SIEMとは
セキュリティ情報およびイベント管理(SIEM)のアプリは、セキュリティ技術における重要な革新の一つです。これは、セキュリティに関するイベント、アラート、レポートを収集、分析し、その結果に基づいて対応する仕組みです。一つの問題だけに着目するのではなく、組織内のすべてのリソースから活動を集約し、ITインフラ内の悪意ある動きを検出します。
SIEMの概念は比較的新しいですが、もともとはすでに存在していた技術、セキュリティイベント管理(SEM)とセキュリティ情報管理(SIM)を基に開発されました。SEMは、ログやイベントデータを即時に分析し、イベント相関、脅威の監視、インシデント対応を行うソフトウェアです。一方、SIMはログデータを収集、分析、報告します。
この技術の適用範囲は広く、取り扱いが複雑なため、専門のIT技術者のスキルが必要となります。それでも、事業や組織の全ての関係者は、SIEMが企業にどのような影響を及ぼすか基本を理解しておく必要があります。そこで、SIEMの動作プロセスについて解説します。
SIEMの動作原理
セキュリティ情報およびイベント管理は、主に5段階のプロセスで動作します。
- データの収集
- データの集約
- データの分析
- セキュリティ侵害の検出
- 検出された侵害へのアラート
この技術はデータが基本です。まず、サーバ、ネットワーク機器、ドメインコントローラ、ファイアウォールのログ、ウイルス対策のイベントなどからデータを収集します。組織全体のシステムやネットワークから膨大なデータを集めます。
次に、収集されたデータが集約されます。データを保管し、一元化することで、担当者が容易にアクセスできるようにします。
続いて分析です。SIEMは、ネットワークやユーザーの行動を分析します。失敗や成功したログイン、マルウェアの活動など、様々なカテゴリーのデータを中央のプラットフォームで監視します。
分析の過程で、通常と異なる活動を検出します。たとえば、5分以内に100回のログイン失敗があれば、攻撃の試みと見なされる可能性が高くなります。
そして、こうした異常が検出されると、セキュリティアラートが発せられ、潜在的なセキュリティ問題を知らせます。このアラート機能により、IT担当者は早期に外部からの脅威に対応、または未然に防ぐことが可能になります。
SIEMツール
組織全体の情報セキュリティを一元的に把握する必要性から、この技術の採用が進んでいます。市場に出回るSIEMツールを利用することで、事業は包括的なセキュリティ対策を実現できるだけでなく、HIPPA、PCI DSS、SOCなどの規制基準のコンプライアンス要件を満たすことも可能です。
主要なSIEMツールは、高度な分析とインテリジェンス機能を備え、悪意ある活動をより正確に検出します。業界で優勢なソリューションには、ArcSight ESM、IBM QRadar、Splunkが含まれます。
- ArcSight ESM
このSIEMツールは、オープンアーキテクチャを利用して、組織のセキュリティ技術、OS、アプリからデータを収集・分析します。特徴として、多くの類似製品よりも幅広いリソースからデータを収集できる点が挙げられます。
システムは脅威を検知し、担当者にアラートを発します。さらに、第三者の脅威インテリジェンスフィードとの連携が可能なため、より正確なレポート作成が実現されます。
加えて、検出後は自動で対応策を実行することもでき、ArcSightの構造化されたデータは、他のプラットフォームでも活用できます。
- IBM QRadar
このIBM製品に搭載されたスマート機能は、常に変化する脅威に対応すべく設計されています。QRadarは、ネットワーク機器、アプリ、OS、ユーザー活動からログイベントやデータを収集します。その機能は、クラウドベースのアプリからのネットワークフローのデータまでカバーし、重要なシステム全体のログを統合する堅実なソリューションとなっています。
最新のセキュリティ評価技術を取り入れたこのSIEMは、第三者アプリからの脅威インテリジェンスフィードもサポートし、即時にデータを分析して攻撃を阻止します。
ただし、その複雑な機能のため設定が難しく、効果的に運用するには高度な技術知識が求められます。
- Splunk
クラウドサービスまたは内部のセキュリティオペレーションセンターとして利用できるSplunkは、エンタープライズ向けに設計された人気のセキュリティソリューションです。そのため、中小企業向けというわけではありません。多機能であるため価格は高めですが、多くの第三者製品との連携が可能な点が大企業にとって有益です。
Splunk SIEMは、即時の脅威監視と迅速な調査を提供します。グラフやチャートによる視覚的な表現も特徴的です。
歴史の長いSIEMツールの一つとして、高度なセキュリティ脅威の多様性を検出する信頼性が実証されています。また、他の最新SIEM同様に、脅威インテリジェンスフィードもサポートしています。
利点と欠点
ほとんどのセキュリティ専門家はSIEMの導入を推奨しており、単なる流行ではありません。SIEMツールの利用には、いくつかのメリットがあります。例えば、
- サイバー脅威の早期発見に役立つ
現代のサイバー脅威の中で組織が生き残るためには、セキュリティ問題に対して如何に迅速かつ的確に対応できるかが重要です。システムに出入りする全てのデータやトラフィックを把握できれば、SIEMは全てのデータやセキュリティポリシーの信頼できる情報源となり、状況の把握に役立ちます。
全てのセキュリティ関連データにアクセスできれば、迅速な対応と改善策の策定が容易になり、脅威を早期に検出し、被害を最小限に抑えることが可能となります。
- 多様なセキュリティ脅威への対抗
SIEMは、利用している複数のプラットフォームやツールからデータを収集するため、ゼロデイ攻撃の検出にも有用です。攻撃そのものだけでなく、攻撃に伴う活動も検知できる柔軟性があり、スパム、ウイルス対策ソフト、ファイアウォール経由で侵入してくるゼロデイ脅威の把握に適しています。
- 充実したフォレンジック分析
SIEMの活用により、サイバーセキュリティ対策が失敗した場合でも、侵入がいつ、どのように、どこで起きたかを詳細に把握できるため、保険請求や訴訟対応に有用なフォレンジックログが得られます。
SIEMは現代では欠かせない存在ですが、万能とはいかず、いくつかの制約もあるため、導入前にこれらを理解しておく必要があります。
SIEMツールの最初の欠点は、初心者向けではない点です。複雑な仕組みであり、深いITシステムの理解と高度な技術力が求められるため、熟練のITプロフェッショナルがいなければ運用は難しいです。
さらに、導入コストが高額になることも課題です。規模や導入範囲によっては、数百万ドルに上る投資が必要になる場合もあります。
効果的なSIEMの導入には時間がかかり、完全な稼働まで数ヶ月を要するため、短期間でのセキュリティソリューションを求める場合には適さない面もあります。
場合によっては、システムから発せられるアラートが多すぎることもあり、その多くが誤検知である可能性もあります。
SIEMと他のセキュリティ技術との違い
他のセキュリティツールが単一のサービスのみを提供するのに対し、SIEMは複数のセキュリティ技術を統合しています。主要なSIEM機能には、脅威または異常検知、調査、対応時間の短縮が含まれます。その他にも、以下の機能があります。
- 基本的なセキュリティ監視
- ログの収集
- 正規化
- ログデータの保管と追跡
- セキュリティインシデントの検出
- 高度な脅威検出
- フォレンジック解析とインシデント対応
- 通知とアラート
- 脅威対応のワークフロー
- データパターンのダッシュボードと視覚化
SIEMとSOARの違い
従来、SIEMの目的は複数のリソースから集めたデータの収集、保管、分析とSOCチームの支援にありました。一方、SOARはSIEMと連携することもあり、反復的ながら重要なプロセスの自動化を目指します。
SIEMはSOCチームに有用な情報を提供し、SOARは、想定外の脅威やセキュリティ問題の精査にかかる手間を軽減します。両者は、人力では困難な作業や誤りが生じやすい業務を担当しています。
SIEMは全てのデータを統合した一元管理のプラットフォームとして機能し、SOARは重要なタスクを自動化することで、アラート疲れや誤検知を防ぐ手助けをします。脅威検出と保護を向上させるために、両者を併用する企業も多く見られます。
SIEMとXDRの違い
SIEMは、拡張検知と対応(XDR)と呼ばれる技術と関連付けられることが多いです。XDRは、組織の脅威管理能力を向上させるために、早期・迅速な脅威検出、調査、対策のためのツールや技術を提供します。
SIEMと比較すると、XDRには違いがあります。例えば、SIEMは大量のデータを自由に保管・処理できますが、XDRは扱えるデータ量に制限があります。
この制限には良い面と悪い面があります。データ量が限られていれば、分析は迅速かつ高精度になります。データセットが巨大な場合、SIEMは分析に時間がかかりますが、XDRは処理するデータが少ないため、脅威検出の速度は向上します。
一方で、データアクセスが制限されると、大規模な脅威検出には向かなくなります。脅威の影響範囲を予測するには、SIEMのように豊富なデータが必要です。
SIEMとログ管理ツールの違い
ログ管理ツールの機能は以下の通りです。
- ネットワーク内のすべてのOSやアプリからログデータを収集
- 大量のデータを長期間にわたり効率的に保管
- イベントログのフィルタリングやソート、必要な情報を簡単に検索
- 組織のITインフラの運用、コンプライアンス、セキュリティ状況の報告
ログ管理ソフトウェア(LMS)は、ログやイベントを単に収集・保管するだけで、SIEMの機能の一部に過ぎません。LMSツールはセキュリティ特化ではなく、システム解析用に設計されていますが、SIEMはサイバーセキュリティ対策に特化しています。
また、SIEMソフトは完全に自動化されているのに対し、ログ管理システムはそうではありません。
SIEMとセキュリティ情報管理(SIM)製品の違い
SIMとSIEMは、これらの製品に不慣れな人々の間でしばしば同義で使われます。類似点はあるものの、機能面では大きな違いがあります。SIMソフトは以下に特化しています。
- ログファイルを中央リポジトリに収集・保管
- ログを正規化し、ネットワーク帯域の混雑を軽減
- ログデータの柔軟な分析と報告
- HIPPA、PCI、VISA CISPなどの規制基準へのコンプライアンス報告
ログの収集と保管に特化しているため、ログ管理に非常によく似ています。SIMは、セキュリティ向けに作られたログ管理ツールと考えることができ、SIEM技術の一部分に過ぎません。
また、SIMのイベントやデータの相関は過去の分析に基づいて行われるのに対し、SIEMは即時に処理を行うため、切迫した脅威の予防にはSIEMが必要です。
SIEMとホストベースのセキュリティツールの違い
ホストベースのセキュリティツールは、アプリやシステムに対する脅威を検出するために使われます。これらは通常、サーバやNIC(ネットワークインターフェースカード)上のトラフィックに注目します。基本機能は以下の通りです。
- トラフィックデータの収集と分析
- 既知のサイバー攻撃の署名に基づく監視
- 異常なネットワークやユーザー行動の検知
ホストベースの侵入検知システム(HIDS)は、悪意ある活動を検出する主要な技術の一つです。これらは脆弱性の悪用を検出し報告するに留まりますが、SIEMはさらに一歩進んで、サイバー攻撃に対する予防措置を講じます。SIEMはアクティブなセキュリティツールであるのに対し、HIDSは受動的です。
また、SIEMはネットワーク上のデバイス、ファイアウォール、ルーターなどを通じた入出力のトラフィックに注目する、ネットワークベースのアプリとして機能します。
SIEMと資産管理ツールの違い
資産管理システムは、サーバ、ルーター、ファイアウォール、プリンタ、コンピュータ、その他の接続デバイスなど、すべてのIT資産を即時に追跡できるようにするものです。
資産管理ツールの機能は以下の通りです。
各資産の詳細情報や書類を保管
- ネットワークに接続している全システムを容易に検出
- 優先的に対応すべきシステムの問題を整理
- 資産コストの長期的な視点を提供
大企業にとって、数千の資産をスプレッドシートで監視するのは大変な作業ですが、資産管理ソフトを利用することでその手間は大幅に軽減されます。ただし、このツールは主に運用パフォーマンスに焦点を当てており、組織内のセキュリティ脅威の直接的な検出には限定的な影響しか及ぼしません。IT資産の一覧が脆弱性チェックの基盤となるにすぎません。
SIEMとアプリ監視・制御(AMC)ソフトの違い
アプリ監視・制御ソフトは、ネットワーク内のアプリの活動を監視し、制御します。
アプリ制御の実践は、不正なアプリがデータリスクを伴って実行されるのを防ぐため、システム間でやり取りされるデータのプライバシーとセキュリティを確保します。
AMCソフトの機能は以下の通りです。
- 初めから終わりまで完全な記録処理を保証
- 正しいデータのみが入力・処理されるようにする
- アプリシステムのための認証機能の提供
- 認可された業務ユーザのみのアクセスを許可
- アプリシステムに入るデータフィードの整合性を保証
AMC製品は、ネットワーク内の不要なアプリを排除することで、マルウェアや不正な第三者の侵入リスクを低減する点で有用ですが、SIEMはより包括的なセキュリティソリューションを提供します。様々なセキュリティツールからデータを集約し、ネットワークセキュリティ機器やセキュリティアプリからのデータも取り込むため、自動的に攻撃に対抗する知能を備えています。SIEMは、AMC製品からのデータも活用することが多いです。
SIEMと監査管理ツールの違い
SIEMと監査管理ソフトは、それぞれ全く異なる用途で使用されます。監査管理ソフトは、企業が内部ポリシーや規制基準に沿った監査プロセスを効率化するために利用されます。
- データの正確かつ完全な記録のために監査関連業務を自動化
- 各部門の監査を同時にスケジュール
- 監査結果の実施、分析、報告
- プログラム実行中でも即時に修正可能
- 監査結果の保管と容易な参照・比較の実現
監査管理は品質管理の一環として多くの業界、特に医療、製薬、食品・飲料業界で利用されています。
また、セキュリティイベントの収集、保管、提供にも使えるため、結果的にSIEMプロセスのリソースとなる場合もあります。
企業におけるSIEMの活用
現代の企業でSIEMシステムが使われる背景には、進化し続けるサイバー脅威への対抗と、各種規制へのコンプライアンスが求められていることがあります。中には、コンプライアンス用とデータセキュリティ用の2種類のSIEMを運用する事業者も見受けられます。これは、SIEMが多大なリソースを必要とするため、目的ごとに最適な価値を引き出すための方法です。
中小企業は、資金面の制限からSIEMの運用が難しい場合が多いです。自社でSIEMソフトを保守し、運用するための専門人材を確保するのが難しいため、アウトソーシングでのSaaS型の代替案も考えられます。しかし、機密性の高いデータを扱うため、クラウドでの解析に慎重な企業も少なくありません。
SIEM導入時の懸念点
本製品は、現代のセキュリティ基盤において貴重な存在です。その機能によりセキュリティ対策を大いに強化できますが、ソフトの複雑さから、必ずしも円滑な導入が保証されるわけではありません。最悪の場合、セキュリティ環境をかえって複雑化し、新たな問題を引き起こす恐れがあります。
以下に、主な制約点を挙げます。
- 導入までの時間がかかる
SIEMは即時に動作するソフトではありません。多くの企業は、実装に長い時間がかかることを理解していません。目的の明確化や既存資産の洗い出しなど、綿密な調査と計画のフェーズが必要です。適切なソフトが既に揃っていない場合は、新たに導入する必要があります。
実装段階では、実際のSIEMシステムとプロセスの展開、さらに調査・計画段階で立てた前提条件の徹底検証が含まれます。
その後、管理された環境下で、SIEMのプロセスや手順、運用を段階的に展開します。シームレスな統合と最適な設定が実現できるよう、徐々に進められます。
以上を踏まえると、効果的に稼働するSIEMを構築するには数ヶ月を要します。初期の計画や調整が不十分であれば、最終的な成果に悪影響を及ぼします。
- 専門スタッフの必要性
SIEMの多くのプロセスは自動化されているものの、効果的な設定や最適化には熟練のアナリストが必要です。最大でフルタイムのセキュリティアナリスト8名ほどが、円滑な運用のために必要とされる場合もあります。経験豊富なセキュリティ専門家の不足は、SIEM運用の大きな障害となります。
さらに、SIEMは即時に脅威アラートを発するため、24時間体制での監視が求められます。通常の社員では対応が難しく、結果として部署内で負担が集中し、 burnout(燃え尽き症候群)につながることもあります。
- 改善フェーズが途切れない
SIEMの作業は初期導入で終わるものではなく、その後も継続的な監視と微調整が必要です。
新たなセキュリティポリシーやコンプライアンス手順に適応する必要があり、組織構造の変化さえも、全体に波及効果を及ぼす可能性があります。このような変化に対応するため、SIEMは常に最適化され、効果的なセキュリティパフォーマンスを維持しなければなりません。
この継続的な保守は、常に費用がかかるという点も、SIEMの大きな制約でした。
- 保守コスト
比較的新しいとはいえ、SIEMソフトは世界全体で20億ドル以上のエンタープライズセキュリティ投資を占めています。組織の規模により、年間の運用コストは数万ドルから10万ドル以上になる場合もあり、ソフトウェアやハードウェア、さらにシステムの実装、管理、監視にかかる人件費を含みます。
専門人材の採用は高額であり、社内研修にも多くの費用がかかるため、中小企業では投資を控える傾向にあります。
SIEMの導入は、企業が管理すべき項目を増やす結果となるため、導入の是非は現状のセキュリティ対策と長期的なコミットメントを十分に検討する必要があります。多くの組織が途中で停滞または中断してしまい、投資が無駄になったと感じるケースもあります。
- 限られた文脈情報の問題
SIEM利用者にとって大きな問題は、関連するセキュリティイベントの原因究明や調査が困難な点です。SIEMは、機微な情報とそうでない情報を区別できないため、受け取るデータの質に依存します。
例えば、あるIPアドレスからのネットワーク活動が増加していると示しても、トラフィックの発信者やアクセスされたファイルの情報が明らかにならなければ、重大なデータ流出か正当なデータ転送か判断が難しくなります。文脈が欠如したセキュリティアラートは、ITチームを混乱に陥れる恐れがあります。
疑わしい正当なファイル活動と実際の悪意ある脅威とを見分けられず、アラートが頻発すると、最終的にセキュリティチームが警戒感を失い、SIEMの価値が低下するリスクがあります。
- SIEMの価値を最大化する
SIEMの価値を引き出すには、対応すべき脅威を見極める必要があります。SIEMは、ダッシュボードウィジェット、アラートレポート、保存検索など、初期設定のソリューションを提供します。しかし、ウイルス対策ソフトのように普遍的な問題に対応するのではなく、SIEMの運用は文脈に依存しています。
継続的な価値を得るためには、組織固有の課題や変化に合わせたカスタマイズが求められます。
SIEM管理者は、通常時と特定のセキュリティインシデント時の企業システムの挙動を定義するプロファイルを作成することで対応します。システム内蔵の規定のルール、アラート、レポート、ダッシュボードを企業の利用シーンに合わせて調整できる点も大きな利点です。
例えば、不正取引が懸念される企業では、平均的な取引額を上回る活動が一定期間継続した場合にアラートを発する相関ルールを設定できます。
次世代SIEMの登場
従来のSIEMが文脈情報の不足、対応の遅れ、セキュリティワークフローの課題を抱えていたのに対し、次世代SIEMは、UEBA(ユーザーイベント行動分析)やSOAR(セキュリティオーケストレーションと自動化)などの先進技術を搭載しています。
次世代SIEMのメリットは以下の通りです。
- 複雑な脅威の識別
最新のSIEMは、AIや深層学習を活用した自動行動プロファイリングにより、内部脅威や標的型攻撃、不正行為など高度な攻撃を検出できます。
- 資産の行動分析
組織内の重要資産の特有の行動パターンを学習し、異常な動きを検出することで、潜在的な脅威を早期に発見します。
- データ量に強い
現代の組織は毎日膨大なデータに晒され、その量は増加の一途をたどっています。次世代SIEMは、より多くのデータを取り込むことで、アナリストに豊富な情報を提供し、IT担当者が脅威に迅速に対応できるよう支援します。
- 柔軟性と拡張性の向上
企業の成長に合わせ、システムも拡張に対応できる必要があります。SIEMは、オンプレミス、クラウド、またはハイブリッドの形態で展開でき、業務の変化に合わせて柔軟に拡大する能力を持ちます。
機械学習やAI技術の導入により、導入期間が短縮され、保守にかかるリソースも低減できます。
- 強化された調査とインシデント対応
SOARの機能により、次世代SIEMは企業システムと連携し、攻撃者が実行する前に被害を受けた資源へ自動で初動対応を取ることが可能です。攻撃者がIPアドレスや認証情報、機器を用いて横展開を試みる際、SIEMはITインフラ全体のデータを分析し、その動きを検出。その他のセキュリティ技術と連携して初期対応を自動化します。
- セキュリティ担当者の負担軽減
次世代SIEMの高度な自動化により、手作業による運用の負担が大幅に軽減されます。機械学習機能により、多くのプロセスが自動化され、脅威検出、文脈の把握、行動分析が向上し、セキュリティ人員の必要数が削減され、結果として保守費用も低減します。
- ルールや署名なしでの検出
従来型の相関ルールでは複雑な攻撃を捉えきれない場合があります。また、従来のSIEMは既定の攻撃署名によってしか検知できず、高度なハッカーは既知の署名を回避する攻撃をしかけることもあります。
新しいSIEMプラットフォームは機械学習を駆使し、あらかじめ定義された攻撃署名なしでインシデントを検出します。さらに、内部脅威の検知やコンプライアンス基準への対応など、初期設定のユースケースを搭載しており、ログ収集と同時にシステムとIT担当者の生産性を向上させます。
- 安定した料金体系の確保
従来、SIEMの料金はデータ使用量に応じて変動していたため、データ量の増加が予測できず、全体の費用を把握しづらい状況でした。しかし、次世代SIEMはログを送信するデバイス数に基づいた料金体系を採用しているため、IT資産を管理することで総保有コストを予測しやすくなります。また、システムの拡張に伴うハードウェア費用の管理も容易になります。
SIEMのベストプラクティス
SIEMソリューションは強力かつ効果的に大きな脅威やセキュリティ上の欠陥を防止できます。しかし、これを正しい基準に沿って誠実に運用することが前提です。SIEMを最適に導入するためには、組織のニーズに合致していることが重要です。以下は、そのためのポイントです。
- 必要な要件を把握し、SIEM導入計画を立てる
SIEMツールに求める機能や目的を十分に検討する時間を確保してください。
具体的な目標は何か?SIEMにどのような業務を任せたいのか? これらの問いに最初に答えることで、導入が貴社の要求に沿ったものとなります。
SIEMは簡単に実装できるツールではないため、初動の判断を誤ると後々大きな問題を引き起こす可能性があります。最初から賢明に進めることが大切です。
- 定期的に見直し、更新する
セキュリティ状況は刻々と変化するため、導入後も定期的にレビューし、現状に合わせた最適化が必要です。
- プロセスを予め定義する
効果的な対策のため、アラート生成やシステムの反応ルールをあらかじめ決めておくことが推奨されます。これにより、不要なアラートを避け、必要な警告のみを取得できます。
- 常に優秀な人材を確保する
SIEMは高度なツールであり、並のIT人材では十分に活用できません。専門家の確保が必要であり、既にそのような人材がいる場合でも、継続した研修や知識の向上に十分なリソースを割くべきです。
結論 - なぜSIEMが必要か
技術革新が続くこの時代、企業はかつてないほど多くのデータを扱っています。そのため、行動やセキュリティイベントを一元管理する中央のセキュリティソリューションの重要性が高まっています。SIEMにはいくつかの制約があるものの、多くの企業で有効に運用され、成果を上げています。
次世代SIEMの登場により、膨大なデータから関連性を見出す能力がさらに向上しました。十分な理解と継続的な保守へのコミットメントを伴えば、適切に導入されたSIEMは、企業のセキュリティ基盤に大きな価値をもたらします。
FAQ
最新情報を購読
