ネットワークの脅威と対策を一から学ぼう

正規のユーザーやPCを判断する認証製品

2009年10月28日 06時00分更新

文● 伊藤玄蕃

SIMなどのセキュリティ管理ツール

　セキュリティ機器は設置しただけでは有効活用されているとはいえず、それらの機器のログを監視・分析して実際に行なわれた攻撃に対処していく必要がある。しかし、会社に導入されるセキュリティ製品は年々増え続け、「実際の脅威はどの程度発生しているのか」「その結果、会社のネットワークに影響が出ていないか」「会社の営業活動に影響を及ぼす事件は発生していないのか」などを把握することが非常に困難になっている。

　そこで、各種セキュリティ装置のほか、ネットワーク機器やネットワーク管理システムなど多種多様な機器を統合管理し、問題情報や監査情報などを管理者にわかりやすく提供するシステムが登場した。これを「SIM（Security Information Management：セキュリティ情報管理）」と呼ぶ。

　SIMは、さまざまな機器やシステムが生成するログ情報やアラート情報を統一されたフォーマットに変換し、管理コンソールへリアルタイムに表示・警告するとともに、統合的なログの蓄積や相関分析を行なう。具体的には以下のような機能を持つ。

インシデント監視: 複数機器のログを相互に突き合わせ、業務に影響を与える可能性の高い脅威が発生すればアラートを発するとともに、影響範囲や対策を報告する。
インシデント情報管理: アラートの履歴や機器ごとの詳細ログを参照したり、ログを長期保存する。
レポーティング機能: 週次・月次・年次の統計や稼働状況の報告書を作成したり、統計的に分析した結果をグラフィックに表示、出力する。
セキュリティ運用: ファームウェアのアップデートを定期的に行ったり、IDS/IPS/ウイルス対策などのシステムを最新の状態に保つ。
構成管理機能: 管理対象となる機器の構成情報や設定変更の履歴を蓄積し、時系列に沿って表示、出力する。また、過去のある時点の設定内容に戻すことができる。

　SIMにはシングルベンダー対応とマルチベンダー対応とがあり、それぞれに一長一短がある。シングルベンダー対応のSIMは、あるベンダー製品に特化しているため、新機種や新バージョンで追加・変更された機能への対応が迅速だが、どうしても他のベンダー製品が必要になった場合には統合管理ができない。マルチベンダー対応SIMであれば、必要なセキュリティ製品を幅広いベンダーから採用することができるが、現実には対応しているベンダーには限りがある。そのため、マイナーなベンダーの新機種や新バージョンで追加・変更された機能への対応は遅れることがある。

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ