「情報システムのログを人手で解析するコストは膨大だ。自動的にデータの傾向分析を行うデータ・マイニングによって解析すべきデータを減らせば,ログ解析のコストを大幅に削減できる」---。
セキュリティ・コンサルティング会社のラックとSIベンダーのNECは2006年12月21日,両社が共同で実施した効果測定実験の結果を踏まえ,データ・マイニングがセキュリティ対策に有効であるとの指針を示した。
社内から情報が漏えいした実例として,ラックの岩井博樹コンピュータセキュリティ研究所長は,自社の顧客企業の事例を提示した。社員が上司になりすまして機密データを収集したセキュリティ案件である。情報漏えいの原因を突き止める手段は,社内に点在するクライアントPCなど各種コンピュータのログ解析だが、「セキュリティ・コンサルタントが人手で解析しなければならない」(岩井氏)ため,膨大なコストが発生してしまう。
ログ解析のコストを削減するためには,何らかの方法で解析対象となるログを減らす必要がある。そこで両社は,データの集合体の中に法則性を見つけ出すデータ・マイニングに目を付けた。データ・マイニングはBI(ビジネス・インテリジェンス)の世界でよく使われているが,これをセキュリティ対策を目的としたシステム・ログの解析に利用しようというわけである。
現在出荷されている各種のセキュリティ機器やセキュリティ・ソフトも、データ・マイニングをうたっている。例えば,不正アクセス対策であれば“いつもと違うアクセスを検知するため,シグネチャが存在しない未知の攻撃に対処できる”,といった具合だ。これに対してラックとNECは,「(そうした製品は)しきい値を超えたかどうかを検知するレベルであることが多く,将来予測や予兆の検知といったレベルには達していない」と指摘する。
両社の実証実験は,ラックの顧客が実際に経験した2つのセキュリティ案件の生ログを,NECのマイニング・ソフトで解析する,というもの。(1)ログの1つは,前述した社員による情報漏えい案件である。パソコンのWindowsイベント・ログ1万1000行を,行動履歴の異常を検出するエンジン「AccessTracer」で解析させた。解析時間はPentium 4(3.4GHz)で約7秒。いつもと違う行動にスコア(点数)を付けたうちの,スコアの上位1.5%のログに,すべての不正行為が含まれていた。残りの98.5%のログを解析する手間が省けることになる。
(2)もう1つのログは,SQLインジェクション攻撃を含む,社外からWebアプリケーション・サーバーに対する攻撃である。Webサーバーのアクセス・ログの3日分344万行を,上記のAccessTracerおよびデータの動向推移に起こる急激な変化を検知するエンジン「ChangeFinder」で解析した。解析時間はPentium 4(3.4GHz)で約2分弱。12カ所の変化の立ち上がりを検知した。あるSQLインジェクション攻撃を仕掛ける前段階として,SQLインジェクションに対する脆弱性を調べるアクセスが頻繁に発生しており,実例では攻撃の22時間前のログから予兆を検知できたという。ケース・バイ・ケースだが,いつもと異なるアクセスをリアルタイムに発見することで,事前に何らかの対策を打てる可能性が出てくるわけだ。
