セキュリティ情報イベント管理（SIEM）

セキュリティ情報イベント管理の概要

SIEMの定義
SIEMとその機能
SIEMの利点
SIEMソリューションに求めるべき機能
SIEMツールのセットアップ
セキュリティを確保しコンプライアンスに準拠するためのSIEMによるログ管理
SIEMツールを使用したアラートとレポート

日本を取り巻く脅威の現状

世界第3位の経済大国が最も狙われるポイントとは？

SIEMの定義

セキュリティ情報イベント管理（SIEM）ツールは、ITネットワーク全体でデータを集中、相関、分析して、セキュリティの問題を検出します。SIEMのコア機能には、ログ管理と集中化、セキュリティイベントの検出とレポート、検索機能などがあります。これらを組み合わせることにより、企業はコンプライアンス要件に対応し、攻撃者をより迅速に特定して封じ込めることができます。

SIEMとその機能

最新のSIEMには、昨今のハイブリッド環境やマルチクラウド環境に必要なセキュリティの監視と可視化を実現するために、データ収集、分析、対応の3つのコア機能が必要となっています。SIEMの役割は、ネットワーク全体のデータを取り込み（データ収集）、悪意のある動作を特定し（分析）、セキュリティチームとITチームにアラートを出して、問題が深刻になる前に対応するために必要な可視性と情報を提供する（対応）ことです。コンプライアンスレポートが重要な位置づけとなっている場合なら、SIEMはダッシュボードをサポートし、セキュリティポリシーが確実に適用されるようにする必要がありま

SIEMの利点

適切に導入されていれば、SIEMは、既知の脅威と未知の脅威の両方を検知することで、ネットワーク全体のリスクをある程度削減するのに必要な可視化が可能となります。SIEMソリューションは20年ほど前から存在しています。そして、最新のSIEMは、もはやログ管理ツールとしての原型をとどめていません。セキュリティ環境が進化するにつれて、SIEMも進化してきました（少なくとも、一部の製品は進化しています）。現在、最も効果的な自動化ソリューションには、次のような特徴があります。

誤検知/過検知の削減
正確なマルウェア検出
すべてのインフラストラクチャの包括的な分析
新しい脅威を学習する能力
エンドポイント検出

SIEMソリューションに求めるべき機能

時間と精度が重要になります。SIEMツールを使用すると、毎日何十億件ものイベントが見えるようになります。ふるいにかけないとならない大量な情報です。何についてフォローアップをすべきか、そして同様に重要となる何が害のない行動なのかを検証できるSIEMソリューションが必要となります。ソリューションの適応度が高いほど、悪夢のようなプレスリリースをせざる得なくなったり、財政上の問題に陥ったりする可能性が低くなります。

SIEMソリューションに求めるべき機能には次のようなものが挙げられます。

ユーザー行動分析（UBA）
攻撃者行動分析（ABA）
ディセプションテクノロジー（侵入者トラップなど）
ファイル整合性監視（FIM）
インシデント対応
エンドポイント検出
パフォーマンス指標
視覚化とレポート機能

SIEMツールのセットアップ

IEMツールのセットアップは、最も高度な技術を持ったセキュリティ担当者にとっても複雑な作業です。しかし、正しくセットアップできれば、ネットワーク全体の盲点をなくすことができます。最初のステップは、既存のネットワークとセキュリティスタックを理解し、それらのポイントからログ情報を収集する方法を見つけることです。また、SaaSストレージオプションがベンダーから提供されていない場合は、ハードウェア拡張の計画を検討する必要があります。最後に、稼働させながら進めていくステップは、関心のあるイベントを検出するルールを作成し、レポートを作成してネットワーク全体のリスクに関する主要な指標を明らかにすることです。SIEMツールの機能とベンダーに関する第三者による分析結果については、SIEM分野の2019年版のガートナーマジッククアドラントをご覧ください。

セキュリティを確保しコンプライアンスに準拠するためのSIEMによるログ管理

SIEMツールを使用したログの効率的な管理は、ネットワークの可視化、コンプライアンス準拠、インシデントの検知と対応の信頼性を高めるために不可欠です。セキュリティ専門家として、侵害の兆候（IoC）を特定し、影響を受けるユーザーとシステムを見つけ、最終的な範囲を修復チームと共有するためには、疑わしいデータを（通常、構造的なクエリの言語やSQLを使って）調査する能力が必要です。通常、ログの管理には、データのインデックス付けと他のデータセットとの関連付けが求められます。最終目標は、1つの統合されたダッシュボードから脅威を簡単に検索できるようにすることです。

SIEMツールを使用したアラートとレポート

セットアップの後、SIEMを効率的に使用するには、アラートとレポートの構成が重要になります。セキュリティの実務担当者は、ネットワークで発生する重要なセキュリティイベントを取得するために、SIEMを絶えず改良する必要があります。 SIEMツール共通の課題は、セキュリティチームが調査に時間をかけられないほど沢山の優先順位の低いアラートが生成されることです。関連する脅威アクションのみを効果的に見つけるために、継続的に新規のルールを設定し既存のルールを調整することが重要なのは、これが理由です。

学習すべきことや、新たにとりれることが多くあります。しかし、圧倒された気分になっていても対策を止めるわけにはいけません。攻撃はあらゆる形で、あらゆる大きさで発生し、その範囲全体を理解することは「知っておくと便利」というようなものではありません。SIEMを使いこなせるようになれば、現在、そして将来において、どのポリシーが効果的で、どのポリシーに改善が必要か理解を深めることで、より多くのタスクの効率化を推進することが可能になります。