パケットキャプチャとSIEM

パケットキャプチャとSIEM

パケットキャプチャ

パケットキャプチャとは、用語そのままですが、パケットをキャプチャ(取得)する作業です。ここでいう「パケット」とは、ネットワークを流れるデータを指すことが多いですが、場合によっては USB バスを通るデータをキャプチャすることもあります。

パケットキャプチャ用のツール

パケットキャプチャを行えるツールとして古くから使われているものには、たとえば、Linux 環境では tcpdumpがあります。Windows 環境では、Microsoftから「ネットワークモニター」が提供されていますし、それ以外にもWinPcap やWin10Pcap なども利用可能です。ただし、WinPcap や Win10Pcap はそれぞれが単体で使用されることはあまりありません。通常は Wiresharkなどのツールがこれらをライブラリとして使用して、パケットキャプチャを行います。

パケットキャプチャを行うのに必要なもの

パケットキャプチャ用のツールを動かすのに特別な道具はいりません。上記のツールがあれば、パケットを取得できます。ただしこの場合、取得できるパケットには「ツールが動作しているコンピューターが受信できる通信データのみ」という制限があります。もし、特定のネットワーク上を流れるあらゆるデータを取得したい場合は、通信データを複製できる「ミラーポート」と呼ばれる機能が搭載されているイントワークスイッチが必要になります。なお、パケットキャプチャを行うと、ネットワーク上を流れるあらゆるデータを取得できるため、すべての通信内容を把握できるように思えるかもしれませんが、そのようなことはありません。VPN(Virtual Private Network) 通信などの暗号化通信では、データが暗号化されているため、パケットキャプチャによって通信データを取得できてもその内容を解読することはできません。暗号化されているデータを解読」するには、復号するための鍵を入手するか、または別の手段を使うことが必要です。

SIEM

SIEM (Security Information and Event Management) は各種ログを総動員して解析し、セキュリティ上の脅威となる事象を検知する仕組みです。元々は SIM(Security Information Management)と SEM(Security Event Management)という別々の仕組みでしたが、両者を合わせて SIEM という仕組みになりました。

SIEM が行うのは、ログの収集管理と脅威分析支援

SIEM は、情報 (Information) の収集·管理を行い(SIM 部分)、収集した情報の分析を行って、脅威となる事象(Event) の検知支援を行います(SEM部分)。SIEM では通常、各種ログに残っている情報を利用することが多いのですが、収集管理対象となるログを残すのは SIEM ではなく、導入済みの機器です。たとえば、ルーターやファイアウォール、インターネット接続用のプロキシサーバーなどが、ログを残す機器の一例です。

SIEM の導入は、 脅威の検知と抑止につながる

SIEM を導入することによって情報の収集や管理が効率的に行えるようになると、ログに残る不正行為を確認しやすくなるため、不正行為を早期発見できるようになります。また、不正行為の抑止にもつながります。また、SIEM による脅威の検知支援は、インシデントの予兆を知るために役立ちます。不正行為やインシデント は、いずれも組織にとっては脅威に分類されるので、SIEMを導入·運用することは「脅威の検知と抑止」につながります。ただし、SIEM はただ導入すればよいというものではありません。SIEM はあくまでも「仕組み」であるため、日常的にその仕組みを利用することが必要です。SIEMの効果が出るか否かは日常運用にかかっている、といっても過言ではありません。SIEM を日常運用に組み込み、脅威が検知された後の対応も併せて考えていくことが大切です。

セキュリティカテゴリの最新記事