SIEM とは？

SIEM の価値を最大限に引き出すには？

SIEM ソリューションの価値を最大限に引き出す最善の方法は、自社のニーズと業界固有のリスクを理解し、自社に適したソリューションを時間をかけて選定して、継続的に改善することです。

SIEM ツールの価値を実現するために必要な強固な基盤を築くには、以下のベストプラクティスを実践します。

1. 時間をかけて計画とレビューを行う：SIEM で何をしたいかをよく考え、具体的な目標を設定します。目標を設定することは、適切な SIEM ツールを選ぶ上で重要です。下調べは入念に行ってください。SIEM は複雑で、導入に時間がかかることもあるため、初期の調査を怠ってはいけません。
2. 導入後も継続的にメンテナンスする：ツールをデプロイした後に適切に機能させるには、メンテナンスが欠かせません。どんなに直感的に使えるツールでも、システムを継続的に評価し、ビジネスの変化に合わせて調整する必要があります。
3. 手順を確立して綿密に監視する：どのような行動を悪質と判断してアラートを生成するか、また、その行動が検出されたときにどの対応策を実行するかについて、条件を定める必要があります。そうしないと、誤検知を多く含む大量のアラートが IT チームの元に届くことになります。これらの手順を確立した後も、継続的に必要な調整を行うことで、誤検知のアラートを減らし、真の脅威に集中して対応することができます。
4. スタッフを継続的に教育する： SIEM を導入すれば IT チームやセキュリティチームの負担が軽減されますが、だからといってこれらのチームが不要になるわけではありません。IT とセキュリティ環境の変化に対応するには、ソリューションの実装、保守、継続的な調整に関するスタッフのトレーニングが欠かせません。

SIEM を使い始めるには？

SIEM のデプロイメントの第一歩は、ユースケースの優先順位を決めることです。設定した目標と照らし合わせて考えましょう。多くの SIEM ツールには、一般的にどの企業でも適用できるユースケースがルールセットの形で用意されていますが、それが自社の優先順位と一致しているとは限りません。ニーズと目標は、製造業、医療、金融サービス、小売業、公共機関など、業界によっても大きく異なります。

SIEM の実装方法を決めるときは、以下の点を検討します。

• システム内で利用できるデータのタイプと量
• 自社の知識レベルと、SIEM の実装、管理、保守を担当する IT スタッフまたはセキュリティスタッフを育成できるかどうか
• 自社の成長見込みとそのペース
• 自社のネットワークの規模と利用状況 (リモート拠点の数、ユーザーのモバイル利用の度合いなど)
• コンプライアンス上の義務
• 予算

決定と実装プロセスでは、これらのすべての要素を考慮しましょう。

また、当面のニーズに対応するだけでなく、予測される成長速度とセキュリティ成熟度の向上を勘案して、セキュリティ機能を将来どのように拡張していくかも検討します。たとえば、中小企業や成熟度の低いセキュリティチームであれば、基本的なイベント収集から始めて、UEBAやSOAR(セキュリティのオーケストレーションと自動化によるレスポンス) など、より高度な機能を徐々に取り入れていくことができます。

ユースケースとセキュリティ ロード マップが定まったら、SOC チームや IT チームは、それに基づいてイベントデータの各種ソースを調査し、適切で完全かつ有用なデータがツールに取り込まれるように設定します。質の良いデータを取り込めば、その分 SIEM は効果を発揮します。

自社に最適な SIEM ソリューションを選択する方法

SIEM ツールの選定では、検討すべき選択肢の多さに圧倒されるかもしれません。SIEM ツールを評価するときは、以下の機能に注目します。

1. リアルタイム監視：攻撃の実行速度は速く、対応が遅れれば、その分被害が大きくなります。そのため SIEM では、ユーザー、デバイス、アプリケーションに関するアクティビティだけでなく、身元不明のアクティビティを含め、ネットワーク内で起きているあらゆる活動をリアルタイムで俯瞰的に把握できることが必要です。また、監視機能が、オンプレミス、クラウド、ハイブリッドすべてのデータセットに対応しているかどうかも重要です。
   
   単に監視するだけでなく、その情報を統合して有用な形式で提供する機能にも注目します。事前に定義されたカスタマイズ可能な相関ルールのライブラリ、セキュリティインシデントとイベントをリアルタイムで表示するセキュリティ イベント コンソール、脅威のアクティビティをリアルタイムで可視化するダッシュボードなどを備えているかどうかを確認しましょう。
2. インシデント対応：最も重要な点として、分析主導型 SIEM は進行中のサイバー攻撃を阻止できる自動対応機能を搭載している必要があります。また、重要なイベントとそのステータスの検出、イベントの重大度の判定、修復プロセスの開始、インシデントを取り巻くプロセス全体の監査に対応しているかどうかも重要です。
   
3. ユーザー監視：脅威は内部にも存在します。ユーザーが悪意を持っていたり、ユーザーの行動が外部の脅威を招いたりすることがあるためです。SIEM ツールは、最低でも、アクセスデータと認証データの分析、ユーザーコンテキストの確立、疑わしい行動や企業ポリシーまたは規制違反に関するアラート発信を行う機能を備えている必要があります。コンプライアンスレポートを作成する場合は、攻撃の標的になりやすい特権ユーザーを監視する機能も必要でしょう。これは、特に規制が厳しい業界のコンプライアンスレポートで一般的な要件です。
4. 脅威インテリジェンス：SIEM では、既知のゼロデイ攻撃や APT (Advanced Persistent Threat) などの外部からの主要な脅威を識別できる必要があります。脅威インテリジェンスは、異常なアクティビティを発見するだけでなく、セキュリティ体制の弱点を悪用される前に突き止めて、対応策と修復方法を考えるためにも役立ちます。
5. 高度な分析と機械学習：どれほど大量のデータがあっても、そこから明確なインサイトを得られなければ価値はありません。高度な分析機能があれば、統計、記述的および予測的データマイニング、シミュレーション、最適化などの洗練された定量的手法を適用して、さらに深いインサイトを取得できます。
   
   機械学習を採用する SIEM ツールでは、通常の行動と真の逸脱を継続的に学習することにより、判定精度を向上させることができます。テクノロジー、攻撃ベクトル、攻撃手口がかつてないほど急速に進化している今日、この機能は特に重要です。
6. 高度な脅威検出：多くのファイアウォールや侵入防止システムで、新たに出現する高度な脅威への対応が遅れる中、ネットワークセキュリティ監視、エンドポイントでの検出、対応のサンドボックス化、行動分析の各機能を組み合わせて実行する SIEM なら、新しい潜在的脅威を特定して隔離できます。また、脅威を検出するだけではなく、脅威の深刻度、検出後の動き、封じ込め方法を確認することもできます。
   
7. シームレスなログ管理：SIEM では、何百、さらには何千ものソースからデータを収集できるかどうかに加えて、ログデータの管理と取得に役立つ、使いやすくて直感的なインターフェイスを備えているかどうかも重要なポイントです。
   
8. 拡張性：現在だけでなく将来のニーズ、特にビジネスの成長と IT フットプリントの拡大にも対応できる SIEM を選ぶことが大切です。