セキュリティ

/

 

脅威を検知する情報セキュリティ対策SIEM・SOCとは?検知型対策の課題と解決策

脅威を検知する情報セキュリティ対策SIEM・SOCとは?検知型対策の課題と解決策

標的型攻撃は巧妙化を続けており、水際対策だけでは防ぐことが困難となってきています。

本記事では、標的型攻撃への対策と脅威を検知するソリューションについて紹介します。

巧妙化する標的型攻撃。被害を抑えるための対策は?

標的型攻撃は、ターゲットが利用するデバイスを主にメールなどの手段を用いてウイルスに感染させることで、機密情報を詐取することを目的としています。

近年では、特定の企業や組織をターゲットとした標的型攻撃の巧妙化が進み、一見して通常の業務メールと見分けられないように偽装されていることもあり、メールを受信した社員一人ひとりがメールを見分けることは困難となってきています。

一度ウイルスに感染してしまうと、社内ネットワークを通じて他の端末へと感染が広がってしまうケースもあることから、企業には感染した場合に早期に検知し対応を取れるような対策が求められます。

また、ウイルス感染以外にも、フィッシングサイトに誘導して情報を入力させ、直接情報を盗み出すという巧妙な手口も存在し、気づかないうちに被害を受けるケースもあるため、対策の必要性が高まっています。

ログ分析による異常の検知

標的型攻撃は、成功確率を上げるためにあらかじめ時間を掛けて情報収集を行っていることが多いのですが、マルウェアが起動する前の「情報を集めている段階」では、まだアンチウイルスソフトで検知することができません。これは、アンチウイルスに検知されないように標的とする組織ごとにマルウェアを改造して亜種を作成していることが要因です。

異常を検知するためには、ログを監視し分析することが重要となってきます。
ログの監視・分析を行うことで、情報漏えいといったインシデントが発生した際にも早期の状況把握と対策が行えるようになります。

ログ分析の課題

膨大な量となるログを分析するには、ログを収集した上で専門的な知識を持つ人材が多くの時間をかけて分析を行う必要があります。そのため、人材やリソースの確保が課題となります。

脅威を検知するソリューション「SIEM」「SOC」とは

「SIEM」や「SOC」といったソリューションを活用することで、上述の課題を解消することができます。

ここでは、それぞれのソリューションについて解説します。

SIEMとは

SIEMは「Security Information and Event Management(セキュリティ情報/イベント管理)」の略称で、手間のかかっていた膨大な量のログ情報の収集・管理・分析までを自動的に行うセキュリティ技術です。

ファイアウォールやIDS/IPS、プロキシなど、ネットワーク・セキュリティ機器のログデータを収集し、リアルタイムで脅威となりうるものを自動で検出・可視化して通知することができます。

SOCとは

SOCは「Security Operation Center」の略称です。24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出や分析・対応策のアドバイスを行う組織です。

従来はネットワーク担当者やシステム管理者によってデバイスのセキュリティ脅威の監視が行われていましたが、巧妙化してきているセキュリティ脅威に対応するには高い専門性が必要となることから、SOCを専門的な技術を持った企業に委託する企業も増えてきています。

検知と合わせて情報セキュリティを完璧にするには

上記でも紹介したように、SIEMやSOCでは検知に重点が置かれていることから、感染への対策という意味では不安が残ります。もちろん、感染を拡大させないためにも検知の必要性は高いですが、より防御の精度を高めるためには、更なる対策も必要となります。

脅威の検知だけでは不十分

巧妙化する標的型攻撃から企業の資産を守るためには、マルウェアや不正アクセスなどの脅威を見つけることを目的とした検知型の対策だけでは不十分です。

検知型以外の対策の一例として挙げられるのが、CSIRT(Computer Security Incident Response Team)の設置です。CSIRTとは、インシデントが発生したときに原因究明や問題解析を行う組織のことです。前述のSOCはインシデントの検知に重点が置かれているのに対し、CSIRTではインシデントが発生した後の対応に重点が置かれているという特徴があります。

CSIRTについての詳細は以下記事をご覧ください。

 

その他にも、ゼロデイ脆弱性(亜種ではない完全に未知の脆弱性)への攻撃や未知のマルウェアが発生した際に、検知型では対応できないケースも想定されるため、検知できなかった場合でもエンドポイントで止まるようなセキュリティ対策(エンドポイントセキュリティ)が求められます。

攻撃を遮断する!最終防衛ライン「OSプロテクト型セキュリティ」

検知型セキュリティをすり抜けて進入してきたマルウェアに対するセキュリティ対策として有効なのが、「OSプロテクト型セキュリティ」です。

OSプロテクト型セキュリティ製品の「AppGuard(アップガード)」では、OSに対して本来想定されていない動作をすべてシャットアウトすることで、マルウェアによるコンピュータ・システムの改ざん・不正な動作を防ぎ、個人情報の漏えいやファイルの破壊などといった、侵害行為そのものを防ぐことができます。

巧妙化する標的型攻撃への対策として、従来の検知型とAppGuardの組み合わせによる、セキュリティの強化を検討してみてはいかがでしょうか。


マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする「AppGuard」

不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。

カタログ 製品の詳細


 

中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    【現場の社員向け】個人の意識が組織の情報セキュリティを強くする

    誰もがサイバー攻撃の被害者になりうる時代。不正アクセスの原因の約7…

  2. セキュリティ

    【マルウェア全防御は不可能】多層防御の弱点と新しいセキュリティ対策を解説

    セキュリティ対策において多層防御は巧妙化するサイバー攻撃への対策と…

  3. セキュリティ

    Windowsで重大な2つの脆弱性が発覚。標的型攻撃を回避する方法とは?

    ユーザー数の多さゆえに、サイバー攻撃者との ”いたちごっこ” が続…

  4. 最新の被害事例をご紹介!2022年情報セキュリティ10大脅威まとめ

    セキュリティ

    最新の被害事例をご紹介!2022年情報セキュリティ10大脅威まとめ

    昨今、情報セキュリティに関する脅威が巧妙化しており、企業の情報シス…

  5. セキュリティ

    振る舞い検知によるセキュリティ対策の現状

    世界中でサイバー攻撃が激化している近年、社内のセキュリティを見直す…

  6. セキュリティ

    ランサムウェア/マルウェアとは?セキュリティ担当が知るべき感染経路と対策方法

    ランサムウェアは悪意のあるソフトウェア(マルウェア)の一種です。2…

人気記事ランキング

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
APPGURD

APP GUARD