SIEM ラック

社内構築とサービス利用--SIEMとMSSの“ハイブリッド”運用を考える

 前回は、セキュリティ情報イベント管理(Security Information and Event Management:SIEM)の導入を検討するプロセスとして、自社構築型とサービス利用型のメリットとデメリットについて考察した。

 今回は、自社構築型とサービス利用型の両方を組み合わせた“ハイブリッド”環境での運用について、大きく4つのパターンで考えてみる。

パターン1:ネットワークや機器で切り分ける

 セキュリティ脅威は、外部要因と内部要因に大きく分類できる。DoS(サービス拒否)攻撃やウェブハッキング、マルウェアなどは外部から発生する脅威である一方で、IDのなりすましや情報の持ち出しなどは企業内部から起こり得るリスクである。

 インターネットや外部と接続しているオープンネットワークはサービス利用型で、社内LANによるイントラネットなどクローズドネットワークは社内構築型で、各ネットワークのセキュリティ監視をするという考え方だ。

 外部からの脅威を防ぐには、サービス利用型のほうが適している。セキュリティ専門家らが、最新のセキュリティ脅威動向に目を光らせ、世界各国のセキュリティ組織と連携して情報収集にあたったり、セキュリティ製品ベンダーと連携した技術検証などを進めることができるからだ。

 また、一部の顧客で発生した脅威への対策を全顧客に適用することで安全性を高めていくことも可能だ。日々変化する攻撃方法と脅威の種類に対応するには、社内体制を構築するよりも、外部の専門家に任せてしまった方が確実かつ安全であると考えられる。

 その一方で、内部の脅威については、エンドポイントの管理などを含めて、企業特有の振る舞いを考慮しなくてはならず、社内の運用でないと十分に対応しきれないものも多い。業務プロセスや従業員の行動パターンなどを細かく把握していれば、なりすましによる不正アクセスや不正な情報の持ち出しなど、内部で何が起きているかを検知しやすくなるだろう。

パターン2:リソースで切り分ける

残り本文:約1197文字 ログインして続きを読んでください。

関連記事

一緒に見られている製品

編集部おすすめ

ピックアップ製品

サーバ
PC・モバイル
ストレージ
ネットワーク
仮想化
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
新興技術
財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
サイト構築
PCソフト
学習

ベンダー座談会

Follow TechRepublic Japan