日経 xTECH Special 日経 xTECH 日経 xTECH Special

セキュリテイの基本は「ログ」分析

ビジネスのあらゆるシーンがデジタル化される一方で、サイバーセキュリティのリスクも高まっている。現在はどのようなセキュリティ対策が求められているのだろうか。サイバー攻撃と日々向き合っている情報通信研究機構(NICT)の井上大介氏と、サーバーアクセスログ市場で大きなシェアを誇る「ALogシリーズ(以下ALog)」を開発・販売する網屋の佐久間貴氏が、最新のセキュリティ事情について話し合った。

内部侵入を前提としたセキュリティ対策に注目

―最近のサイバー攻撃の特徴は、どのようなところにあるのでしょうか。

井上 大介 氏
国立研究開発法人
情報通信研究機構
井上 大介 氏

井上 最近のサイバー攻撃は、その範囲が大きく広がっています。以前はPCだけでしたが、今ではルーターやWebカメラ、IoT機器などにも広がっています。これらの機器は攻撃されていてもなかなか気が付きません。また、攻撃手法もデータを暗号化して身代金をとるランサムウエア、データを盗み出す標的型攻撃など多岐にわたり、複雑になっています。
 こうした中で企業がとるべき対策も変わってきています。10年前はインターネットの出入り口にファイアウォールや不正侵入検知システムを配備する水際対策がメインでしたが、今では内部に侵入されたことを前提とした対策も組み合わせるようになっています。

佐久間 貴 氏
株式会社 網屋
セキュリティ事業部
事業部長 佐久間 貴 氏

佐久間 当社のALogはもともとJ-SOX法に対応した内部監査のため当社で完全内製開発し「記録を自動化する」というコンセプトで有事の際の追跡に利用されてきました。
 現在では、独自のログ翻訳エンジンで分かりにくいログを分かりやすい形へ可視化するとともに、ファイルサーバーへのアクセスからネットワーク、クラウドサービスへと対象を広げ、さまざまなログを一元管理できるようになっています。

井上 「観測して、分析し、対策を行う」というのがセキュリティの基本です。その観測の対象が境界から内部に変わってきている中で、内部のログを収集するというアプローチは、一般論として理にかなっています。
 攻撃者にとっては、内部を監視するツールが入っていると、攻撃することが難しくなります。動きを監視されていることで、攻撃がやりにくくなるからです。

普段と違う振る舞いをAIによって検知するALog

佐久間 ITの活用が広がるとともに、ログ管理の重要性に対するお客様の意識は高まっています。それに応えて当社の製品も進化させています。
 今までのログ管理では「閾値(しきい値)を全てのユーザーに同じ値をセットし、それを超えたらアラートを出す」という割切り型の対応でした。しかし、昨今の業務の細分化、多様化によって全ユーザー同一のチェックだけでは効果が見込めず、個人ごとの閾値を設定する必要が出てきています。
 そこでALog v8では、AIによって「一人ひとりの普段と違う」振る舞いをスコアリングして可視化できるようにしました。高度なAI機能を「顧客課題を解決する」というところに使っています。この顧客課題ドリブンな製品開発が当社の強みだと考えています。

―AIをセキュリティに活用するという点について、どのような印象をお持ちですか。

井上 2016年に米国で「Cyber Grand Challenge」というマシンとマシンが完全自動で防御能力を競い合うセキュリティの大きなイベントがあってから、セキュリティ業界ではAIを使うのが当然のような風潮になっています。
 ただ、AIはどうしてそういう結果を出したのかが分からないブラックボックスになることが多く、相互に比較できないという難しさがあります。ALog v8の場合は、普段の使い方のデータと比較して「外れ値」によって異常を検知するという仕組みのようですから、ユーザーにも分かりやすいかもしれないですね。

佐久間 ユーザーにとって分かりにくいものは受け入れてもらえないというのが、私たちの考え方です。企業はAIに判断してもらうことを求めているわけではないと思います。そこでALog v8ではユーザーが困っている日々の面倒な業務にAIを活用し、簡単・自動化へと改善することができました。

井上 AIでは説明可能性が問題だと思います。企業を守るセキュリティではなおさらそうですね。何かインシデントが発生した際にも、その原因が分からなければ、対応のしようがありません。

佐久間 ALogの場合は普段との違いの差をスコアリングで表します。普段の使い方との違いが大きければ高いスコアがつき、それをランキングで表示します。ランキングで「最もスコアが高い人=最もリスクが高い人」ということになります。
 AIの活用で特に注意しなければならないことは、AIが絶対であるわけではないことで、「最もスコアが高い人」が「最も危ない人」ではないということです。
 つまり、リスクが高い人は「普段と違う行動をとっている人」であり、確率的にリスクが高いのであって、それを人間が確認する行為は必要になります。
 こういった運用で「AIと人間の橋渡し」にALogが活用されるといいですね。

井上 大介 氏
「観測して、分析し、対策を行うというのがセキュリティの基本です」(井上氏)

企業内に蓄積されたログデータの活用を

―AIに学習させるデータはどのように用意するのでしょうか。

佐久間 ALogのユーザーであれば、すでに過去ログというビッグデータを持っていますのでそれを使用します。また、いままで取得していなかった機器のログ、他のツールで収集したログもALogに取込むことができるのでそれらも活用可能です。
 これらのAIはALog v8の標準機能の1つであり、蓄積してきた過去のログを武器として、これからのビジネスに活用していくものです。

井上 デジタル機器が増える一方で、ログデータの管理は大変になっています。特に集めて分析して結果を提示するところでは、大量にアラートを出してしまっても対応に困ることになります。しかし、攻撃の痕跡はどこかに残っていますから、監視の目は必要です。
 このベーシックな作業にAIを活用するというのは、これからのセキュリティを考える上で、ある意味王道だと言えるかもしれませんね。

佐久間 これからのセキュリティを考えるという点では、当社はコンサルティングサービスもしており、そこでは「まずログデータの重要性をしっかり理解」していただくようにしています。「いつ・誰が・何をしていたのか」を把握するには、ログを記録して分析することは欠かせません。
 ご理解いただくこととあわせて運用方法についても提案しております。対象となる機器が増えればログも比例して増えていきますが、長期保管の重要性や大量ログ保管方法なども重要なポイントで、ALogでは独自技術での圧縮をすることで非常にコンパクトに保管でき、運用に必要なサーバーの負荷も軽減できる技術を持っているのも当社の強みです。

佐久間 貴 氏
「お客様にはログデータの重要性をしっかり理解していただくようにしています」(佐久間氏)

―最後に、企業経営者やCIOに向けたメッセージをお願いします。

佐久間 企業においてセキュリティ管理はなくてはならないものです。しかし、そこにはコストだけでなく人的リソースも必要です。特に人的リソースという面では、システムを導入することで属人性を低め、システム運用を安定化させ、自動化させることが重要になります。
 その点からもALogで実現できるところはALogに任せていただき、人間にしかできない創造的な業務に人的リソースを振り分けることで、企業の成長に結びつけていただきたいと思います。
 そして、これらを「国産製品のALog」で、安心・安全な企業活動をサポートできれば幸いです。

井上 最近「セキュリティ自給率」がキーワードになっています。今までのセキュリティ製品の多くが海外製品で、日本で技術の中身を把握することがなかなかできていません。今後AIの適用が進めばブラックボックス化も進みます。日本としては、この自給率を高めることも考えていくべきではないでしょうか。
 NICTとしても国産のセキュリティ技術を高めるために、日々研究を進めています。こうした状況もご理解いただきたいと思います。

お問い合わせ
  • 株式会社 網屋

    〒103-0007 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町 11F

    TEL:03-6822-9996(セキュリティ製品・サービス)

    E-mail:bv-sales@amiya.co.jp

    事業内容:セキュリティのログ管理パッケージの開発販売、ネットワークのクラウド管理サービスを展開

    URL:https://www.amiya.co.jp/

    ALog V8特設サイト:https://www.amiya.co.jp/alogv8/