セキュリティ

Visit:

SIEMという選択(後編) – SIEM製品を選択する基準とは?

Reading Time: 1 minutesこの記事の所要時間: 約 3分 記事の前編では、企業がSIEMを選択すべき理由について解説しました。後編となる今回は、SIEM製品を選定する際の基準についてご紹介します。 ■ SIEM製品の選定で重要となる「予算面」 SIEM製品を選定する際、予算というのは非常に重要な検討項目の一つです。SIEM製品によっては、処理するログ流量がライセンスの課金対象となっているものもあれば、監視対象となるデバイス数に基づき課金されるものもあります。デバイス数に基づく価格設定となっており、ログ流量には影響されない場合、生成されるログのボリュームの量にかかわらず金額が一定となるため、コストの見積もりが容易になります。 しかし、予算以外にも重要な事項はもちろん存在します。そのいくつかを、以下でご紹介したいと思います。 ■ SIEM製品を選定する際に考慮すべき4つの事項 1.対応デバイスの範囲:ルーター・スイッチ・ファイアウォール・IDS/IPSなどのネットワークデバイスに加え、アプリケーション、サーバー、ワークステーション、さらにはクラウドサービスなど、様々なデバイス・サービスが企業で利用されています。SIEM製品を導入する際には、監視対象とするデバイスを一つのツールで包括的に管理できるかどうか、さらにデバイスの登録に多くの工数を必要としないかという点も併せて確認することが大切です。 ManageEngine Log360は、750を超えるデバイスからのログ収集に対応しています。また、「追加フィールド機能」を使用することで、正規表現を使用した解析ルールを自由に定義することができ、可視性を高めることが可能です。   2.ログを分析・可視化するレポーティング機能:SIEM製品の特長として、複数ログに対する横断的な分析への対応が挙げられます。ログ管理プロセスを自動化し、重要なメッセージを監視することで、脅威の早期検知に寄与します。そのためには、セキュリティ面だけでなく、対応が必要なコンプライアンスの双方に対して有用なレポートがデフォルトで搭載されており、効率よくログの可視性を高めることができるSIEM製品が推奨されます。また、重要性の高い情報を一画面に集約したダッシュボード画面と、そこから必要な情報を数クリックで掘り下げて確認できるドリルダウン機能が含まれていることで、分析に伴う作業の効率性をさらに高めることが可能です。 ManageEngine Log360には、サポートデバイスを対象とした1,000以上の定義済みレポートが用意されています。また、PCI-DSS・SOX・GDPRをはじめとする各種コンプライアンスに対応したコンプライアンスレポートにより、コンプライアンス対応をスムーズに行うことが可能です。   3.フォレンジック分析:ログ分析にかかる時間は、攻撃を検知するまでにかかる時間と比例します。記事の前編でもご案内しましたが、「攻撃の検知」は「攻撃の遂行」と比べて大幅に時間がかかる傾向にあります。したがってSIEM製品に求められるのは、幅広いデバイスから受信する大量のログを取りこぼしなく収集し、それを相関的に分析するとともに、疑わしいログが発生した際に即座に通知を行うような機能の搭載です。また、インシデントが発生した際に過去のログを遡って調査ができるよう、ログを長期保管できる仕組みも大切です。 ManageEngine Log360のコリレーション機能を使用することで、異なるデバイス、異なるログ種別から発生したログを相関的に分析して、ネットワーク間で発生している不審な動きを検知することが可能です。また、ログの長期保管を行う場合は、アーカイブ化を行うことで圧縮した状態での保存ができ、さらに必要に応じて暗号化や改ざん検知の設定を行うことで、よりセキュアにデータを保持できます。   4.柔軟なカスタマイズ:たとえSIEM製品にセキュリティ(コンプライアンス)レポート、アラートプロファイルや相関分析のルールが豊富に組み込まれていたとしても、それが企業の運用ルールに合致していない、あるいは使いづらいなどで利用が難しい場合、無駄なものとなってしまいます。そこで、アラートプロファイルのしきい値を微調整したり、レポートの項目を変更するなど、企業に合わせた柔軟なカスタマイズが必須です。故にSIEM製品には、「豊富なレポートの提供」と、それに対して簡単に変更を加えられる「カスタマイズ性」の2点が備わっていることが求められます。 ManageEngine Log360のコリレーション機能は、企業の運用に合わせて自由にしきい値を変更したり、ルールの再定義を行うことが可能です。...

ADAudit Plus , EventLog Analyzer , セキュリティ 1 min read

第4回 ドメインコントローラーの展開方法【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ ドメインコントローラーの展開方法について解説 ・ ドメインコントローラーとRODCの違いについて解説 皆さんこんにちは。Active Directoryのコラムを担当している新井です。これまでのコラムでは、ワークグループとドメインの違いや、Active Directoryの概念やキーワードなどについて解説してきました。今回は、Active Directoryドメインの環境における主要なコンポーネントであるドメインコントローラーの展開方法について解説します。 ■ ドメインコントローラーの展開 ドメインコントローラーを展開する前に、決定しておくべきことがいくつかあります。その中でも最も重要なのが「配置構成」の決定です。配置構成では、どの展開パターンでドメインコントローラーを構成するかについて、3つの選択肢の中から選択します。その3つの展開パターンをまとめると、以下のようになります。 ■ ドメインコントローラーの展開方法 ドメインコントローラーの展開には2つのフェーズがあり、1つ目のフェーズとなるのが役割の追加です。Windows Serverをドメインコントローラーとして構成するためには、WebサーバーやDHCPサーバーとして構成するときと同様に、役割の追加が必要です。役割の追加は、Windows Serverの管理ツールである「サーバーマネージャー」から「管理」、「役割と機能の追加」の順にクリックし、表示されるウィザード内で「Active Directoryドメインサービス」のチェックボックスをオンにして進めるだけです。この役割の追加によって、Windows ServerにActive Directory...

セキュリティ , 一般 1 min read

SIEMという選択(前編) – なぜSIEMが選ばれるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 2分 セキュリティの脅威は日々上昇傾向にあり、ハッカーの攻撃方法はさらに洗練されつつあります。 アメリカの通信大手であるVerizon社は、データ侵害に関する調査レポート「Verizon 2018 Data Breach Investigations Report」を発表しました。調査レポートには、5万3000件のサイバー攻撃と2,200件のデータ侵害を分析した統計データや、最新のセキュリティインシデントに関する情報が含まれており、その中に以下の内容が記されています。 データ侵害の被害を受けた際に、87%のケースでは攻撃の数分後、あるいはさらに短い時間で情報が奪取されていたにも関わらず、半数以上の攻撃は発覚までに1か月以上要しています。 これはつまり、攻撃者はSOC (Security Operation Center) も検知できないような手法を使用していることを意味します。 多くのケースにおいて、データ侵害はフォレンジック分析を専門に行うようなサードパーティーにより検知されます。データの窃取に必要な時間はわずか数分である一方、侵害の方法/ネットワーク内での侵害の過程/侵害経路の発覚には、数か月以上かかる場合があります。つまり侵害が判明するころには、すでに重要なデータが盗まれている可能性が高いのです。 出典:Verizon 2018 Data Breach Investigations Report (ゾーホー翻訳) たとえSOCが侵害を検知できなかった場合でも、攻撃の兆候は残ります。昨今、ITセキュリティの現場はGDPRなどの厳格なコンプライアンス規定の登場に伴い、変化を遂げつつあります。企業は、重要なデータが窃取される前に検知・対応できるようなソリューションを探し求めており、SIEMはその最適な方法といえます。...

EventLog Analyzer , セキュリティ 1 min read

Log360がガートナー社のマジック・クアドラント(SIEM部門)に2年連続で掲載!

Reading Time: 1 minutesこの記事の所要時間: 約 2分 ManageEngine Log360は2016年に続き、”2年連続”でガートナー社のマジック・クアドラント(SIEM部門)に掲載されました。 ガートナー社とは、米国に本社をおく業界最大のアドバイザリ企業です。マジック・クアドラントでは、特定のテクノロジー市場における販売会社を、ガートナー社が中立的な立場から「リーダー」・「ビジョナリー」・「ニッチ」・「チャレンジャー」という4つのクアドラントに分類し、その位置づけを公開しています。 なお、Log360は2016年3月に本社リリース、そして2018年9月に日本リリースされた製品で、「ログの統合管理」に特化した簡易SIEMツールとなりますが、リリースの年である2016年、そして2017年と続いて「ニッチ(特定市場志向型)」としての位置づけで掲載されました。 レポートにて、ガートナー社のアナリストはLog360の強みを以下のように述べています: ・ 統合管理ソリューションに関心のあるManageEngineの既存ユーザー、あるいはコストパフォーマンスに優れたシンプルなSIEMツールを探している企業は、Log360やEventLog Analyzerの利用が推奨されます。 ・ Log360には、監査とコンプライアンスに関わる機能が数多く提供されています。複数のコンプライアンスに特化したレポートを含めて、1,200以上の定義済みレポートが存在します。 ・ ADAudit Plusは、単一または複数のActive Directory(ドメインコントローラー)を対象とした、認証・アクセスなどの監査に対応しており、内部統制対策としての機能を提供します。 ・ Log360は他の多くのSIEMツールと比較すると、シンプルな構造になっているため、直感的に使用することが可能です。また、脅威検知を含む、幅広いコリレーションルールがあらかじめ用意されており、特にWindowsを対象とした定義済みレポートや解析ルールが豊富に備わっています。 >> 原文となるマジック・クアドラントレポートはこちらをご参照ください。(英語) ガートナー社の免責事項 ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高の評価を得たベンダーのみを選択するようテクノロジの利用者に助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。   <...

ADAudit Plus , EventLog Analyzer , セキュリティ , 一般 1 min read

第3回 Active Directoryのキホン(2)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryのキホンとなる3つのキーワード (スキーマ、パーティション、管理ツール) について解説 本コラムは前回に続いて、Active Directoryを管理していく上で「キホン」となる概念やキーワードについて解説していきます。まだ前回(第2回)のコラムをご覧いただいてない方は、ぜひ前回のコラムと併せてご覧になってください。今回は、「スキーマ」、「パーティション」、「管理ツール」という3つについてピックアップして解説します。 ■ スキーマ スキーマとは、Active Directoryの「オブジェクトに関する定義情報」となるものです。スキーマでは、どの種類のオブジェクトがどのような属性を使用するのかを関連付けて管理しており、オブジェクトの作成時などにはスキーマの情報が参照されます。Active Directoryには様々な種類のオブジェクトがありますが、ここではユーザーを例に考えてみましょう。ユーザーの作成そのものについては別のコラムで紹介しますが、ユーザーを作成してプロパティを確認すると、最初から様々な属性の項目が用意されています。これらが用意されているのは、スキーマ内で「ユーザーで使用する属性はコレとコレと…」というように既定で定義されているためなのです。 スキーマには、「クラス」と「属性」という2つの情報が存在します。このうち、「クラス」がオブジェクトの種類を表すもので、ユーザー、コンピューター、グループなどの様々なクラスが存在します。一方、「属性」は各オブジェクトのプロパティの項目を表すもので、表示名、ログオン名、電話番号、電子メール、などの様々な属性が存在します。スキーマではこの2つの情報を関連付けて、どのクラスでどの属性を使用するかを管理しています。そのため、いつオブジェクトを作成しても同じ属性の項目が使用できるようになっているのです。 ■ パーティション パーティションとは、「Active Directoryデータベース内の論理的な”仕切り”」です。Active Directoryデータベースはntds.ditという単一のファイルで存在し、ドメインコントローラー上で管理されます。しかし、このファイル内には、論理的な仕切りであるいくつかのパーティションを持っており、どの情報がどのパーティション内に格納されるかが決まっています。また、Active Directoryデータベースは可用性を高めるために複数のドメインコントローラー間で複製されますが、パーティションによってどの範囲のドメインコントローラーと複製するのかも異なります。Active...

ADManager Plus , セキュリティ , 一般 1 min read

第3回 Azure ADの利用開始【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ Azure ADにおける「ディレクトリ」の意味について解説 ・ Azure ADディレクトリの作成方法について解説 今回からいよいよAzure Active Directory (Azure AD) の具体的な操作も交えながら、その特徴について見ていきます。 Azure ADでは「ディレクトリ」と呼ばれる単位で管理を行います。オンプレミスで運用するActive Directoryで言うところの「ドメイン」に当たるものだと思ってもらえれば、分かりやすいと思います。Azure ADでは「ドメイン」という言葉は、Azure ADディレクトリに対して設定する、example.comやcotoso.comのような名前のことを指すために、「Azure ADドメイン」ではなく「Azure ADディレクトリ」という呼び方をするようです。しかし、実際にはディレクトリとドメインの言葉は、区別せずに使ってしまうことが多いようです。ですので、そういう違いがあるという認識をしていただいた上で、どちらでも皆さんにとって使いやすい言葉を選択してください。...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

月に1度の恒例行事!2018年11月度のMicrosoftセキュリティ更新プログラムの概要

Reading Time: 2 minutesこの記事の所要時間: 約 8分 皆さま、こんにちは。 ManageEngine Desktop Centralの製品担当の植松です。 本日も2018年11月度のMicrosoftセキュリティ更新プログラムの概要と、パッチ管理に強みのあるクライアント管理ソフトManageEngine Desktop Centralについてご紹介いたします。 【概要】 Microsoftは、2018年11月14日(日本時間)に、以下のソフトウェアに関するセキュリティ更新プログラムを公開しました。 ・Internet Explorer ・Microsoft Edge ・Microsoft Windows ・Microsoft Office、Microsoft Office Servers および Web Apps...

Desktop Central , セキュリティ 2 min read

第2回 Azure ADを使って安全にクラウドサービスへアクセスする【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Azure ADを利用したSSO(シングルサインオン)ガセキュリティに与える影響について解説 皆さんこんにちは。前回からAzure Active Directoryのコラムを担当している国井です。 前回、Azure Active Directory (Azure AD) を利用することで、それぞれのクラウドサービスにアクセスするたびにユーザー名・パスワードを入力しなくてもよくなる、という話をしました。このような仕組みを「シングルサインオン」と呼びますが、今回はシングルサインオンを行うことがセキュリティに与える影響についてお話します。 シングルサインオンは1回のユーザー名・パスワードの入力操作でどこにでもアクセスできる仕組みです。そのため、利用者側 (ユーザー) から見れば、ブラウザーでユーザー名・パスワードがキャッシュされているのと、Azure ADを使ってシングルサインオンしているのは、どちらも同じに見えます。そのため、Azure ADの利用を社内で検討するときは「わざわざAzure ADを利用するメリットがあるのか?」という議論もあるでしょう。 この質問に対する、セキュリティ面から見た答えは「まったく違います」。...

ADAudit Plus , セキュリティ , 一般 1 min read

月に1度の恒例行事!2018年10月度のMicrosoftセキュリティ更新プログラムの概要

Reading Time: 2 minutesこの記事の所要時間: 約 7分 皆さま、こんにちは。 ManageEngine Desktop Centralの製品担当のUematsuです。 本日も2018年10月度のMicrosoftセキュリティ更新プログラムの概要と、ManageEngine Desktop Centralについてご紹介いたします。 【概要】 2018年10月10日(日本時間)、Microsoftは以下のソフトウェアに関するセキュリティ更新プログラムを公開しました。 ・Internet Explorer ・Microsoft Edge ・Microsoft Windows ・Microsoft Office, Micrsoft Office ServersおよびWeb Apps ・ChakraCore...

Desktop Central , セキュリティ 2 min read

月に1度の恒例行事!2018年9月度のMicrosoftセキュリティ更新プログラムの概要

Reading Time: 2 minutesこの記事の所要時間: 約 10分 皆さま、こんにちは。 ManageEngine Desktop Centralの製品担当のUematsuです。 Microsoftのセキュリティ更新プログラムのリリースからすでに2週間経過してしまいましたが、既に適用は済みましたか? 本日も2018年9月度のMicrosoftセキュリティ更新プログラムの概要とManageEngine Desktop Centralについてご紹介いたします。 【概要】 2018年9月12日(日本時間)、Microsoftは以下のソフトウェアに関するセキュリティ更新プログラムを公開しました。 ・Internet Explorer ・Microsoft Edge ・Microsoft Windows ・Microsoft Office, Micrsoft Office ServersおよびWeb Apps...

Desktop Central , セキュリティ 2 min read