日本のセキュリティレベルの現状に警鐘を鳴らす連載の2回目である。新たなサイバー攻撃に対抗するには「次世代のセキュリティオペレーション」を支える5軸である「収集」「防御」「監視」「回復」「演習」を包括的に実施する必要がある(図)。第1回では収集と防御を説明した。今回は監視、回復、演習について解説する。
図●次世代のセキュリティオペレーションに求められる5軸
[画像のクリックで拡大表示]
「監視」フェーズ、時間とコストの予測に基づいた決定を
監視とは一般的に、企業や団体を恒常的に襲うサイバー攻撃をリアルタイムで監視することを指す。「何が今起こっていて」「何が今やばいのか」を知ることが目的だ。作業主体は「自社」「アウトソース」の二つがある。以下、「何を」「なぜ」「どのように」監視すべきかを解説しつつ、作業主体を検討するベースとなる「監視の本質」にも触れていく。
「何を」監視すべきか
一義的に監視すべきは「ソフトやハードが出力するログ」である。ただログは膨大であり、漫然と見ていても何が起こっているかは分からない。昨今では、各ログから相関関係を何らかの装置でシステマチックに分析し、最終的にはアナリストの判断でインシデント(セキュリティ上の事故)が起こっているかを判断・決定する作業が監視には欠かせなくなっている。
