「状況認識」を実現するSIEMの活用(前編)――スリーマイル島事故の教訓:制御システム技術者のためのセキュリティ基礎講座(7)(2/2 ページ)
制御システム技術者が知っておくべき「セキュリティの基礎知識」を分かりやすく紹介する本連載。今回と次回は2回に分けて、「状況認識」(Situational Awareness)という考え方について取り上げ、それを実現するSIEM(Security Information and Event Management)というソリューションについて解説する。
SIEMにおける「正規化」「相関分析」「可視化」
次に、SIEMの仕組みにおける「正規化」、「相関分析」、「可視化」とは何かを順に説明する。
正規化
「正規化」とは、さまざまなログを解釈して共通の枠組みで扱えるように変換することである。一口にログといっても、デバイスによってさまざまなフォーマットのログが存在する。同じログイン成功を示すログでも、「Logon success」、「Login OK」といった具合に、意味としては同じだがログとしての表現が違うものも多い。
例えば、ほとんどのログに含まれる日時情報においては、「2014/04/01 12:23:56」と「Apr-01-2014.12:23:56」のように、ログを出力するシステム、機器によって表示形式が違うのが一般的だ。このようなログをただ単に収集するだけでなく、例えば前述のログ出力を「ログイン成功」や「日時情報」に意味づけして取り込むことを「正規化」という。SIEMは、単にログを収集するだけでなく、この正規化を行うことによって、さまざまなデバイスから取り込んだログを共通の枠組みで扱うことができる。
相関分析
相関分析とは、複数のログやイベントの間に相関ルールを設定し、ルールと合致するときにイベントを発生させる仕組みである。例えば、「1.ログインに10回連続で失敗したあとログイン成功した」というログの後、「2.管理者コマンドを実行した。」という相関ルールを設定したとする。1だけでは怪しいとはいえないが、1の後に2が実行されている場合は、システムへの侵入を疑うことができる(図2)。
ログが大量に発生する状況では、個々のログを逐一見ていては大変であるため、SIEMでは、このような相関分析ルールを用いて効率的な監視を実現している。また、「正規化」によってログを統一的な枠組みで扱えるおかげで、相関分析ルールを「意味」のレベルで作成でき、デバイスの違いを超えて適用することができるのも重要なポイントだろう。
可視化
ここでいう「可視化」とは、単に集めた情報を画面に表示することを指すのではない。SIEMはそもそも大量のログを収集するものであるから、そのまま表示していたのでは、オペレータは今何が起こっているのかを「把握」することができない。それでは、スリーマイル島の事故時の警報灯のようになってしまう。
「相関分析」によって、大量のログの中からあぶりだされた脅威をダッシュボードと呼ばれる画面にグラフなどの分かりやすい見た目で表示することが「可視化」である(図3)。こうすることで、オペレータはシステムの現状を把握し、脅威の予兆を察知して、次に何をしなければならないかを判断することができるのだ。
SIEMを「状況認識」の定義にあてはめる
では、SIEMが実現していることを、「状況認識」の定義にあてはめてみるとどうなるだろうか。
- 現状における構成要素を知覚する → システム内のデバイスからログを「正規化」して収集する
- 現状を把握する → 正規化されたログに「相関分析」ルールを適用して、現状を「可視化」する
- 将来の状態を予測する → 可視化することで、脅威の予兆を察知する
こうしてみると、SIEMは、大量のログを集めつつも、「正規化」、「相関分析」を用いることで、ログから現状を把握するための情報を抽出して、それを分かりやすく「可視化」することで、「状況認識」を実現していることが分かる。
次回はSIEMの制御システムでの活用方法
今回は、「状況認識」の重要性と、それを実現するソリューションであるSIEMの仕組みと特徴について紹介した。制御システムでは可用性を重視するものの、古いシステムが残りやすく攻撃を受けやすい。このため、「多層防御」で脅威からシステムを保護するだけではなく、仮に攻撃を受けたとしても、「状況認識」を実現することで、早期に異常を察知して対策を行うことが重要だといえる。次回は、「状況認識」を実現するSIEMを制御システムで活用する方法について紹介する。
危機を迎える制御システムのセキュリティ対策とは?:「制御システムセキュリティ」コーナーへ
工場やプラントなどの制御システム機器へのサイバー攻撃から工場を守るためには何が必要なのでしょうか。「制御システムセキュリティ」コーナーでは、制御システムセキュリティ関連の最新情報をお伝えしています。併せてご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
制御システムのネットワーク監視「侵入検知システム(IDS)」をどう使うか
制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する本連載。前回、前々回と具体的な防御手段を紹介してきたが、今回は「侵入検知システム(IDS)の活用」について紹介する。
制御システムの守り方――カギを握る「多層防御」と「状況認識」
制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する本連載。今回は、具体的にどうやって守るのかについてその手法を紹介していく。
あなたの工場はこうやって襲われる! ――標的型攻撃の典型パターンとは?
JPCERT コーディネーションセンターと経済産業省は「制御システムセキュリティカンファレンス」を開催した。今回はその中から、最近のセキュリティ脅威の状況がどのように制御システムの危機につながるのか、仮想事例を基に分かりやすく紹介したJPCERTコーディネーションセンター 理事で分析センター長の真鍋敬士氏の講演内容をお伝えする。
ググるだけで水圧バルブを直接操作可能!? ――制御系システムの「危うい現実」
いま、製造業の世界で“セキュリティ”が注目されている。産業制御システムへのサイバー攻撃がニュースとなる中、制御系システムにおけるセキュリティの現状や「ネットの脅威」への対策などを、トレンドマイクロがまとめた調査レポートを基に紹介する。