静的なまたは動的なイベント相関分析

イベント相関分析とは？

組織の規模を問わず、企業のネットワークでは、多くの不審なアクティビティが発生している可能性があります。潜在的な脅威からネットワークを保護するには、不審なアクティビティを監視する必要があります。たとえば、「あるユーザーアカウントのログイン試行が100回失敗した後に成功した」といった異常なアクティビティが発生した場合、監視によって迅速に検出し、適切に対応できます。

しかし、アクティビティが異常かどうかを判定する基準を明確に定めることが難しい場合もあります。上記の例で、ログインが100回失敗した後に成功した場合にアラートを生成するというルールを設定していたとしましょう。この場合、ハッカーが90回目の試行でパスワードの解読に成功したら、異常なアクティビティとして検出されません。このようなケースに対応するためには、より効率的で信頼性の高い脅威検出の手法が求められます。

イベント相関分析は、多数のイベントをビジネス的な観点で分析し、イベントの関連性・発生順序を明らかにした上で、論理的な解決策を提示します。相関分析では、アクティビティの発生順序が一連のルールに従っているかどうかを検証します。このようなルールに基づいて、SIEM（セキュリティ情報およびイベント管理）ソリューションは、不審なアクティビティを潜在的なセキュリティ脅威として扱うべきかを判別します。

たとえば、特定の順序で発生するイベントXとYを検出する相関ルールを定義する場合を考えてみましょう。ここで、Xは、特定のIPアドレスを使用したユーザーアカウントによるログインの失敗回数を表し、Yは、同一のIPアドレスによるログイン成功を表します。ルールを設定すると、Xのイベント（ログインの失敗）が発生した後にYのイベント（ログインの成功）が発生するたびに、アラートが生成されます。このように、イベントに関する条件を事前に定義することで、通常のイベントと潜在的な脅威を識別できます。

ニーズに基づいて企業独自のルールを作成することも、SIEMソリューションが提供する標準のルールを活用することも可能です。インシデントを正確に検出するための鍵は、ビジネスの性質を考慮してセキュリティソリューションの相関エンジンを適切に設定することです。

過去と現在の両方に対してセキュリティを強化

相関分析には、静的な手法と動的な手法の2種類があります。

静的な相関分析

予防的なセキュリティ対策のみでは十分ではありません。セキュリティ侵害は必ず発生するため、今後同様の侵害を防止することが重要です。侵害がどのように発生したかを分析し、その影響を軽減するための対策を模索する必要があります。

静的な相関分析は、インシデント発生後に履歴ログを調査して、セキュリティ侵害を分析するプロセスです。静的な相関分析により、ログデータを分析し、過去のイベントから複雑なパターンを特定できます。この分析手法を用いることで、過去に発生したセキュリティ侵害の痕跡を検出し、脅威を特定できるだけでなく、進行中の攻撃に関する情報を得ることも可能です。

動的な相関分析

動的な相関分析は、セキュリティインシデントをリアルタイムに検出します。SIEMソリューションは、イベント発生時に相関ルールをイベントに適用することで、受け取ったログデータを即座に分析し、迅速に攻撃パターンを検出できます。この分析手法により、迅速な検出と対応が可能になるため、ネットワークを常に保護できます。

この2つの分析手法によって、組織のネットワークを狙ったセキュリティ攻撃に対して迅速な防御対策を実施できます。