様々なセキュリティ製品が世に出ていますが、サイバー攻撃も進化を続けており、完全に攻撃を防ぐのが難しいという現状があります。そこで知っておきたいのが「SIEM」です。最近では、SOC可視化トライアドを構成する1つの要素としても紹介されることがあります。当記事では、SIEMとはどのようなものなのか、またその仕組みや機能などを詳しく解説します。SIEMについて理解を深めたい方は、ぜひ参考にしてください。
SIEMの概要
「SIEM(シーム)」とは「Security Information and Event Management」の略称で、ネットワーク製品やセキュリティ製品を含むあらゆるIT機器のログを一元管理・解析し、インシデントにつながる脅威を検知するセキュリティ製品のことです。「統合ログ管理ツール」と表されることもあります。
SIEMへの理解を深めるためには、その目的や特徴、誕生に至った背景などを押さえておくことが大切です。それらを把握しておけば、SIEMがなぜ必要とされているのか、ほかのセキュリティ製品とどう違うのかも分かりやすいでしょう。
あらゆるIT機器のログを一元管理・解析
SIEMは多様なIT機器におけるログの一元管理を実現し、これらのログに対する総合的な解析機能を提供します。解析の結果から異常な挙動を検知し、検知した内容を管理者に通知することで、迅速なインシデント対応を実現することができます。ダッシュボード機能により、収集している各種ログや、検出した脅威を可視化することも可能であり、インシデント発生時の対応の迅速化にも役立つため、セキュリティ運用における効率向上および信頼性向上につながるでしょう。
SIEMについて正しく理解するために重要なポイントは、SIEMを導入する目的が「攻撃や異常などの発生を未然に防ぐこと」ではなく、それらをできるだけ「素早く検出し、その後のインシデント対応を迅速化すること」に着目している点です。脅威に対する防御・予防を重視する従来のセキュリティシステムとは違い、SIEMでは実害の最小化と事後対応の最適化を重視しています。
そのためには、ログの一元管理、そしてリアルタイムなログ収集が欠かせません。単に膨大な量のデータ解析をするだけでなく、各種IT機器を横断したログ解析も求められます。SIEMは、このような相関分析をあらかじめ定義されたルールに則って自動で、システマチックに実現するものであり、分析結果や収集しているログの可視化を実現します。
SIEMが生まれた背景
従来は、攻撃手法がそれほど多様化していなかったため、「攻撃を防ぐ」という観点でいくつかのセキュリティ製品を導入することで、十分な対策が可能でした。
しかし近年では、サイバー攻撃も多様化し、侵入する脅威を完璧に防ぐことが困難になってきています。可能な限りあらゆる攻撃を防御しようとすれば、セキュリティ対策はこれまで以上に過度に複雑化し、技術的にも予算的にも、一企業で実現するには非現実的なものとなります。
他にも、IT人材の不足により、セキュリティ対策のための専門人材がそもそもいない、もしくは十分に確保できないような組織も増えています。多種多様なセキュリティ製品を限られた人員で運用する必要があるということも、多くの組織の課題の一つなっています。
このような状況を踏まえて着目されたのが、迅速な脅威検知とその後のインシデント対応の効率化です。完全な攻撃の防御はできないものとして、侵入した脅威の迅速な検出とその後のインシデント対応を適切に行い、実害を最小限に抑えようとする考えです。これらを実現するためには、リアルタイムでのあらゆるログの収集とその解析が必要不可欠です。これを実現するべく2010年ごろに生まれたソリューションの1つがSIEMです。
SIEMの機能は?何ができる製品なのか
以下では、SIEMの機能や主な製品について、もう少し具体的に見ていきましょう。重要なのは「セキュリティ状態が可視化されること」「セキュリティの運用が合理化されること」です。一口にSIEMといっても多様な製品があるため、自社に適したものを検討しましょう。
SIEM製品は様々
SIEM製品は様々リリースされており、代表的なものとしては「Splunk」「IBM Security QRadar」「Logstorage」「ALog EVA」などが挙げられ、最近では専業ではないセキュリティベンダーもSIEMを提供しています、当社取り扱い製品だと、UTMで知名度の高い「Fortinet」も製品をリリースしています。
最近では、SIEM機能に加えて関連する様々なセキュリティ機能を提供するSIEM製品も増えています。例えば解析を強化するUBA・UEBA機能や、連携や自動化を強化するSOAR機能が一般的です。これらの機能が必要であるかどうかという観点も、SIEM製品を選定する上で重要なポイントとなります。
セキュリティデータの可視化
SIEMは、組織内のあらゆるデバイスやソフトウェアのログを収集し、一元管理することができます。ただ集約管理するのみではなく、ダッシュボードを通して管理しているログの可視化や分析の機能を提供します。データが可視化されることで、インシデント対応・調査力が強化されるのです。
ただし、攻撃の実行速度に対応しなければならないため、リアルタイムでの監視は必須です。よって、社内のネットワーク内で発生した事象を、リアルタイムかつ俯瞰的に把握できることが重要です。
製品を選定する際は、SIEMの提供方法(クラウド型・オンプレミス型・ハイブリッド型)及び、各種ログの収集方法と頻度を確認し、リアルタイムにログの収集が可能な構成を取ることができるか、という点にも着目すべきでしょう。
収集したログを分析し脅威を検出
SIEMは、収集したログに対する高度な分析の機能を提供します。SOCチームやCSIRT部隊のナレッジを活用して、独自のカスタム検知ルールの作成はもちろん、現状で購入利用している3rd Partyによる脅威インテリジェンスを活用した脅威検知も可能です。
SIEM製品として必要な検知機能はこれだけでも十分ではありますが、最新のSIEM製品の中には、UBAやUEBA、XDR機能による学習エンジンを用いた脅威検出を実現するものもあります。SIEM製品自体が機能を提供するものもあれば、3rd Party製品との連携によって実現するものもあり、製品ごとに実現方法や、利用している学習エンジンはまちまちです。脅威そのものを検出する製品もあれば、定常状態を学習し異変があれば検出するようなアノマリ検知を行うものもあります。既存の検知機能と比較して、学習エンジンを活用しているために検知ルールのカスタマイズ負荷が低いことが特徴といえます。
セキュリティ運用の合理化
企業が自分たち自身でSIEM製品によるセキュリティ運用を行う場合、セキュリティの強度が高まるだけでは不十分です。合理的かつ効率的な運用がなされる必要があります。なぜならデータの漏洩など、情報に対する安全性を高めることが企業の目的ではないからです。安全性の確保は、あくまで本業であるビジネスに付随するものであり、一般的に企業は利益を上げることを目標とします。
そのため、セキュリティ面の強化を意識しすぎて、必要以上の予算をかけてしまっては本末転倒です。費用対効果にも配慮した運用がされなければなりません。もちろん、コストだけでなく人的リソースにも配慮が必要でしょう。たとえコスト面で優れていたとしても、システム管理者の作業負担が大きすぎたり、長い時間を要したりするのでは、よい状態とはいえません。
そこで、機能性に加えて効率にも着目することが大切です。SIEM製品を活用することで、データを可視化するだけでなく、発生しているインシデントの優先度の順位付けを行うことで、セキュリティ運用の合理化を図ることも可能です。例えば、様々な異常が検知された場合、それぞれの異常につき詳細な情報が提供されるだけでは足りません。取り組む順番についても把握できれば、より効果的でしょう。
脅威となり得るものから順に手を打てるよう、優先付けをしてくれることで、調査の強化も期待されます。さらに、脅威の重複が生じる場合でもその排除がなされるなど、高度な運用に資するシステムといえるでしょう。
ただし、最大限これらの力を発揮してもらうためには、導入時の適切なルール設定が必要です。また、ある程度の稼働期間や、管理者側のスキルなども求められるでしょう。
自動化で手作業を減らす
従来では、対処しなければならない問題が発覚すると、作業者が手作業で対応するケースも多くありました。しかし、SIEMを導入することで、既存のネットワーク製品やセキュリティ製品との連携を実現し、さまざまな対応の自動化を実現できます。、作業者が手作業で行っていたさまざまな業務時間を短縮でき、攻撃に対する優位性を高めることが可能です。
自動化や業務効率化についてより高い効果を期待するようなケースでは、SOARとの組み合わせ利用をするケースもあります。昨今のSIEM製品の中にもSOAR機能を提供するものが増えてきました。SOAR機能の活用、もしくは3rd PartyのSOARとの連携により、組織内のあらゆるITインフラとの連携を実現し、インシデント対応の完全自動化を目指す、と言ったことも可能となっています。
セキュリティ対応において、時間は非常に重要な資源です。こうした各種作業を自動化することで、最も取り組むべき作業にリソースを集中できるようになるでしょう。
まとめ
SIEMは、ある特定の攻撃に対して直接に防御を行うものではなく、攻撃や異常などを迅速に察知し、その後のインシデント対応を効率化するためのソリューションです。今後も高度化が予想されるサイバー攻撃に対応するためには、できるだけ素早く異常を検知し、確実な初期対応を行うことが重要になってくるでしょう。SIEMを導入することで、これらの対応の効率化が期待できるものでありたとえ攻撃を許してしまったとしても実害を最小限に抑えられます。また、UBAやUEBA、XDR、SOARといったSIEMとの親和性の高いさまざまな新たな機能の活用、もしくは連携を行うことで、手作業による分析では調査しきれない早期段階のインシデントまでも対応できるようになる可能性があります。
こうした機能は、これからのセキュリティ対策において力を発揮し、セキュリティ担当者の負担軽減にも寄与します。セキュリティ上の問題を抱えている、あるいはセキュリティレベル向上の必要性を感じている企業は、ぜひ導入をご検討ください。
この記事に関するサービスのご紹介
FortiGuard
24時間365日の運用体制で検知した脅威は、FortiGuardディストリビューションネットワークを通して、あらゆるコンテンツ レベルの脅威から包括的に保護するアップデートを提供します。
詳細はこちら