サイバー攻撃が巧妙化し企業のセキュリティ担当者の負荷が高まるなか、セキュリティ対策の強化の次のステップとして、セキュリティ情報をいかに可視化(ビジュアル化)して、セキュリティ対策の運用・管理がしやすい環境を準備するかが重要となってきている。今回はウォッチガード・テクノロジー・ジャパン(ウォッチガード)の製品を例に、可視化ツールを選択する際の注意点や導入の際のポイントを整理する。
■今さら聞けない「セキュリティ情報の可視化と監視」
【第1回】セキュリティ情報の可視化と監視の必要性および基礎知識
セキュリティ可視化ツールに求められる要件とは
まずは、セキュリティ情報の可視化ツールをどのような視点で選択していけばいいのかを整理していこう。
前回も触れたように、セキュリティ管理の負担が膨らんでいる背景にあるのはログの増大だ。単にログの量が増えているだけでなく、ファイアウォール、IDS/IPS、Webフィルタリング、アプリケーション制御、サンドボックスといった機能ごとのさまざまなセキュリティログが分散して保存されているため、担当者はそれぞれのアラート情報を総合的に分析して実際の状況や必要なアクションを判断する必要がある。製品や機能が増えればセキュリティ強度は高くなる反面、どのイベント情報がセキュリティインシデントの兆候となっているかを判断するかは非常に難しくなる。このような分析作業はセキュリティの専門家でない限り不可能とも言えるだろう。更にはアラートへの対応や実際に事故が起こったときの対策も必要だ。
こうした現状から、可視化ツールに求められる要件としてはまず、シンプルで使いやすいことが挙げられる。ログの収集や統合といった作業だけにとどまらず、データやアプリケーションの利用状況といったインシデントの詳細を把握するための関連情報を利用者(IPアドレス)や時間帯毎に捉えることで、ランキング表示やグラフ化、さらにはそれぞれのログの相関を見ながらの脅威への対処が容易になることが望ましい。
2つめの要件は、全体のコストを抑えられることだ。セキュリティ製品の機能が増えれば、当然それらを導入するコストや管理するためのリソースも必要となる。SIEM(Security information and event management)システムのようにリアルタイムに脅威を検知して対処できるような製品はセキュリティの管理には理想的ではあるが、高額な導入費用が障壁になりやすいだろう。またUTMベンダーの提供する製品を利用する場合には、可視化機能を利用するために追加ライセンスや専用アプライアンス等が必要になるケースもある。トータルのコストを抑えながら、いかに楽に運用ができるように環境を整備するかが肝となるのである。
3つめの要件としては、利用するシーンに応じた運用が可能なことだ。利用者、脅威の種類、業務への影響度などさまざまな角度で脅威を分析し対処できるようにする。たとえば経営者が社内にどんな脅威があるのか全体像を把握したり、セキュリティ担当者がどんなマルウェアにいつ感染したかを把握しすぐに対処できるようにする必要がある。
こうした「シンプルで使いやすい」「導入、運用コストを抑えられる」「利用シーンに応じた運用ができる」といった要件を満たす製品のひとつがウォッチガードの提供する「WatchGuard Dimension」だ。
「WatchGuard Dimension」はセキュリティ情報をどう可視化するのか
ウォッチガード・テクノロジー・ジャパンのマーケティング部 部長 堀江徹氏は、可視化ツールの動向についてこう話す。
「中堅企業にとって、使いやすく低コストでセキュリティ対策を効果的に運用するためのツールが不足していると感じています。特にセキュリティ対策への予算に限りがあり、専任のセキュリティ担当者の設置が困難な企業においても可視化やレポート作成のニーズは高いですが、それらのニーズに完全にこたえられる製品は多くありません。そのような状況の中『WatchGuard Dimension』は最適化された仮想アプライアンスとして簡単に導入でき、グラフィカルなGUIによる誰にでも使いやすいツールとして、グローバルのウォッチガード製品のお客様から、好評を得ています」(堀江氏)
WatchGuard Dimensionは、ウォッチガードの統合セキュリテイアプライアンス(Firebox)のユーザに提供される無償ツールだ。ライセンスを追加購入することなくすぐに利用でき、Fireboxから出力される複数のセキュリティ機能のログ情報を元にネットワークやセキュリティ情報の相関分析や監視が可能。さまざまなログを誰にでもわかりやすく視覚化できることが大きな特徴である。
ひとつの例として、WatchGuard Dimensionが提供している経営者向けの「エグセグティブダッシュボード」の画面を見てみよう。
画面には「上位クライアント」「上位ドメイン」「上位送信先」といった種別ごとにランキング表示されている。
上位クライアントというのはデータの送受信が多いユーザーのランキングだ。誰がどのくらいネットワークを消費しているかを登録ユーザー名やメールアドレスで一覧することができる。この例では上位2つはアクセスポイントで、それに次いで「guest-grwug」「Hannah@example.com」というユーザーが多いことがわかる。
次に上位ドメインを見てみる。上位ドメインは、アクセス先のドメインのランキングだ。ここでは「box.com」「office365.com」といったファイル共有サービスなどの文字が見つかる。もしここで会社が正規に認めていないファイル共有サービスなどがランキングされていたら、会社の許可なくそうした外部サービスを利用しているということになる。
さらに上位送信先を見てみる。上位送信先はデータをどのドメイン/IPに送信しているかをランキングしたものだ。会社が認めていないファイル共有サービスであれば、ここでどのくらいの量のデータが送信されたかなどがわかる。そのため勤務時間内に動画サイトなどを見ているユーザーがいれば、アクセス先やデータ量とともにたちどころにわかってしまうことになる。
通常こうしたダッシュボードを作成するには、ファイアウォールやProxyソフト、Webフィルタリングツールなどのそれぞれでログを取得し、それらを連携のうえ表示させる必要がある。一方WatchGuard Dimensionは、こうした詳細な情報を簡単に把握することができる。
30分で運用開始、その日からセキュリティの可視化が可能
どのくらい簡単に利用できるようになるのか。それを知るために、導入からエグゼクティブダッシュボードを表示させるまでの手順を見てみよう。
WatchGuard Dimensionは、VMware vSphereとMicrosoft Hyper-Vに対応した仮想アプライアンスとして提供されている。ウォッチガード製品の登録ユーザーはサイトから仮想アプライアンスのファイル(OVAファイルなど)をダウンロードして、それぞれの管理ソフトからデプロイするだけでいい。
デプロイ後のセットアップにも専門的な知識は求められない。管理ソフトでアプライアンスを起動させ、設定したIPアドレスにWebブラウザでアクセスすると、自動的に「初期セットアップウィザード」が開始する。ウィザードにそって、ホスト名やIPアドレスなどの基本的なネットワーク設定を行い、管理者パスワードと、ログサーバにデータを送信するための暗号化キーを入力するだけで終了だ。
初期セットアップで必要になる、ネットワーク情報、管理者パスワード、暗号化キーを事前に決めておけば、デプロイから運用監視までは30分もかからないだろう。クライアントにもエージェントなどの特別なアプリケーションのインストールは不要で、ログ収集やデータ分析のための複雑な設定も必要ない。WatchGuard Dimensionを稼働させておけばあとは自動的にログを収集し、ダッシュボード画面に分析結果を自動的に表示してくれる。
ウォッチガード・テクノロジー・ジャパンのシステムズエンジニア部プリセールスエンジニア 上田栄一氏は、WatchGuard Dimensionの特徴をこう話す。
「Webベースのアプリケーションで使いやすいGUIを備えています。また基本性能に優れ、多数のFireboxを単一のダッシュボードから統合的に監視・可視化することが可能です。実際に、マネージドサービスを提供されているウォッチガードのMSSP(マネージドセキュリティプロバイダー)パートナーでは、顧客側やデータセンタ内に設置した数百台のFireboxをWatchGuard Dimensionで遠隔監視するサービスを提供しています。もちろん企業経営者などが、社外からタブレットなどを使って自社のセキュリティ情報をすばやく確認するといった使い方もできます」(上田氏)
WatchGuard Dimensionは8種類のダッシュボードと、100種類以上のレポート機能を備えている。それらを駆使することで、「シンプルで使いやすい」「導入、運用コストを抑えられる」「利用シーンに応じた運用ができる」といった可視化ツールに求められる要件にこたえることができる。そこで次回は、セキュリティの可視化と監視を具体的にどう行っていくのかを紹介しよう。
■今さら聞けない「セキュリティ情報の可視化と監視」
【第1回】セキュリティ情報の可視化と監視の必要性および基礎知識
(マイナビニュース広告企画:提供 ウォッチガード・テクノロジー・ジャパン)
[PR]提供: