• Column
  • 問われるサイバーレジリエンス

重要インフラの防御にはSIEMを活用した官民の情報連携が重要に

「重要インフラ&産業サイバーセキュリティコンファレンス」より、Splunk Services Japanの仲間 力 氏

狐塚 淳
2024年4月16日

OTセキュリティに適したライセンス制度を持つソリューションも

 統合監視データベースに集約したログは、ソフトウェア資産管理やIT資産管理、リスク定量化などの視点からダッシュボードにより可視化する。そのためのダッシュボードもSplunkの主要機能だ。例えばソフトウェア資産管理のダッシュボードでは、「インストールされたソフトウェアに基づく脅威分析の結果や、許可されていない、あるいは許可されているかが不明なソフトウェアがどれくらいインストールされているかを確認できる」(仲間氏)とする。

 IT資産管理のダッシュボードは、ハードウェア、ソフトウェア、脆弱性、各種設定の健全性を可視化する。ハードウェア管理の場合、第3層の各端末にインストールされた資産管理ソフトウェア・エージェントがハードウェア情報を第2層の資産管理サーバーに送信する。ソフトウェア管理、脆弱性管理、設定管理情報も同様に集められ、これら4種類の管理情報は第1層の統合監視データベースに送られる。

 セキュリティ監視・運用監視は、主にこのように収集・蓄積したデータを監視する。膨大な情報の監視を効率化するため、緊急性の高いアラートの件数や各アラートの内容を表示する。各機器のさまざまな形式のログから「どの端末から、どのサーバーへ、どのアカウントで、どのプロトコルでログインに失敗したか」という相関分析が可能になる。

 米国政府が実施するリスク定量化は、コンプライアンスの適合度を可視化するものだ。アプリケーションが、どれだけの割合で適正に運用されているかをグラフや表にする。「可視化の次のステップとして米国では、検知情報に基づく自動対処のフェーズに進んでいる」(仲間氏)という。

 SIEMを使った同様の仕組みを重要インフラにおいても構築することが高度なサイバーセキュリティ対策につながる。ただ仲間氏は、「事業会社の場合、モニタリングやデータ分析の必要は分かっていても人材不足が問題になる企業が多い」とも話す。

 セキュリティ人材不足に対し仲間氏は、「分析の成果を得るには事業会社とSplunkが両輪で取り組む必要がある。Splunkからも専門エンジニアを派遣できるが、事業を最も理解しているのは事業者だ。それだけに事業者側の人材育成が重要である」と指摘する。

 そのためSplunkは、「事業者側人材の早期戦力化・練度向上のために、さまざまなワークショップやトレーニングを提供している。環境と教育があれば、早期に一定のレベルに達する。まずはSplunkのエンジニアと効果的な連携が可能になり、最終的には、さまざまな課題を自発的に発見・克服できる人材が育つ」(仲間氏)とする。

 「重要インフラ防護においても国際連携の重要性が増している。その前提は自国の把握である。自国のさまざまな組織体が自ら把握・報告できて初めて国全体の状況が把握できる。そのために重要なのは、状況把握のためのシステムとそれを扱う人材だ」と仲間氏は改めて強調する。

お問い合わせ先

Splunk Services Japan

お問い合わせ:https://www.splunk.com/ja_jp