たとえば、データベースのイベント情報と、ネットワークスイッチのデータの相関分析により、不正を行った者を突き止めることが可能になります。

ただ、このようなセキュリティ・インテリジェンスの環境を整備するには、ハードウェアやソフトウェアを導入して終わりということではありません。各社の環境に応じたルールや設定のカスタマイズが必要なため、日本でもいくつかのITベンダーがSIEMの運用サービスを開始しています。

セキュリティ・インテリジェンスの今後

SIEMをはじめとするセキュリティ・インテリジェンスのソリューションは、まだ大企業やセキュリティ対策を重要視する企業が導入を始めている段階です。年々複雑になっているIT環境において、ますます巧妙になっている攻撃に対処するために、今後は攻撃の兆候や感染等の二次的な挙動を相関分析するような機能も求められ、これに対応する技術や製品が出て来そうです。

今後もITの発展とともに、高度化する情報セキュリティの脅威と向き合っていく必要があると言えるでしょう。

2015年3月