近年サイバー攻撃は巧妙化しており、その侵入に気づくことが難しくなっています。対応までの時間が遅れることで、被害は拡大していき、気づけば大きな損害を受けているケースもあります。
そのような中、インシデントを早期検知するためのシステムとしてSIEMが注目されています。本記事では、SIEMの仕組みや機能、メリット・デメリットなどをご紹介します。
SIEMとは
SIEM(Security Information and Event Management)は、セキュリティに関連する情報や出来事を可視化して、インシデントの早期発見や迅速な対応などを支援するシステムです。セキュリティ機器や通信機器、各種ソフトウェアなどが出力したログを収集して、監視、評価、分析、可視化を行う機能を備えています。
また、近年は対応を自動で行ってくれるSOARと呼ばれる機能が付随している製品や、セキュリティ担当者を支援する人工知能(AI)や機械学習(ML)といった機能を有している製品もあります。
SIEMが生まれた背景
サイバー攻撃が多様化する現代では、脅威を完全に防ぐことは困難です。そのような状況の中、「脅威に直面した際に、いかに被害を抑えるか」という考え方が注目されています。被害を軽減するためには、侵入した脅威を迅速に検出し、インシデント対応にかかる時間を短縮することが重要です。
そのためには、ITシステム上に散らばるログを定期的またはリアルタイムで分析し、インシデントの早期検知を効率的に行うことが肝心です。その手段の一つとして生まれたのがSIEMです。
SIEMの仕組み
SIEMの基本的な仕組みは以下の通りです。
- ITシステム上に散らばるログをSIEMに集約する
- ログを分析して脅威を検出する
- 脅威情報を担当者に伝える
まず、サーバーやネットワーク機器、セキュリティ機器などから出力されるログをSIEMに集約します。次にログを分析して脅威を検出します。脅威が検出された場合、それらをダッシュボードやアラートを通して管理者に伝えます。SIEMから脅威情報を受け取った担当者は、対応可否を判断します。その後、脅威の根拠となったログを中心に調査を進めていきます。
SIEMの主な機能
製品により搭載されている機能は異なります。そこで、多くのSIEMに共通する基本的な機能についてご紹介します。
- ログ管理
- 脅威の検出
- 検知、アラート
- データの可視化(ダッシュボード、レポーティング)
それぞれの機能について見ていきましょう。
ログ管理
SIEMは、ログ管理に関する機能を備えています。ログ管理とは「ログを収集、保管、活用するプロセス」を統制することを指します。ITシステム上に点在しているログをSIEMに集約し、それらのログを正規化することで、形式の異なるログを繋ぎ合わせて分析できる状態にします。また、インシデントが発生した際に、遡って調査ができるようログを長期保管する機能も備えています。それらにより、脅威の検出やインシデント対応が可能になります。
脅威の検出
SIEMは、脅威を検出するための機能を備えています。例えば、「検知ルールに基づき、脅威を検出する機能」や「システムやユーザーの日々の振る舞いを学習して、そこから逸脱した振る舞いを検出する機能」などが挙げられます。SIEMは、これらの分析を定期的またはリアルタイムに実施します。
検知・アラート
SIEMは、分析して脅威を検出した場合、それを管理者にアラートする機能を備えています。
データの可視化(ダッシュボード、レポーティング)
SIEMは、データをダッシュボードやレポートにて可視化する機能を備えています。どのデータをどのように可視化できるかは製品により異なりますが、代表的なものとしては以下が挙げられます。
- ログの統計情報をグラフ化
- セキュリティリスクのスコア化
- 注意すべきインシデント情報をリスト化
等々
これらのデータをダッシュボードにて可視化することで、管理者は迅速に状況を把握できます。また、レポートにて表現することで、定期レビューやコンプライアンス対応、経営層への提出などを効率的に行えます。
SIEMのメリット
SIEMを導入する主なメリットとして、以下が挙げられます。
- 複雑な脅威を検出できる
- インシデント対応を迅速に行える
- 認証取得/ガイドライン等に対応できる
それぞれについて見ていきましょう。
複雑な脅威を検出できる
新しい攻撃パターンが日々生み出されており、現代のサイバー攻撃は複雑かつ高度になっています。
そのため、既知の攻撃シナリオに基づく「シグネチャベース」での検知ルールだけでは、すべての攻撃を検知することは困難です。また、ファイアウォールやエンドポイントセキュリティといったセキュリティ製品は、特定の範囲内での脅威を検出することはできますが、ITシステム全体を見なければ気づけない複雑な攻撃を検知することは難しいです。
しかし、SIEMを用いることで、それらの脅威を検知できる可能性があります。SIEMはITシステム上のあらゆるログを集約して、それらを分析することで、組織の基準値から逸脱した異常値を検出します。それにより、シグネチャベースの検知ルールでは検出できない「新しい攻撃」や、単一のセキュリティ製品だけでは検出が難しい「複雑な脅威」にも気づくことが可能になります。
インシデント対応を迅速に行える
SIEMを導入していない場合、セキュリティ担当者は手動でログを一つずつ確認して、それをもとに解析しなければなりません。そのような状態では、インシデントの発見や原因特定に時間がかかります。
一方で、SIEMを用いることで、ログの収集・分析をリアルタイムで効率的に実施できます。また、製品によっては「ログの統計情報」や「注意すべきイベント」などのセキュリティデータがダッシュボードに可視化されていたり、検出したインシデントに対して優先度を示してくれたりします。
担当者は、インシデントを早期発見するだけでなく、その対応可否を素早く判断できるため、インシデント対応を迅速に進めることができます。
認証取得/ガイドライン等に対応できる
ISMSやPCI DSS、サイバーセキュリティ経営ガイドラインなど、さまざまな認証取得やガイドラインにてログ管理の必要性が明記されています。
例えば、PCI DSSでは「システムコンポーネント及びカード会員データに対するすべてのアクセスをログに記録すること」や「監査ログを毎日一度レビューすること」などを求めています。
それらを手動で対応することは非現実的なため、SIEMを用いて対応するケースが一般的です。
SIEMのデメリット
SIEMを導入する主なデメリットとして、以下が挙げられます。
- 誤検知の判断・対応が必要
- 運用障壁が高い
それぞれについて見ていきましょう。
誤検知の判断・対応が必要
ITシステム上では、膨大なログが日々出力されています。それらをSIEMが分析することで、大量のアラートが生成されることがあります。その中には「潜在的な脅威」や「誤検知」なども含まれます。
セキュリティ担当者は、SIEMによって検知された脅威が「本当に脅威なのか、それとも誤検知なのか」を判断し、必要に応じて対応策を検討しなければなりません。仮に誤検知だった場合、その内容を調査して、検知ルールやしきい値を調整するかどうかの判断が必要となります。
運用障壁が高い
SIEMを有効活用するためには、継続的にメンテナンスを行う必要があります。例えば、リモートワークやクラウドサービスを導入した場合、環境の変化に応じて「監視対象とすべき機器/デバイス」「収集すべきログの種類」「検知ルールやしきい値」などを適切なものに変更する必要があります。
しかし、それらを適切に行うためには、セキュリティやログ管理に関する知識に加え、社内環境を把握している必要があります。幅広い知識やスキルが必要になるため、その運用障壁は高いと言えるでしょう。
まとめ
本記事では、以下を中心にご紹介しました。
- SIEMは、セキュリティに関連する情報や出来事を可視化して、インシデントの早期発見や迅速な対応などを支援するシステムのこと
- SIEMの主な機能として、ログ管理、分析機能、検知アラート、データの可視化が挙げられる
これらの機能を用いて、脅威の検出やインシデント対応、法令/ガイドライン対応などが可能です。一方で、SIEMは運用障壁が高い傾向にあることをご紹介しました。
運用障壁が気になる場合、SIEMと領域が近いソリューションである「統合ログ管理システム」が選択肢の一つとして挙げられます。統合ログ管理システムは、あらゆるログを一元的に収集・保管・分析できるシステムです。特に「1日1回、ログレビューをしたい」や「定期的にレポートを出力したい」などの定型分析が求められる場合は、SIEMよりも統合ログ管理システムの方が運用しやすく、かつ安価に要件を満たせるケースがあります。
なお、弊社インフォサイエンス株式会社では、統合ログ管理システムとして「Logstorage」を、SIEM製品として「Logstorage-X/SIEM」を展開しております。
Logstorageとは様々なシステムに異なるフォーマットで散在するログを管理・分析する純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視など多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。官公庁や金融業、通信業を中心に5100社以上が導入しており、統合ログ管理ツール分野シェア17年連続No1となっています。
ご興味のある方は、ぜひご覧ください。
