　「正規化」とは、さまざまなログを解釈して共通の枠組みで扱えるように変換することである。一口にログといっても、デバイスによってさまざまなフォーマットのログが存在する。同じログイン成功を示すログでも、「Logon success」、「Login OK」といった具合に、意味としては同じだがログとしての表現が違うものも多い。

　例えば、ほとんどのログに含まれる日時情報においては、「2014/04/01 12:23:56」と「Apr-01-2014.12:23:56」のように、ログを出力するシステム、機器によって表示形式が違うのが一般的だ。このようなログをただ単に収集するだけでなく、例えば前述のログ出力を「ログイン成功」や「日時情報」に意味づけして取り込むことを「正規化」という。SIEMは、単にログを収集するだけでなく、この正規化を行うことによって、さまざまなデバイスから取り込んだログを共通の枠組みで扱うことができる。

相関分析

　相関分析とは、複数のログやイベントの間に相関ルールを設定し、ルールと合致するときにイベントを発生させる仕組みである。例えば、「1．ログインに10回連続で失敗したあとログイン成功した」というログの後、「2．管理者コマンドを実行した。」という相関ルールを設定したとする。1だけでは怪しいとはいえないが、1の後に2が実行されている場合は、システムへの侵入を疑うことができる（図2）。

　ログが大量に発生する状況では、個々のログを逐一見ていては大変であるため、SIEMでは、このような相関分析ルールを用いて効率的な監視を実現している。また、「正規化」によってログを統一的な枠組みで扱えるおかげで、相関分析ルールを「意味」のレベルで作成でき、デバイスの違いを超えて適用することができるのも重要なポイントだろう。

図2：相関分析ルール例（出典：マカフィー）

可視化

　ここでいう「可視化」とは、単に集めた情報を画面に表示することを指すのではない。SIEMはそもそも大量のログを収集するものであるから、そのまま表示していたのでは、オペレータは今何が起こっているのかを「把握」することができない。それでは、スリーマイル島の事故時の警報灯のようになってしまう。

　「相関分析」によって、大量のログの中からあぶりだされた脅威をダッシュボードと呼ばれる画面にグラフなどの分かりやすい見た目で表示することが「可視化」である（図3）。こうすることで、オペレータはシステムの現状を把握し、脅威の予兆を察知して、次に何をしなければならないかを判断することができるのだ。

図3：SIEMのダッシュボード例（出典：マカフィー）

SIEMを「状況認識」の定義にあてはめる

　では、SIEMが実現していることを、「状況認識」の定義にあてはめてみるとどうなるだろうか。

現状における構成要素を知覚する → システム内のデバイスからログを「正規化」して収集する
現状を把握する → 正規化されたログに「相関分析」ルールを適用して、現状を「可視化」する
将来の状態を予測する → 可視化することで、脅威の予兆を察知する

　こうしてみると、SIEMは、大量のログを集めつつも、「正規化」、「相関分析」を用いることで、ログから現状を把握するための情報を抽出して、それを分かりやすく「可視化」することで、「状況認識」を実現していることが分かる。

次回はSIEMの制御システムでの活用方法

　今回は、「状況認識」の重要性と、それを実現するソリューションであるSIEMの仕組みと特徴について紹介した。制御システムでは可用性を重視するものの、古いシステムが残りやすく攻撃を受けやすい。このため、「多層防御」で脅威からシステムを保護するだけではなく、仮に攻撃を受けたとしても、「状況認識」を実現することで、早期に異常を察知して対策を行うことが重要だといえる。次回は、「状況認識」を実現するSIEMを制御システムで活用する方法について紹介する。

「制御システム技術者のためのセキュリティ基礎講座」バックナンバー