だれでも無料かつオープンに使えるElastic SIEM

セキュリティチームの保護を必要とする攻撃対象領域は、リモートワークの増加やクラウドインフラへの移行、その他のさまざまな要因によって広がり続け、ますます分散化しています。この課題に大規模に取り組む上で、セキュリティオペレーションプログラムに適切なテクノロジーを上手く組み込むことが不可欠であることはすでに広く認識されています。セキュリティ情報およびイベント管理（SIEM）ソリューションは、アナリストによる潜在的なセキュリティ脅威の検知、応答を支援する目的で設計されています。しかし、現在一般的に導入されているSIEMソリューションの多くは本質的な制約を伴っており、アナリスト業務の目的を果たせないケースもあります。

組織をサイバー脅威から守る取り組みは、平時であっても容易なことではありません。困難な状況下では、脅威のランドスケープが一層危険なものとなります。選挙や大型のスポーツイベント、グローバル規模の健康危機といった地域的、あるいは国家規模、国際的な出来事により、セキュリティの課題が一層困難なものとなる可能性もあります。在宅勤務の一斉導入もリスクとなります。従業員が安全ではない環境から、あるいは個人用の機器や、再利用された機器を使って勤務し、十分なレビューやテストが行われていない可能性のあるプロセスに沿って作業することもあるでしょう。

Elastic SIEMとは？

無料かつオープンに使えるElastic SIEMは、可視性や脅威ハンティング、検知の自動化、セキュリティオペレーションセンター（SOC）ワークフローを提供するセキュリティチーム向けアプリケーションです。Elastic SIEMは、ロギングプラットフォームとして高い導入率を誇るElastic（ELK）Stackソフトウェアのデフォルト配布パッケージに含まれています。MITRE ATT&CK™フレームワークに準拠した、設定不要で使える検知ルールを搭載しており、他のツールでは見落としがちな脅威を表面化させます。一連のルールはElasticのセキュリティエキスパートが開発、保守、アップデートを手掛けており、最新の脅威アクティビティの検知と解決を自動的に実行します。また検知ルールは各種シグナルについて重大度、およびリスクのスコアを生成します。アナリストはこのスコアを活用してすばやくトリアージしたり、高リスク作業に集中して取り組むことができます。現在SIEMソリューションのデプロイを検討されている場合は、Elastic SIEMがおすすめです。最も高品質なソリューションを簡単に導入でき、バリューを迅速に実現します。

Elastic SIEMは、パワフルな機能を多数搭載しています。検索プラットフォームのベースとしてスピードとスケーラビリティにすぐれたElasticsearchを採用し、以下の仕様を通じてアナリストによるスピーディーな作業を支援します。

• SOCのステータスとセキュリティ態勢を示す概要ページ
• 脅威ハンティングと状況アウェアネスのためのダッシュボード 
• Elastic Maps、Elastic Lensをはじめ、Kibanaの各種機能を統合
• 自動で実行する検知エンジン 
• アナリストが独自のタイムライン調査を実施できる調査テンプレート

Elastic SIEMを導入することで、組織は各種機能で死角を排除し、またアナリストが平均検知時間（MTTD）と平均復旧時間（MTTR）を短縮させるために必要なツールを配備できます。 

SIEMを無償提供する理由

Elasticは死角を排除し、データとインフラを守るアナリストに必要なプロダクトとワークフローを提供することで、組織セキュリティの向上を支援するというミッションを掲げています。セキュリティのコミュニティにおいて、脅威ハンティングや不正検知、セキュリティ監視といった目的でElastic Stackを導入する動きが広がったことに背中を押され、Elasticは自社プロダクトがセキュリティの用途に一層使いやすくなるよう取り組んできました。Elasticコミュニティとの協働で、最初に開発されたのがElastic Common Schema（ECS）です。ECSを使えば、ネットワークやホストのテクノロジー、クラウドのインフラやアプリなど、かけ離れたソースからくるデータをスムーズに正規化できます。Elasticは2019年6月にElastic SIEMをリリースしました。業界唯一の無料かつオープンなSIEMであり、アクティブに保守されるSIEM検知ルールを搭載しています。 

最新のElastic SIEMが提供する機能は、サンフランシスコで開催されたRSA 2020カンファレンスブースに訪れてくださった多数のビジターにも披露されました。 デモが終了するたびにライセンスコストについての質問が来て、私たちは胸を張ってこう答えました。「いまご覧いただいた機能はすべて無料かつオープンにお使いいただけます」。「それはトライアルの話ですよね？」、「いいえ、永久に無料です」、「本当に？」、「はい、本当に」。

無料で大規模に立ち上げて、デプロイ

“無料かつオープン”なプロダクト提供はSIEM業界で初の取り組みですが、Elasticにおいては、はじめての経験ではありません。この数年、多数の組織がElastic Stackをベースに、脅威ハンティングとSIEMに対応するセキュリティ分析プロジェクトの開発を成功させてきました。こうした組織では、無制限のスケーラビリティに加えて、ライセンスコストが無料で概念実証に時間の制約がないことや、新規のエンタープライズソフトウェア評価には“つきもの”であるベンダーとのやりとりが不要、といったメリットが好意的に受け止められてきました。Elastic SIEMはこうしたメリットをすべて備えており、ダウンロードしてオンプレミスで実行することも、仮想環境やコンテナー化環境、各種クラウド、あるいはElastic Cloudで使うこともできます。

事業用拡張に対応するリソースベースの料金体系

無料かつオープンなElastic SIEMは、SOC運用の確かな基盤として、あらゆる規模で、必要な間いつまでも使うことができます。この他に、Elastic SIEMを1つ上の次元に引き上げる有償の拡張機能も提供されています。具体的には、機械学習ベースの異常検知や、外部アラートの通知、サードパーティのケース/チケット管理プラットフォーム統合、インシデントレスポンスシステム、SOARプラットフォームを含む機能が有償提供されています。

一般的なSIEMのプロダクトの場合、1秒あたりの平均イベント数（EPS）や1日のインデックス量（DIV）といったデータインジェストレートに基づいて費用が算出されます。このようなライセンスモデルには、いくつかのデメリットがあります。1つ目に、有効な脅威検知に役立つ可能性があるデータの収集とインジェストに対し、コスト面で抑止力が働くことになります。2つ目に、一部のセキュリティデータが活用されなくなる、あるいは別のストレージ領域に送られ、調査するには特別なプロセスを発動する必要がある、といった状況を生み出します。3つ目に、データ規模の増大を計画する組織からみて費用の予測が不可能であり、予算を立てにくいというデメリットを生じます。

こうしたモデルとは対照的に、Elasticが採用するリソースベースの料金体系では、データのインジェストレートやユーザー数によって費用がかかることはありません。代わりに、セキュリティオペレーションをサポートするリソースに応じた費用だけを支払う仕組みです。データインジェスト量をどれほど多くするか、データをどれほど長期間保持するか、データを使ってどのようなセキュリティワークフローを構築するか、といったことも、費用を気にせず選択できます。

オープンなSIEMを提供する理由

あらためて、Elasticが使う“オープン”という言葉の意味を確認しておきましょう。この言葉は単に“オープンソース”とか“オープンコード”を含意するのではなく、SIEMに新時代を切り拓く、破壊的なアプローチを定義しています。Elasticプロダクトのユーザーが評価するのは、検知についてオープンなコミュニティと、オープンなロードマップ、オープンなデータモデル、オープンなアプローチです。

コープンなコミュニティ

Elasticのカルチャーやテクノロジーの側面に関し、多くのユーザーが長所として挙げる要素の1つが“コミュニティ”です。何か疑問があれば、Elasticのコミュニティが回答してくれます。SIEMに関して言えば、ElasticのチームメンバーがSIEMディスカッションフォーラムと公開の#siem Slackチャンネルで日々ユーザーからの質問に答えているほか、他のチャネルでもユーザーと交流を行っています。 

特にサイバーセキュリティ分野では、コミュニティが非常に重要な役割を果たします。セキュリティは、1つのツールや1人の個人で扱う分野ではありません。あらゆる組織、地理的距離、データセット、実践にわたってチームが協働し、脅威から価値あるデータやインフラを守ろうとする取り組みです。ElasticはElastic SIEMを提供すると同時に、このようなセキュリティコミュニティを積極的に育成しています。この活動は、プロダクトを通じて、あるいはパートナーシップやスポンサーシップ、トレーニング、Elasticコミュニティで発信される素晴らしい独自の研究などの形で、手段や形式を問わず行われています。

この数年にわたり、多数の組織がElasticのプロダクトをセキュリティ分析プラットフォームに活用し、独自のSIEMソリューションの開発を成功させてきました。たとえばセキュリティトレーニングと認証分野を代表する企業の1つであるSANSは、ElasticsearchをSIEMのトレーニングプラットフォームとして長年活用しています。もちろん、セキュリティハンティングや内部脅威、不正検知を目的とするその他の多くのツールやトレーニングプログラムにもElasticのテクノロジーが活用されています。

オープンなロードマップ

オープン開発の実践がもたらすもう1つのパワフルな側面に、オープンなロードマップとイシュートラッカーの採用があります。開発チームが何を重視しているのか知りたいときも、性能強化の具体的なリクエストの進捗状況を確認したいときも、Githubの公開イシューで学んだり、トピックに賛成の票を入れたり、新しいトピックを作成したりするだけでOKです。今後の方向性の設計も完全に公開されているほか、Elasticのエンジニアたちがコミュニティのアイデアをトリアージしたり、詳しく調査したりしています。また、Elasticはコントリビューションも受け入れており、これも開発を前進させる1つの手段となっています。

オープンなデータモデル

Elastic Stackはどのような追加情報も、オープンなデータモデル内の“新しいインデックス”として扱います。データはJSONとして格納され、プロパティフォーマットを持ちません。Elasticプロダクトのスキーマ消費については、コミュニティ主導で開発され、拡張可能なECSのドキュメントに明記されています。これは、ベンダーロックインが生じないことを意味します。 

Elastic SIEMは、アプリが実際に使用したクエリを確認する“調査”機能を搭載しています。Elastic SIEMのルールは公開され、完全にドキュメント化されています。つまりユーザーは検知のロジックを理解でき、検知が“ブラックボックス”で行われることもありません。機械学習ベースの異常検知ジョブも段階的に公開されており、コピーや編集を行って、独自のカスタムジョブを作成することが可能です。新しいデータソースをSIEMに追加する手順も非常に簡単です。さらに、Elasticはデータの抽出能力に一切のレート制限を設定していません。データは完全にユーザーのものであり、コントロール権限はユーザーの手にあります。

無料トライアルで試す

Elastic SIEMの立ち上げをご検討中の方は、Elastic CloudのElasticsearch ServiceでElastic SIEMをお試しいただくことも、Elastic SIEMデモをご覧いただくこともできます。すでにECSでフォーマットした形式のデータをElasticsearchに格納されている場合は、Elastic Stackを7.6にアップグレードするだけでSOCを始動させることができます。

Elasticセキュリティについて担当者によるご説明をご希望でしたら、バーチャル開催のElastic{ON}ツアーイベントへのご参加をご検討ください。