SIEM(シーム)とは?セキュリティ機器のログを集約・解析し、脅威をいち早く検知

  • セキュリティ

SIEM(シーム)とは?セキュリティ機器のログを集約・解析し、脅威をいち早く検知

お役立ち資料

Introduction

はじめてネットワーク機器のログを見た時に、その量の多さに圧倒されたという方も多いのではないでしょうか。ログを読み解けるベテランの方もいらっしゃいますが、そのような方でなくともログの収集・解析を通して、脅威をいち早く検知できるようにする仕組みであるSIEMについてご紹介します。

目次

SIEM(シーム)とは

SIEM

SIEMは「Security Information and Event Management」の頭文字をとった略称であり、「シーム」と読まれることが多いです。ログを出力するものはネットワーク機器やセキュリティ製品を含むあらゆるIT機器、またはそれらで動くソフトウェアなど多岐に渡り、かつそれらからは大量にログが出力されます。SIEMはそんな多種多様なログを一元に集約し、複数のログを組み合わせて分析することで、脅威やセキュリティインシデントを検知する仕組みです。

SIEM製品

SIEM製品はさまざまなものがリリースされております。実際にSIEM製品の情報を集めると、セキュリティベンダーに関わらず、多くの会社からさまざまな形態の製品やサービスが提供されていることに気づくでしょう。これまではオンプレミスのSIEM製品が中心でしたが、最近ではクラウドプラットフォームに対応したSIEM製品や、SaaS(Software as a Service)としてのSIEM製品なども提供されるようになっています。

また、それぞれのSIEM製品は、基本的な機能以外のプラスアルファな部分で差別化が図られています。複数の選択肢があるからこそ、「SIEM製品を導入して達成したい目標は何か」という観点から選定する重要性は増しています。

なぜSIEM(シーム)が生まれたのか

いまでは当たり前になっている情報セキュリティの対策の一つに「防御」があります。悪意のある攻撃者からの攻撃に晒されても、複数かつ段階的な防御手段をもつことで安全性を確保してきました。具体的に言えば、ネットワーク機器としてのファイアフォール製品の導入やPC端末にセキュリティソフトをインストールするなどです。対策として防御手段をもつことは非常に大切であり、有効です。

しかし、全ての攻撃を防御することはできません。全ての攻撃を防御しようとして対策を講じていくと、これまでよりも多く、かつ高度なセキュリティ製品の導入や、使用者に多くの負担を強いたり、利便性を下げたりするルールの導入など、技術面も管理運用面も複雑になってしまいます。また、実際にそれらに対応するには、情報セキュリティ対策に詳しい専門家などの人的リソースや莫大な予算の確保といった、新たな課題も出てきてしまうため、全ての攻撃を防御しようとすることは現実的ではありません。そこで注目されるようになった考え方が、「攻撃を完全に防ぐことができないのであれば、攻撃された後の被害を最小限に抑えられるような対策をしよう」という考え方です。

そのためには、なるべく早い段階での脅威の検出や、被害発生時の対応で必要となる情報収集をするために、効率的にログを分析する仕組みが必要となります。その仕組みの一つがSIEMです。

SIEM(シーム)の仕組み

SIEMの仕組み

まずはログを収集します。SIEMシステムの利用者が設定したネットワーク機器やサーバ、セキュリティ製品、アプリケーションなどからログを収集します。SIEMシステムに収集されたログは、横断的に分析されます。

そして、分析結果をもとに事前に設定されたルールや基準値から逸脱したデータが無いか、サイバー攻撃に関する情報である脅威インテリジェンスと照らし合わせていきます。最近では、機械学習による定常状態からの異変などを調査することで脅威が特定されていきます。

脅威が特定された場合、SOCやセキュリティアナリスト、SIEMシステムの管理者などへの警告の通知や異常なサービス/アクティビティの一時停止が行われます。また、脅威の根拠となったログは、被害発生後のフォレンジック調査などに利用するために保管されています。
(SOCについてはこちら:SOCとは?いま求められている背景や仕組みを解説)

SIEM概要

関連サービスについて

SIEMツールの機能

SIEMツールとは、SIEMシステムに収集されたログを詳細に分析・分類して、アナリストやSIEMシステムの管理者と利用者に有益な情報を提供するツールです。
SIEMシステムによって、提供されている機能は異なりますが、多くのSIEMシステムではログ管理・警告機能などの設定やダッシュボードから一元管理されているさまざまな情報を閲覧することが可能です。閲覧可能な情報の具体例としては、実際のセキュリティインシデントとして疑われる事象の概要や詳細、セキュリティインシデントの調査の状況や活動内容、リスク分析結果、脅威インテリジェンス分析結果、ネットワークや特定のサービスの状況、ユーザや資産の状況などです。

SIEM(シーム)のメリット

セキュリティデータの可視化

冒頭でも述べた通り、さまざまな機器や製品、ソフトウェアが出力する大量のログは集めるだけでも手間がかかり、実際にログを確認するとなると、膨大な時間がかかります。SIEMシステムはそれらを一箇所に収集することで、集中的に管理・保管することができるだけでなく、管理しているログをダッシュボードを通して簡単に確認することができます。また収集方法や頻度によりますが、刻一刻と変わる状況を、リアルタイムで把握することができます。

収集したログを分析し脅威を検出

人力でさまざまな機器や製品、ソフトウェアの大量のログを横断的に分析し脅威を特定するためには、高度な技術や膨大な時間を要します。SIEMシステムは、人に代わって収集されたログを分析し、自動かつリアルタイムで脅威の検出を行います。ログを素早く、横断的に分析することができるため、脅威やインシデントが発生した場合でも、発生から検知までの時間が短く済み、すぐにインシデントの対応に動き出すことができます。また脅威インテリジェンスや機械学習などを利用することで、検知ルールの設定負担を減らすこともできます。

セキュリティ運用の合理化

SIEMシステムの導入は、合理的かつ効率的なセキュリティ体制を運用することにも繋がります。具体的には、インシデントが発生した際にとるべき対応の優先順位を把握できます。SIEMシステムではログや分析結果が可視化されており、検出された脅威やインシデントそれぞれに対して、概要だけでなく詳細な情報を取得することができます。

複数の脅威やインシデントが検出された場合、検出された順に一つ一つ対応をしていくのではなく、どの重要な資産を守れば良いのか、そして被害を最小限にするために必要な対応は何かを取捨選択する際に、SIEMシステムが提供する情報を確認することで、合理的かつ効率的に判断し、対応に移ることができます。

自動化による手作業の削減

SIEMシステムを導入することで、セキュリティ体制の運用を自動化することもできます。イメージしやすいものとしては、検知された脅威やインシデントをアナリストやシステム管理者に自動で通知すること、異常状態と判定されたアクティビティを自動で停止することなどがあげられます。また、最近のSIEMシステムではセキュリティ運用業務の効率化や自動化を実現するための技術である、SOAR(Security Orchestration, Automation and Response)機能を提供することで、インシデント発生時の対応を自動化、標準化できるようになってきています。

内部不正の抑止

SIEMシステムの直接的な機能ではありませんが、ネットワークの内部にいる人間の不正行為に対する抑止力としても期待できます。SIEMシステムを導入してリアルタイムでログの分析を行い、不審な動きを監視していること周知することで、「不正を行ってもすぐに検知されてしまう」または「不正行為自体が成功しないかもしれない」という心理的なハードルを設けることができます。

メリットとデメリット

SIEM(シーム)のデメリット

ネットワークトラフィックの増加

SIEMシステムを導入することによって、さまざまな機器や製品、ソフトウェアからのログがネットワーク内で多く行き交うようになると、ネットワークのトラフィックは増大します。ネットワークのトラフィックが増大した結果、ネットワークのパフォーマンスに影響が出て本来の業務が正常にできなくなってしまうようでは本末転倒です。場合によっては、運用に耐えられるネットワーク環境の構築や構成の見直しが必要になります。

ログ収集の精度やデータ量の不足

SIEMシステムの導入により、ネットワークのトラフィックが増大することを回避するため、ログの取得頻度を少なくしたり、取得間隔を長く設定することもできます。また機器や製品、ソフトウェアが出力するログを全てではなく、一部のみを収集することもできます。

しかし、これらはおすすめできません。なぜならば、ログのリアルタイム解析や迅速な脅威やインシデントの検知、そして原因究明といったSIEMの目的が達成できなくなる可能性があるからです。SIEMシステムが適切に運用されるためには、ログの収集精度や量の最適値を調査して決める必要があります。そうでないと、問題が発生した際に改めて必要なログを収集することから始めなければならなくなります。

運用開始までの準備時間や導入コスト

SIEMシステムは非常に賢いですが、その賢さを存分に発揮してもらうためにはやはり導入時に手間がかかります。どの機器や製品、ソフトウェアのログをどの粒度で収集するのか、どのような分析結果や情報を知りたいのか、どのような閾値やルールから逸脱したらアラートとして引っかかるようにするのか、脅威やインシデントが検知されたどのような対応を自動でするのかなど、運用開始までに設定や調整をする必要があり、時間やコストがかかります。また、これらを適切に設定するためには一定の知識やスキルを保有する専門家の助けが必要となる場合もあるため、人的リソースの確保の手間も発生するかもしれません

次世代型SIEM(シーム)

ここまでSIEMシステムの優秀さについて話してきましたが、従来のSIEMには機能面で制限や使いづらさがありました。具体的には、既知の攻撃や事前に設定したルール以外の攻撃を検知することが難しいことや、本来対応が不要な脅威やインシデントを対応が必要なものと判断して検知してしまうために、作業者の時間や手間が誤検知を減らすために使われてしまうことがあげられます。また、SIEMシステムの運用にかかる費用が、ログの量に応じた従量課金制を採用しているものが多いことも、使いづらさの要因となっています。

SIEMの関心が高まるにつれて、これらの制限や使いづらさを解消できるような次世代型SIEMシステムや製品が登場してきています。次世代型の特徴は機械学習を活用して、未知の攻撃や未設定のルールにも異常な挙動を検知したり、誤検知を減らすことができます。また可視性に関しても、より誰でも分かりやすく、判断がしやすくなっています。そして、運用費用に関してもログ発生元の数やサブスクリプション性を採用する製品やサービスも登場しており、運用費用のためにログの量を抑えるといった必要が無くなります。

SOCとMSS

PCを触る人

SIEMは「セキュリティを運用する組織」で運用することが考えられます。このような組織をSOC(Security Operation Center)と呼び、特に、組織内のSOCをPSOC(Private SOC)と呼ぶ場合があります。SIEMのデメリットに挙げたように、SIEMの運用には知識やスキルを要する場合があるため、必要とする運用に応じてSIEMを含むセキュリティの監視と運用は SOC事業者 へアウトソースされているのが現状です。一般的に、同レベルのPSOCを構築する場合、SOC事業者へアウトソースした方がコストを軽減できる傾向にありますが、それでも、年間の運用コストが400万円以上かかることもあり、導入できる組織やシステムは限られている状況にありました。

MSS(Managed Security Service)はSOCを「マネージドサービス」として提供することで構築・運用コストを軽減したものと言えます。一方で、SOC と MSS の境界は曖昧なものであり、実際に運用コストが軽減できるかは各SOC/MSSサービスの提供サービスを確認する必要があります。

(SOCについてはこちら:SOCとは?いま求められている背景や仕組みを解説)

クラウド時代のスピードと柔軟性を兼ね備えた「SOC as a Service」をダウンロード

企業の安全をサイバー攻撃から守るには、日々発せられるセキュリティ関連のアラートを監視しながら新しい脅威をいち早く検知し適切に対処していく、継続的なオペレーションが欠かせません。しかしながら、専門的な知見を備えて常に対処できる体制を社内に構築するには、膨大な費用と時間が必要です。本資料では、そうした企業の救世主となる“SOC as a Service”についてご紹介します。

企業の安全をサイバー攻撃から守るには、日々発せられるセキュリティ関連のアラートを監視しながら新しい脅威をいち早く検知し適切に対処していく、継続的なオペレーションが欠かせません。しかしながら、専門的な知見を備えて常に対処できる体制を社内に構築するには、膨大な費用と時間が必要です。本資料では、そうした企業の救世主となる“SOC as a Service”についてご紹介します。

ダウンロード

まとめ

サイバー脅威が増大している現代において、すべての攻撃を防ぐことは不可能といえます。SIEMは複数のデータやログから脅威を検知し、その後の対応を迅速に行うことを目的としており、SOC/MSS、CSIRTの運用においても重要なソリューションです。SIEMやSOC/MSSを適切に活用することで有限な資源である時間や人的リソース、予算などを効率的に利用することができ、求めているセキュリティレベルを実現することが可能になります。

本コラムを通して、防御を中心とした情報セキュリティ対策だけでなく、被害を最小限に抑えるための情報セキュリティ対策も必要であると感じていただければ幸いです。

関連コラム

Top
緊急アイコン

緊急対応が必要な方

お客様からクレームが発生している、不具合が頻発しているなど、緊急で対策が必要な方はすぐにご連絡ください。

TEL 0120-142-117

受付時間 平日9:00 - 18:00

TEL 03-6809-2979

フリーダイヤルをご利用できない場合は、
上記電話番号におかけください。