脅威を検知する情報セキュリティ対策SIEM・SOCとは？検知型対策の課題と解決策

標的型攻撃は巧妙化を続けており、水際対策だけでは防ぐことが困難となってきています。

本記事では、標的型攻撃への対策と脅威を検知するソリューションについて紹介します。

巧妙化する標的型攻撃。被害を抑えるための対策は？

標的型攻撃は、ターゲットが利用するデバイスを主にメールなどの手段を用いてウイルスに感染させることで、機密情報を詐取することを目的としています。

近年では、特定の企業や組織をターゲットとした標的型攻撃の巧妙化が進み、一見して通常の業務メールと見分けられないように偽装されていることもあり、メールを受信した社員一人ひとりがメールを見分けることは困難となってきています。

一度ウイルスに感染してしまうと、社内ネットワークを通じて他の端末へと感染が広がってしまうケースもあることから、企業には感染した場合に早期に検知し対応を取れるような対策が求められます。

また、ウイルス感染以外にも、フィッシングサイトに誘導して情報を入力させ、直接情報を盗み出すという巧妙な手口も存在し、気づかないうちに被害を受けるケースもあるため、対策の必要性が高まっています。

ログ分析による異常の検知

標的型攻撃は、成功確率を上げるためにあらかじめ時間を掛けて情報収集を行っていることが多いのですが、マルウェアが起動する前の「情報を集めている段階」では、まだアンチウイルスソフトで検知することができません。これは、アンチウイルスに検知されないように標的とする組織ごとにマルウェアを改造して亜種を作成していることが要因です。

異常を検知するためには、ログを監視し分析することが重要となってきます。
ログの監視・分析を行うことで、情報漏えいといったインシデントが発生した際にも早期の状況把握と対策が行えるようになります。

ログ分析の課題

膨大な量となるログを分析するには、ログを収集した上で専門的な知識を持つ人材が多くの時間をかけて分析を行う必要があります。そのため、人材やリソースの確保が課題となります。

脅威を検知するソリューション「SIEM」「SOC」とは

「SIEM」や「SOC」といったソリューションを活用することで、上述の課題を解消することができます。

ここでは、それぞれのソリューションについて解説します。

SIEMとは

SIEMは「Security Information and Event Management（セキュリティ情報/イベント管理）」の略称で、手間のかかっていた膨大な量のログ情報の収集・管理・分析までを自動的に行うセキュリティ技術です。

ファイアウォールやIDS／IPS、プロキシなど、ネットワーク・セキュリティ機器のログデータを収集し、リアルタイムで脅威となりうるものを自動で検出・可視化して通知することができます。

SOCとは

SOCは「Security Operation Center」の略称です。24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出や分析・対応策のアドバイスを行う組織です。

従来はネットワーク担当者やシステム管理者によってデバイスのセキュリティ脅威の監視が行われていましたが、巧妙化してきているセキュリティ脅威に対応するには高い専門性が必要となることから、SOCを専門的な技術を持った企業に委託する企業も増えてきています。

検知と合わせて情報セキュリティを完璧にするには

上記でも紹介したように、SIEMやSOCでは検知に重点が置かれていることから、感染への対策という意味では不安が残ります。もちろん、感染を拡大させないためにも検知の必要性は高いですが、より防御の精度を高めるためには、更なる対策も必要となります。

脅威の検知だけでは不十分

巧妙化する標的型攻撃から企業の資産を守るためには、マルウェアや不正アクセスなどの脅威を見つけることを目的とした検知型の対策だけでは不十分です。

検知型以外の対策の一例として挙げられるのが、CSIRT（Computer Security Incident Response Team）の設置です。CSIRTとは、インシデントが発生したときに原因究明や問題解析を行う組織のことです。前述のSOCはインシデントの検知に重点が置かれているのに対し、CSIRTではインシデントが発生した後の対応に重点が置かれているという特徴があります。

CSIRTについての詳細は以下記事をご覧ください。

2020.01.29

海外では進んでいる「CSIRT」設置・運用をどう進めるべきか？

不正アクセスやマルウェア感染といった脅威が日々存在感を高める昨今、国内企業でもCSIRT(シーサート)の議論が広まりつつあります。セキュリティに関する事故対応チームを指すCSIRTですが、実際に設置・運用を進める企業はまだまだ少数。「組織体制のつくり方」に...

その他にも、ゼロデイ脆弱性（亜種ではない完全に未知の脆弱性）への攻撃や未知のマルウェアが発生した際に、検知型では対応できないケースも想定されるため、検知できなかった場合でもエンドポイントで止まるようなセキュリティ対策（エンドポイントセキュリティ）が求められます。

攻撃を遮断する！最終防衛ライン「OSプロテクト型セキュリティ」

検知型セキュリティをすり抜けて進入してきたマルウェアに対するセキュリティ対策として有効なのが、「OSプロテクト型セキュリティ」です。

OSプロテクト型セキュリティ製品の「AppGuard（アップガード）」では、OSに対して本来想定されていない動作をすべてシャットアウトすることで、マルウェアによるコンピュータ・システムの改ざん・不正な動作を防ぎ、個人情報の漏えいやファイルの破壊などといった、侵害行為そのものを防ぐことができます。

巧妙化する標的型攻撃への対策として、従来の検知型とAppGuardの組み合わせによる、セキュリティの強化を検討してみてはいかがでしょうか。

マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする「AppGuard」
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ　製品の詳細