SIMとは,複数の機器のログを集中的に管理する製品をさす言葉である。ネットワーク機器に残る大量のログを整理・分析しセキュリティ状態を一元的に管理する(図1)。2008年4月に日本版SOX法が施行されれば,重要情報を扱うシステムのセキュリティに関するログをきちんと管理しなければならなくなる。そのため,最近注目を集めている製品である。
ネットワーク機器は,セキュリティに関連するイベント情報をログとして残す。このログには,ネットワークを守るための手がかりが含まれている。しかし,実際にログを活用するのは難しい。ネットワーク機器はそれぞれ大量のログを残す。こうした情報の洪水の中から役立つ情報を拾い出して分析するのは至難の業だ。
SIMの機能を順番に見ていこう。SIMの目的は大きく二つある。一つは,セキュリティ状態を一元的にリアルタイムで監視すること。もう一つは,あとからセキュリティ状態を確認したり報告書を作ったりすることである。
SIMは,あらかじめ管理者が登録したネットワーク機器のログをリアルタイムで収集する。ネットワークによって収集対象は異なるが,ファイアウォール,IDS(intrusion detection system),ルーター,レイヤー3スイッチ,サーバーOS,サーバー・アプリケーションといったところが一般的だ。
ただし,ネットワーク機器によってログへのアクセス方法やログのフォーマットはまちまち。特にフォーマットは,同じイベントが違う名前で呼ばれていたりする。そこでSIMは,それぞれの収集先に合わせた方法でログを収集し,さらにフォーマットを統一する。主要な機種については,ログの収集やフォーマット変換に関する方法があらかじめ登録してある。それ以外の機器でも,ユーザーがアクセス方法とフォーマットの変換方法をSIMに設定することで収集対象に加えられるようになっている。
SIMは,このようにして収集したログをリアルタイムで画面上に表示する。表示するときは,グラフにして傾向を把握しやすくしてくれる。加えて,収集したログを分析する機能も備える。関連のある情報をまとめて表示したり,通信異常の発生頻度が急上昇したときに警報を出したりする。こうすれば,管理者が複数の画面を見比べてトラブルの原因を推測する必要はなくなるし,見落としも減る。
さらにSIMは,あとから活用できるようにログをいったんデータベースに保存する機能も持つ。保存したログは,あとから分析したり,報告書を作るときに使う。例えば,セキュリティ上の問題が発覚したとき,それぞれの機器が検出したイベントについて時間をさかのぼりながら確認できる。SIMは統一したフォーマットでログを一元的に保存するので,時間別,イベント別,機器別といったさまざまな切り口で分析できるわけだ。
またSIMは,月次の報告書を自動生成したり,トラブル対応報告のパーツ(部品)を用意してくれる機能も備える。セキュリティ状態やトラブル発生時の報告書を作る機会が多いセキュリティ担当者にとっては便利な機能だ。
このようにSIMは,セキュリティ担当者の監視や管理作業を助けるさまざまな機能を備える。中でもSIMならではといえるのが分析機能である。この機能によって,今までわからなかった問題が見えてくる。
例えば社内のパソコンが,Webサイトからセキュリティ・ホールを突く新種のウイルスをダウンロードしてしまったとき(図2)。このようなウイルスはIDSやファイアウォールを完備していても,単体で検出するのは難しい。
Webサイトからウイルスをダウンロードしたときに,IDSはそのパソコンが「プログラム・コードのようなものをダウンロードした」という情報を残す。ダウンロードの結果,ウイルスに感染したパソコンが通信を仕掛ければ,ファイアウォールは「通信をブロックした」という情報を残す。しかし,一つひとつの情報だけではウイルスに感染したとはわからない。
ところが,あるパソコンが「プログラムをダウンロードした」あとに,ファイアウォールがそこからの「通信をブロックした」ことを関連付ければ,パソコンがウイルスに感染して新たな通信を開始しようとしている可能性が高いことがわかる。被害が拡大する前にウイルスの感染を検出できるわけだ。SIMは,このように複数の情報を関連付ける「相関分析」ができるようになっている。
SIMが相関分析するためには,あらかじめ情報を関連付けるためのルールを教えておく必要がある。ベンダーは,起こりがちな問題についてのルールを出荷時に組み込んでいる。また,ユーザーが自分のネットワークに合わせてルールを変更したり追加することもできる。
