SIEMとは、ネットワーク、セキュリティ機器のログデータ内のアクティビティを収集し、リアルタイムで脅威となりうるものを自動で検出、可視化して、通知する単一のセキュリティ管理システムです。SIEMを使用することで、幅広いソースからマシンデータを収集、解析、分析を行い、脅威となりうるものに先手を打つことができ、高度なセキュリティ運用が可能になります。
SIEMの読み方は、Security Information and Event Management(セキュリティ情報とイベント管理)の略称で、「シーム」と読みます。SIEMの特徴は、わずか数秒で大量のデータを取り込んで解析し、異常な行動を検出するとただちにアラートを送信する機能です。そのため、ユーザーはビジネスを保護するためのインサイトをリアルタイムで得ることができます。手動では大量のイベントをこれほど速く処理することは不可能です。SIEMなら、ITインフラストラクチャの現在の状態をいつでも確認できるだけでなく、業界の規制に準拠してログデータを保存および管理することができます。ネットワーク上のすべてのアプリケーションとハードウェアのデータをリアルタイムで分析できるため、企業は内外の脅威に対して常に先手を打つことができます。
SIEMは、ガートナー社が2005年にこの言葉を提唱して以来、10年以上にわたり常に進化を続けてきました。AIテクノロジーほど大きく話題に上ることはないかもしれませんが、変化が速く複雑化が進む今日のITおよびセキュリティ環境において、SIEMは脅威検出に欠かせない存在です。
セキュリティに関する似たような概念には、SEM (セキュリティイベント管理) とSIM (セキュリティ情報管理) があります。SIMではログやその他のセキュリティデータの収集と管理に重点が置かれ、SEMではリアルタイムの分析とレポート作成を実行できます。一般的に、SIEMは、これら2つのセキュリティ情報管理機能を組み合わせたシステムと言えます。
この記事では、SIEMの意味や機能、最適なSIEMソリューションの選び方についてご説明します。
SIEMの仕組み
SIEMシステムには、社内ネットワークインフラストラクチャの境界からエンドユーザーまで、さまざまなソース (サーバー、システム、デバイス、アプリケーション) からのイベントデータが集約されます。集約されたデータは最終的に、ユーザーや資産などに関するコンテキスト情報と組み合わせたインサイトとともに1つの画面に表示されます。SIEMソリューションでは、データを統合して分析し、組織が定義した行動ルールからの逸脱を調べることで、潜在的な脅威が特定されます。
データソースには以下のものが含まれます。
- ネットワークデバイス:ルーター、スイッチ、ブリッジ、ワイヤレス アクセス ポイント、モデム、ラインドライバー、ハブなど
- サーバー:Webサーバー、プロキシサーバー、メールサーバー、FTPサーバーなど
- セキュリティデバイス:IDP/IPS、ファイアウォール、ウイルス対策ソフトウェア、コンテンツフィルター装置、侵入検知アプライアンスなど
- アプリケーション:上記のデバイスで使用されているソフトウェア
分析対象となる属性には、ユーザー、イベントタイプ、IPアドレス、メモリ、プロセスなどがあります。SIEMシステムで検出された逸脱は、ログインの失敗、アカウントの変更、潜在的なマルウェアなどのカテゴリーに分類されます。逸脱が検出されると、セキュリティアナリストにアラートが通知されるか、異常なアクティビティが一時停止されます。SIEM管理者は、アラートを発する状況についてガイドラインを設定し、悪質なアクティビティが一時停止されたときの対応手順を決めます。
SIEMシステムではパターンや異常な行動も検出されるので、単一のイベントではアラート対象にならない異常も、複数のイベントの相関付けによって検出し、アラートを生成できます。さらに、これらのログがデータベースに保管されるため、ログを使ってより詳細なフォレンジック調査を行ったり、コンプライアンス要件に準拠していることを証明したりできます。
SIEMツールの機能
SIEMツールは、分析主導型のセキュリティコマンドセンターとして機能するソフトウェアです。集中管理する1つの場所にすべてのイベントデータが集められます。SIEMツールでは、イベントが解析、分類されるだけでなくコンテキストも提供されるため、セキュリティアナリストはインフラストラクチャ内のセキュリティイベントについて深いインサイトを得ることができます。
SIEMで利用できる機能は、基本的なログ管理や警告機能から、充実したダッシュボード、機械学習、履歴データの詳細分析まで、ソリューションによってさまざまです。主要なソリューションでは、以下のような情報を表示する数多くのダッシュボードが用意されています。
- 注意が必要なイベントの概要:セキュリティインシデントである可能性があるイベントの概要が表示されます。
- 注意が必要な全イベントの詳細:環境内の該当するすべてのイベントが表示されるため、対応の優先順位を決めることができます。
- 進行中の全調査の業務記録:複数のセキュリティインシデントを並行して調査するときに、それぞれの進行状況や活動を追跡できます。
- リスク分析:ネットワーク内のシステムとユーザーのスコアを確認して、リスクを特定できます。
- 脅威インテリジェンス:セキュリティインシデントのコンテキストが提供されます。この情報に基づいて、環境内の既知の悪質な行為者を特定できます。
- プロトコルインテリジェンス:キャプチャされたパケットデータから導出した、セキュリティ調査に関連するネットワークインサイトが提供されます。この情報に基づいて、不審なトラフィック、DNSアクティビティ、メールアクティビティを特定できます。
- ユーザーインテリジェンス:環境内のユーザーと資産のアクティビティを調査および監視できます。
- Webインテリジェンス:ネットワーク内のWebトラフィックを分析できます。
SIEM市場には、従来のものとは異なるツールも登場しています。代表的なのがユーザー行動分析 (UBA)です。UBAは、ユーザーとエンティティの行動分析 (UEBA) とも呼ばれ、内外の脅威を検出して修復することを目的としています。UBAは一般的に、より高度なセキュリティ用途向けとみなされますが、徐々にSIEM分野に取り込まれつつあります。たとえば、ガートナー社のマジッククアドラントSIEM部門では、UBA/UEBAソリューションに関する情報も考察されています。
最新のSIEMツールは、データを詳細に分析して、より深いインサイトと確かな脅威検出を提供する点で、従来のツールよりもずっと進化しています。人手では不可能なレベルの分析を、SIEMツールなら数クリックで実行できます。
また、最新のSIEMソリューションは、オンプレミス、クラウド、ハイブリッドのいずれの導入環境にも対応し、その多くはビジネスの変化や成長に応じて拡張できるように設計されています。
SIEMツールのどこを評価するべきか
SIEMツールの選定では、検討すべき選択肢の多さに圧倒されるかもしれません。SIEMツールを評価するときは、以下の機能に注目します。
- リアルタイム監視:攻撃の実行速度は速く、対応が遅れれば、その分被害が大きくなります。そのためSIEMでは、ユーザー、デバイス、アプリケーションに関するアクティビティだけでなく、身元不明のアクティビティを含め、ネットワーク内で起きているあらゆる活動をリアルタイムで俯瞰的に把握できることが必要です。また、監視機能が、オンプレミス、クラウド、ハイブリッドすべてのデータセットに対応しているかどうかも重要です。
単に監視するだけでなく、その情報を統合して有用な形式で提供する機能にも注目します。事前に定義されたカスタマイズ可能な相関ルールのライブラリ、セキュリティインシデントとイベントをリアルタイムで表示するセキュリティ イベント コンソール、脅威のアクティビティをリアルタイムで可視化するダッシュボードなどを備えているかどうかを確認しましょう。 - インシデント対応:最も重要な点として、分析主導型SIEMは進行中のサイバー攻撃を阻止できる自動対応機能を搭載している必要があります。また、重要なイベントとそのステータスの検出、イベントの重大度の判定、修復プロセスの開始、インシデントを取り巻くプロセス全体の監査に対応しているかどうかも重要です。
- ユーザー監視:脅威は内部にも存在します。ユーザーが悪意を持っていたり、ユーザーの行動が外部の脅威を招いたりすることがあるためです。SIEMツールは、最低でも、アクセスデータと認証データの分析、ユーザーコンテキストの確立、疑わしい行動や企業ポリシーまたは規制違反に関するアラート発信を行う機能を備えている必要があります。コンプライアンスレポートを作成する場合は、攻撃の標的になりやすい特権ユーザーを監視する機能も必要でしょう。これは、特に規制が厳しい業界のコンプライアンスレポートで一般的な要件です。
- 脅威インテリジェンス:SIEMでは、既知のゼロデイ攻撃やAPT (Advanced Persistent Threat) などの外部からの主要な脅威を識別できる必要があります。脅威インテリジェンスは、異常なアクティビティを発見するだけでなく、セキュリティ体制の弱点を悪用される前に突き止めて、対応策と修復方法を考えるためにも役立ちます。
- 高度な分析と機械学習:どれほど大量のデータがあっても、そこから明確なインサイトを得られなければ価値はありません。高度な分析機能があれば、統計、記述的および予測的データマイニング、シミュレーション、最適化などの洗練された定量的手法を適用して、さらに深いインサイトを取得できます。
機械学習を採用するSIEMツールでは、通常の行動と真の逸脱を継続的に学習することにより、判定精度を向上させることができます。テクノロジー、攻撃ベクトル、攻撃手口がかつてないほど急速に進化している今日、この機能は特に重要です。 - 高度な脅威検出:多くのファイアウォールや侵入防止システムで、新たに出現する高度な脅威への対応が遅れる中、ネットワークセキュリティ監視、エンドポイントでの検出、対応のサンドボックス化、行動分析の各機能を組み合わせて実行するSIEMなら、新しい潜在的脅威を特定して隔離できます。また、脅威を検出するだけではなく、脅威の深刻度、検出後の動き、封じ込め方法を確認することもできます。
- シームレスなログ管理:SIEMでは、何百、さらには何千ものソースからデータを収集できるかどうかに加えて、ログデータの管理と取得に役立つ、使いやすくて直感的なインターフェイスを備えているかどうかも重要なポイントです。
- 拡張性:現在だけでなく将来のニーズ、特にビジネスの成長とITフットプリントの拡大にも対応できるSIEMを選ぶことが大切です。
SOCでのSIEMの役割
SOC (セキュリティ オペレーション センター) でのSIEMの役割は、アナリストが手動で確認するには種類も量も多すぎるイベントデータを代わりに分析し、総合的なインサイトを導出して提供することです。マシンデータとログファイルを分析することにより、悪質な活動を検出し、自動化された対応策を実行して、攻撃への応答時間を大幅に短縮します。
SOCはSIEMが登場する以前から存在しますが、内外の攻撃への対応、脅威管理の簡素化、リスクの最小化、組織全体の可視化、セキュリティインテリジェンスの導出といった多くの任務を担う今日のSOCにとって、SIEMは不可欠なツールになっています。
SIEMの価値を最大限に引き出すには?
SIEMソリューションの価値を最大限に引き出す最善の方法は、自社のニーズと業界固有のリスクを理解し、自社に適したソリューションを時間をかけて選定して、継続的に改善することです。
SIEMツールの価値を実現するために必要な強固な基盤を築くには、以下のベストプラクティスを実践します。
- 時間をかけて計画とレビューを行う:SIEMで何をしたいかをよく考え、具体的な目標を設定します。目標を設定することは、適切なSIEMツールを選ぶ上で重要です。下調べは入念に行ってください。SIEMは複雑で、導入に時間がかかることもあるため、初期の調査を怠ってはいけません。
- 導入後も継続的にメンテナンスする:ツールをデプロイした後に適切に機能させるには、メンテナンスが欠かせません。どんなに直感的に使えるツールでも、システムを継続的に評価し、ビジネスの変化に合わせて調整する必要があります。
- 手順を確立して綿密に監視する:どのような行動を悪質と判断してアラートを生成するか、また、その行動が検出されたときにどの対応策を実行するかについて、条件を定める必要があります。そうしないと、誤検知を多く含む大量のアラートがITチームの元に届くことになります。これらの手順を確立した後も、継続的に必要な調整を行うことで、誤検知のアラートを減らし、真の脅威に集中して対応することができます。
- スタッフを継続的に教育する:SIEMを導入すればITチームやセキュリティチームの負担が軽減されますが、だからといってこれらのチームが不要になるわけではありません。ITとセキュリティ環境の変化に対応するには、ソリューションの実装、保守、継続的な調整に関するスタッフのトレーニングが欠かせません。
SIEMを使い始めるには?
SIEMのデプロイメントの第一歩は、ユースケースの優先順位を決めることです。設定した目標と照らし合わせて考えましょう。多くのSIEMツールには、一般的にどの企業でも適用できるユースケースがルールセットの形で用意されていますが、それが自社の優先順位と一致しているとは限りません。ニーズと目標は、製造業、医療、金融サービス、小売業、公共機関など、業界によっても大きく異なります。
SIEMの実装方法を決めるときは、以下の点を検討します。
- システム内で利用できるデータのタイプと量
- 自社の知識レベルと、SIEMの実装、管理、保守を担当するITスタッフまたはセキュリティスタッフを育成できるかどうか
- 自社の成長見込みとそのペース
- 自社のネットワークの規模と利用状況 (リモート拠点の数、ユーザーのモバイル利用の度合いなど)
- コンプライアンス上の義務
- 予算
決定と実装プロセスでは、これらのすべての要素を考慮しましょう。
また、当面のニーズに対応するだけでなく、予測される成長速度とセキュリティ成熟度の向上を勘案して、セキュリティ機能を将来どのように拡張していくかも検討します。たとえば、中小企業や成熟度の低いセキュリティチームであれば、基本的なイベント収集から始めて、UEBAやSOAR(セキュリティのオーケストレーションと自動化によるレスポンス) など、より高度な機能を徐々に取り入れていくことができます。
ユースケースとセキュリティ ロード マップが定まったら、SOCチームやITチームは、それに基づいてイベントデータの各種ソースを調査し、適切で完全かつ有用なデータがツールに取り込まれるように設定します。質の良いデータを取り込めば、その分SIEMは効果を発揮します。
自社に最適なSIEMソリューションとは?
SIEMの基本が理解できたら、次に考えるのは当然、自社が属している業界、脅威プロファイル、組織、および予算に最適なSIEMソリューションをどう選ぶかという点でしょう。
それは、自社の目標よって決まります。今日も増え続けるデータの処理、高度化する攻撃への対応、リアルタイムのスマートなインシデント対応の実現など、何を優先するかを考えましょう。2021年版のセキュリティ情報/イベント管理のマジッククアドラントで、主要ベンダーや新興ベンダーのソリューションについて調べるのも良い方法です。
サイバー脅威が増大すると同時に、セキュリティ侵害による被害が深刻化し、セキュリティに関する規制が強化される中、セキュリティチームは、イベントの相関付け、脅威インテリジェンスの取得、セキュリティデータの集約などを実践するためにSIEMテクノロジーを活用しています。企業のセキュリティは、問題をいかに迅速に特定して修復できるかにかかっています。そのため、企業のセキュリティチームは、さまざまなSIEMシステムの機能を調べて、自社のニーズに最も適したシステムを見つけることが非常に重要です。
SplunkのSIEM製品は、セキュリティ監視、高度な脅威検出、インシデント調査とフォレンジック、インシデント対応、SOCの自動化、幅広いセキュリティ分析と運用でのユースケースに役立つSIEMとして、世界中の数多くの企業や組織で利用されています。
Splunk SIEM製品の詳しい情報はこちらをご覧ください。
