SIEMとは、ネットワーク、セキュリティ機器のログデータ内のアクティビティを収集し、リアルタイムで脅威となりうるものを自動で検出、可視化して、通知する単一のセキュリティ管理システムです。SIEMを使用することで、幅広いソースからマシンデータを収集、解析、分析を行い、脅威となりうるものに先手を打つことができ、高度なセキュリティ運用が可能になります。
SIEMの読み方は、Security Information and Event Management(セキュリティ情報とイベント管理)の略称で、「シーム」と読みます。SIEMの特徴は、わずか数秒で大量のデータを取り込んで解析し、異常な行動を検出するとただちにアラートを送信する機能です。そのため、ユーザーはビジネスを保護するためのインサイトをリアルタイムで得ることができます。手動では大量のイベントをこれほど速く処理することは不可能です。SIEMなら、ITインフラストラクチャの現在の状態をいつでも確認できるだけでなく、業界の規制に準拠してログデータを保存および管理することができます。ネットワーク上のすべてのアプリケーションとハードウェアのデータをリアルタイムで分析できるため、企業は内外の脅威に対して常に先手を打つことができます。
SIEMは、ガートナー社が2005年にこの言葉を提唱して以来、10年以上にわたり常に進化を続けてきました。AIテクノロジーほど大きく話題に上ることはないかもしれませんが、変化が速く複雑化が進む今日のITおよびセキュリティ環境において、SIEMは脅威検出に欠かせない存在です。
セキュリティに関する似たような概念には、SEM (セキュリティイベント管理) とSIM (セキュリティ情報管理) があります。SIMではログやその他のセキュリティデータの収集と管理に重点が置かれ、SEMではリアルタイムの分析とレポート作成を実行できます。一般的に、SIEMは、これら2つのセキュリティ情報管理機能を組み合わせたシステムと言えます。
この記事では、SIEMの意味や機能、最適なSIEMソリューションの選び方についてご説明します。
SIEMシステムには、社内ネットワークインフラストラクチャの境界からエンドユーザーまで、さまざまなソース (サーバー、システム、デバイス、アプリケーション) からのイベントデータが集約されます。集約されたデータは最終的に、ユーザーや資産などに関するコンテキスト情報と組み合わせたインサイトとともに1つの画面に表示されます。SIEMソリューションでは、データを統合して分析し、組織が定義した行動ルールからの逸脱を調べることで、潜在的な脅威が特定されます。
データソースには以下のものが含まれます。
分析対象となる属性には、ユーザー、イベントタイプ、IPアドレス、メモリ、プロセスなどがあります。SIEMシステムで検出された逸脱は、ログインの失敗、アカウントの変更、潜在的なマルウェアなどのカテゴリーに分類されます。逸脱が検出されると、セキュリティアナリストにアラートが通知されるか、異常なアクティビティが一時停止されます。SIEM管理者は、アラートを発する状況についてガイドラインを設定し、悪質なアクティビティが一時停止されたときの対応手順を決めます。
SIEMシステムではパターンや異常な行動も検出されるので、単一のイベントではアラート対象にならない異常も、複数のイベントの相関付けによって検出し、アラートを生成できます。さらに、これらのログがデータベースに保管されるため、ログを使ってより詳細なフォレンジック調査を行ったり、コンプライアンス要件に準拠していることを証明したりできます。
SIEMツールは、分析主導型のセキュリティコマンドセンターとして機能するソフトウェアです。集中管理する1つの場所にすべてのイベントデータが集められます。SIEMツールでは、イベントが解析、分類されるだけでなくコンテキストも提供されるため、セキュリティアナリストはインフラストラクチャ内のセキュリティイベントについて深いインサイトを得ることができます。
SIEMで利用できる機能は、基本的なログ管理や警告機能から、充実したダッシュボード、機械学習、履歴データの詳細分析まで、ソリューションによってさまざまです。主要なソリューションでは、以下のような情報を表示する数多くのダッシュボードが用意されています。
SIEM市場には、従来のものとは異なるツールも登場しています。代表的なのがユーザー行動分析 (UBA)です。UBAは、ユーザーとエンティティの行動分析 (UEBA) とも呼ばれ、内外の脅威を検出して修復することを目的としています。UBAは一般的に、より高度なセキュリティ用途向けとみなされますが、徐々にSIEM分野に取り込まれつつあります。たとえば、ガートナー社のマジッククアドラントSIEM部門では、UBA/UEBAソリューションに関する情報も考察されています。
最新のSIEMツールは、データを詳細に分析して、より深いインサイトと確かな脅威検出を提供する点で、従来のツールよりもずっと進化しています。人手では不可能なレベルの分析を、SIEMツールなら数クリックで実行できます。
また、最新のSIEMソリューションは、オンプレミス、クラウド、ハイブリッドのいずれの導入環境にも対応し、その多くはビジネスの変化や成長に応じて拡張できるように設計されています。
SIEMツールの選定では、検討すべき選択肢の多さに圧倒されるかもしれません。SIEMツールを評価するときは、以下の機能に注目します。
SOC (セキュリティ オペレーション センター) でのSIEMの役割は、アナリストが手動で確認するには種類も量も多すぎるイベントデータを代わりに分析し、総合的なインサイトを導出して提供することです。マシンデータとログファイルを分析することにより、悪質な活動を検出し、自動化された対応策を実行して、攻撃への応答時間を大幅に短縮します。
SOCはSIEMが登場する以前から存在しますが、内外の攻撃への対応、脅威管理の簡素化、リスクの最小化、組織全体の可視化、セキュリティインテリジェンスの導出といった多くの任務を担う今日のSOCにとって、SIEMは不可欠なツールになっています。
SIEMソリューションの価値を最大限に引き出す最善の方法は、自社のニーズと業界固有のリスクを理解し、自社に適したソリューションを時間をかけて選定して、継続的に改善することです。
SIEMツールの価値を実現するために必要な強固な基盤を築くには、以下のベストプラクティスを実践します。
SIEMのデプロイメントの第一歩は、ユースケースの優先順位を決めることです。設定した目標と照らし合わせて考えましょう。多くのSIEMツールには、一般的にどの企業でも適用できるユースケースがルールセットの形で用意されていますが、それが自社の優先順位と一致しているとは限りません。ニーズと目標は、製造業、医療、金融サービス、小売業、公共機関など、業界によっても大きく異なります。
SIEMの実装方法を決めるときは、以下の点を検討します。
決定と実装プロセスでは、これらのすべての要素を考慮しましょう。
また、当面のニーズに対応するだけでなく、予測される成長速度とセキュリティ成熟度の向上を勘案して、セキュリティ機能を将来どのように拡張していくかも検討します。たとえば、中小企業や成熟度の低いセキュリティチームであれば、基本的なイベント収集から始めて、UEBAやSOAR(セキュリティのオーケストレーションと自動化によるレスポンス) など、より高度な機能を徐々に取り入れていくことができます。
ユースケースとセキュリティ ロード マップが定まったら、SOCチームやITチームは、それに基づいてイベントデータの各種ソースを調査し、適切で完全かつ有用なデータがツールに取り込まれるように設定します。質の良いデータを取り込めば、その分SIEMは効果を発揮します。
サイバー脅威が増大すると同時に、セキュリティ侵害による被害が深刻化し、セキュリティに関する規制が強化される中、セキュリティチームは、イベントの相関付け、脅威インテリジェンスの取得、セキュリティデータの集約などを実践するためにSIEMテクノロジーを活用しています。企業のセキュリティは、問題をいかに迅速に特定して修復できるかにかかっています。そのため、企業のセキュリティチームは、さまざまなSIEMシステムの機能を調べて、自社のニーズに最も適したシステムを見つけることが非常に重要です。
SplunkのSIEM製品は、セキュリティ監視、高度な脅威検出、インシデント調査とフォレンジック、インシデント対応、SOCの自動化、幅広いセキュリティ分析と運用でのユースケースに役立つSIEMとして、世界中の数多くの企業や組織で利用されています。
Splunk SIEM製品の詳しい情報はこちらをご覧ください。