100%

セキュリティ運用の強い味方、ArcSightのご紹介

●ArcSightのご紹介

現在、様々な国制情勢に影響を受け、サイバー攻撃がその手口が巧妙化し、その量も日々増加傾向にあります。

その中で企業や組織の情報や資産を守るため、様々なセキュリティ機器によって対策が取られ、そのような機器からログを収集し、目的や方針に合わせて外からの脅威分析や、内部からの情報漏洩等を調べる強い味方がSIEMとなります。

本記事ではそのSIEMの一つであり、国内外でも多数の企業で導入されているArcSightについて初見者向けに紹介したいと思います。

●ArcSightってどんなもの?その特徴は?

SIEMはその利用目的や利用方針によって構成や運用が変わってくるものですが、
ではその中でもArcSightはとはどのようなもので、どのような特徴があるかを説明します。
※特徴と一口で言ってもその観点や切り口によって色々と見方は変わるので、その点はご了承ください

まずはArcSightですが、Wikiには次のように記載されています。

2000年に最初にリリースされたサイバーセキュリティ製品であり、セキュリティ情報とイベント管理およびログ管理のためのビッグデータセキュリティ分析およびインテリジェンスソフトウェアを提供します。(引用元:WikiPediaより)

下記の特徴にて説明していますが、様々な機器からログを収集し分析することで、脅威を迅速に適切に発見することが可能な機器です。
国内外でも2000社以上の企業で導入されている実績があり、12年連続ガートナーMagic QuadrantでSIEMリーダーに選出されるなどの評価を受けています。
主な導入シーンとしては様々な顧客のログを監視しているSOCやインシデント対応を実施しているCSIRT等の現場で運用されたり、
大きい企業であれば社内のセキュリティ担当者で運用されることもあります。

【図引用】Micro Focus社

それではどのような特徴があるかを紹介します。

特徴1:様々なデバイスやアプリケーションはもちろん、独自仕様のログにも対応可能

どのような企業でもそのネットワーク上にはサービスを正常に稼働させるための、様々な機器やアプリケーションが動いており、何かトラブルや障害があった場合に調査ができるようログを出力しています。

また、その際に出力されるログはその仕様や目的によりログのフォーマットが異なります。あるいは、企業や組織によっては独自フォーマットでログが出力されることもあり、運用者やアナリストは様々なログに触れることになります。

ArcSightはそのような様々なログとそのフォーマットに対応してデータ処理をしてくれます。

特徴2:各種ログをリアルタイムで取り込み、相関分析により脅威を迅速に発見・検出できる

セキュリティの現場において、何かトラブルや障害、インシデントが発生した際には、膨大なログから可能な限り迅速に状況の調査と分析、そしてその対応が必要になることなどが常に生じます。
ArcSightは特徴1で記載した通り様々なログのフォーマットに対応しており、その分取り扱うログの量も膨大な量になります。
ArcSightは収集してきた膨大な各種ログをリアルタイムで取り込み、すぐに相関分析を含めた分析を行い、危険な兆候を迅速に発見することが可能です。
また、様々な機器からのログを相関分析することによって、単体の機器のログでは見つけられなかったセキュリティリスクを発見することができます。
※相関分析:2つのデータの要素からどのような関係性があるかを分析する手法

特徴3:GUI(Graphical User Interface)画面でコンテンツ設定を視覚的に行えるため、運用の理解や操作が容易

セキュリティに関わらずシステムエンジニアが運用する現場ではCUI(Character User Interface)による各種機器のコマンドを利用して操作することがありますが、このCUIによる運用に関し、初心者はその機器の操作に必要なコマンドを覚える必要があり、一定の習熟時間が必要になります。
ArcSightにも要件に併せてセキュリティイベントのフィルタリング、特定のフィルタリングの抑止、ルールの設定、レポートの作成等、現場によって様々な運用が発生しますが、基本的にはそれらの操作はArcSightが提供するGUI(Graphical User Interface)上からの操作によって設定することが可能です。
GUIからの操作は視覚的、感覚的に操作が可能なので初心者、未経験者でも基本的な操作はできるため、CUIで必要とした習熟時間を必要としません。
もちろんGUI上からの運用も気をつけなければならないことや、理解しなければならないことはありますが、教育に時間を割けない運用の現場では大変助かるものとなります。

以下の図はここまでの特徴1~特徴3までの機能を実現している、ArcSight Data Platform (ADP)についてMicroFocus社が提供するイメージとなります。
ADPを挟んで左側が各種データの送付元となる製品やアプリケーションとなり、右側がArcSightが提供する機能(ツール)となります。

【図引用】Micro Focus社

特徴4:企業毎の環境や状況に合わせたリスクシナリオが作成できるため、優先度の高い脅威を監視・検知ができる

特徴2にて様々なログをリアルタイムで取り込み分析が可能であることは記載しました。そして、ArcSightではその分析結果等から判明した脅威に併せてリスクシナリオが作成できます。
要は分析の結果わかった事実からその企業にとって最適なリスクシナリオを作成し、無駄な運用はなくし、本当に必要な運用に注力することができます。
ArcSightの運用をすることでその企業にとって早急に対応が必要なセキュリティイベントがわかってきます。そして、同時に対応する必要がない、あるいは対応は必要だが急いで実施するほどの脅威ではないセキュリティイベントもわかってきます。
現場の運用者はその判明した事実からセキュリティイベントに対して閾値やアクションを設定することで、優先度の高い脅威に対してのみ監視や検知し、対応することが可能です。

また、少し細かい話になりますが、セキュリティイベントによってはメール等による通知の追加やその抑止を検討することもありますし、特定のグループを作成してそのグループに対してのみ適用するルールも作成するでしょう。
もちろん新しいサイバー攻撃(脆弱性)が発見された場合は、その攻撃に対応したリスクシナリオを新たに作成し、古くなったルールを削除することもあります。

このようにArcSightでは様々な環境や状況に合わせた運用が可能となっているので、日々インシデントに対応する運用者にとっては大変助かるシステムとなります。

注意点や他製品との比較

特徴は以上となりますが、ArcSightの注意点についてお話します。
欠点や課題の少ないArcSightはオープンアーキテクチャという手法でその機能の拡張性を実現しています。
これは時代のニーズに応えたArcSightの強みでもありますが、ArcSightの操作だけでなく運用設計やメンテナンスまでを自社で対応する場合には、注意すべき点になると思います。

オープンアーキテクチャ手法による拡張性が高いということは、運用設計の難度が上がり、新しい攻撃への最適な対処、あるいは何か問題が発生した場合の切り分けなども難しくなります。
そのため、自社で運用する際にはしっかりとした知識をもったエンジニアがいることが前提となりますのでご注意ください。

【図引用】Splunk Inc.

また、ArcSightと良く比較されるSIEMの一つ、Splunkとも簡単に比較します。
もちろんそれぞれ特徴があるので、一概にどちらが良いという話は出来ませんし、提供できる基本機能はどちらも同じものを持っています。
では何が違うかというと、ArcSightが様々な機能により運用者に適切な情報や分析結果を提供することを得意とするのに対し、Splunkは高度なログの検索を得意としています。
そのためインシデントの早期発見・早期対応であればArcSight、詳細な調査や原因の特定であればSplunkといったところでしょうか。
それぞれの得意な機能と特徴から、最適な運用を検討していただければと思います。

最後に

ここまでArcSightの特徴や注意点を紹介してきましたが、ArcSightの特徴を一言で言ってしまえば「様々な状況に応じたルール作りと、少ないリソースで色んなログを割と高度に分析することが可能となるシステム」と考えています。

ただし日々様々なサイバー攻撃が発生しており、それに対抗するためSIEMをはじめとしたセキュリティ機器やその機能が進化を続けています。そのため、本記事で紹介したArcSightの特徴は別のSIEMの機器でも備わっている特徴ももちろんあり、それぞれの機器毎に得意とする機能や操作性を有しています。

現在SIEMの導入をお考えなら、まずは要件や導入の目的を明確にして、様々なSIEMの得意なことや特徴を確認の上、適切に選択されることを推奨いたします。

本記事がその一助になれば嬉しく思います。