公共部門のセキュリティ：最新のSIEMを導入する際に検討すべき4つの項目

公共機関にとって、セキュリティは最重要課題です。データやシステムを保護する最善の方法の1つは、最新のSIEMプラットフォームを利用することです。このプラットフォームは、多くの政府機関や教育機関がゼロトラストサイバーセキュリティアーキテクチャーの重要な要素の1つとして利用しています。

SIEMのテクノロジーや戦略は絶えず変化しており、最新のアップデートや要件に遅れずに対応することは、一筋縄ではいかないこともあります。SIEMの導入は初めての場合でも、お使いのSIEMを強化する場合でも、公共部門にとって検討すべき項目をご紹介します。

基礎知識：SIEMとは？

なじみのない方のために説明すると、SIEMとは、Security Information and Event Management（セキュリティ情報およびイベント管理）の略で、複数のソースから取得されたデータを包括的に把握し、問題を検知して対策を講じるセキュリティ管理システムです。SIEMは、SIM（セキュリティ情報管理）とSEM（セキュリティイベント管理）を組み合わせた技術であり、その中心にあるのはログ機能です。

組織の規模や範囲によっては、すでにSIEMを導入していたり、導入済みのSIEMを再評価する必要が生じていたりするかもしれません。世界各国の公共機関の47%はSIEMを交換または強化する予定があると答えています。

FedTech Magazineによると、米国連邦政府機関では、NIST（米国国立標準技術研究所）のガイダンスやログ要件の更新に伴い、高度なSIEMテクノロジーの採用が進んでいます。英国では、SIEMの機能は非常に重要であることから、国家サイバーセキュリティセンター（NCSC）は、SIEMを導入する前の最初のステップとして、サイバーセキュリティの目的で基本的なログ機能を設定する方法に関するガイダンスを公表しました。このガイダンスで、ログ機能は「サイバー攻撃者を特定して捕まえるために不可欠である」とされています。

公共機関にとって今なぜSIEMが重要か 

サイバー脅威の増加に伴って、公共機関が標的にされやすくなっています。Cybercrime Magazineによると、サイバー犯罪は、2025年まで前年比15%の割合で増加すると予測されています。また、データ侵害にかかるコストは、世界平均で435万ドル、米国ではこれを上回り、944万ドルにのぼります。公共機関は、医療記録や国民IDなどの機密性が極めて高いデータを扱っていることから、継続的にサイバー犯罪の標的にされています。世界的にみると、教育機関がサイバー攻撃の被害を最も受けており、政府機関がこれに続きます。

データは急激に増えていますが、SIEMは拡張が可能です。最近では、「ペタバイト」という言葉を中心にデータが語られることも珍しくなくなりました。 データの使用量が近いうちに減ることはまずないでしょう。SIEMテクノロジーは、このような情報すべてをあらゆるソースから集約できるため、ITチームはリアルタイムで異常を発見できます。そのため、脅威が組織に侵入したり、職員に影響を及ぼしたりする前に未然に阻止することができます。また、データの形式は（構造化/非構造化など）1種類ではないため、形式をすばやく選別できるSIEMは、セキュリティに大きな威力を発揮します。

SIEMを通じてITチームやセキュリティチームが使用するツールが簡素化されます。公共機関のチームは、民間組織とITやセキュリティの人材獲得をめぐって競い合っていますが、物足りない結果に終わることがよくあります。。人材不足から、公共機関のチームが自分たちで分析しなければならないデータはかなり膨大になっており、大規模な自動化とデータの統合、単一ビューでの集約が絶対に欠かせません。さらに、クラウド型ソリューションを利用すれば、リーズナブルな費用でSIEMツールを利用できます。これまでオンプレミスのソリューションに対応できるリソースがなかった小規模な機関や組織でも、クラウド型なら利用が可能です。

SIEMを活用すれば、チームはミッションクリティカルな決定を迅速に下すことができます。単体の一元的なエージェントを使用して、ホストの可視性を高め、ランサムウェアやマルウェアを防ぎ、調査を合理化し、リモート対応のアクションを発動できます。1秒たりとも無駄にはできないサイバーセキュリティ環境や、戦場のようにデータが行き交う深刻な状況においては、決定を迅速に下せるかどうかが命運を左右します。

公共機関がSIEMの導入を成功させるために検討すべき主な項目とは

SIEMソリューションを選ぶ際にはデータソースの追加頻度やチームの規模、現在使用しているプロセスなど、注意すべき検討項目は多岐にわたります。公共機関では、一般的な項目に加えて、以下の点を考慮することをお勧めします。 

1）過去のログを検索する機能 

米国で最近発令された覚書M-21-31などでは、滞留時間が長い攻撃の実際の履歴を調査する能力に焦点が当てられており、公共機関ではこれまでよりも長い期間にわたってログを保存することが規定されています（M-21-31の場合、フルパケットキャプチャーのデータで72時間、アクティブストレージのデータで12か月間、コールドストレージのデータで18か月間）。これらの要件では従来の規定に比べて必要な保存期間が大幅に長いため、適切なSIEMソリューションを探す際は、要件への準拠を前提として据える必要があります。従来のSIEMの大半は30日分のデータしか保存せず、古いデータは強制的にコールドストレージに保存されるので、非常にコストがかかり、管理も煩雑になります。

2）膨大なデータに対するスピード 

組織で使用するデータが増加するにつれて、必然的に処理するスピードについて妥協できなくなります。ミッションクリティカルなデータであれば、ミリ秒単位の差が影響を与えます。現在使用しているデータソースに対してSIEMソリューションがどれくらい速いかを考えるだけでなく、将来的に消費する可能性のあるデータ量と、データの増加がスピードに影響するかどうかを予測する必要があります。また、データを迅速に検索できなければ、チームのリソースを浪費することになります。大半の公共機関のセキュリティチームには、SIEMにアーカイブを復元する余裕がありません。このような場合は、検索可能なFrozenティアを導入することが不可欠です。

3）ログストレージの要件とコスト 

SIEMのプロバイダーがどのように料金を設定しているかに注目しましょう。多くの従来型SIEMプラットフォームでは、1日に使用するストレージの量に応じてライセンス費用が決まります。最近課されたサイバーセキュリティ義務によってログの収集量が大幅に増えている多くの公共機関にとって、そのような料金モデルは、すぐに賄えきれなくなるでしょう。組織の規模に応じてスケールできる柔軟なソリューションを検討しましょう。

4）オンプレミスかクラウドか 

ソリューションプロバイダーがクラウドとオンプレミスに関して、どの程度の柔軟性を提供しているかを確認することは重要です。SIEMソリューションによっては、クラウドのみで利用可能な場合があり、オンプレミスのソリューション、少なくともオンプレミスのオプションが必要な公共機関にとっては取引が成立しない可能性があります。クラウドの利用を検討しているなら、どのクラウド型SIEMソリューションであっても、FedRAMPなど政府関連のコンプライアンス義務や規制に準拠していることを確認しましょう。 

公共機関向けSIEMの詳細についてさらに詳しく

• 「SIEM強化の必要を示す5つの兆候」のチェックリストを読む
• SIEMの購入者ガイドをダウンロード