SIEM(セキュリティ情報およびイベント管理)とは?

SIEMの定義

SIEM(セキュリティ情報およびイベント管理)とは、ログとイベントを収集し、分析用にそのデータを正規化して、ビジュアライゼーション、アラート、検索、レポートなどに表現できるようにすることです。セキュリティチームは多くの場合、SIEMを一元的なダッシュボードとして使用して、プラットフォーム外部で多くの日常業務を行います。セキュリティアナリストはSIEMソリューションを使って、継続的な監視脅威ハンティングインシデントの調査と対応などの、高度なサイバーセキュリティユースケースに取り組みます。

SIEMの歴史

SIEMは登場から20年以上が経過し、一元的なデータベースとして使われていた初期のころから大きな進化を遂げました。SIEMは最初、セキュリティ情報管理(SIM)アプローチとセキュリティイベント管理(SEM)アプローチを組み合わせる形で生まれました。その頃のSIEMは、スケーリングが大きく制限されていたり、アラート機能が未熟であったり、データ関連付け機能が不十分であったりする状況でした。

年月を重ねるにつれてSIEMテクノロジーは大幅に進歩し、以前の使い勝手の悪さは改善されました。また、アナリストが潜在的な脅威のコンテキストを把握するのに役立つ、アーカイブデータを遡って調査できる機能も追加されました。

Network view for security and compliance monitoring with Elastic Security

現在では、ビジュアライゼーションと統合ワークフローは、SIEMの欠かせない要素です。それらにより、アナリストが優先順位の高いアラートを判断したり、容易に適切な対応アクションを取ったりできます。また、自動検知と対応ワークフローは、悪意が疑われる大量のアクティビティに対して、セキュリティチームの限られた処理能力でより効率良く対応を行うのに役立ちます。

SIEMの仕組み

SIEMプラットフォームは、さまざまなテクノロジーによって生成されたログとイベントデータを収集し、セキュリティアナリストが組織のIT環境を包括的に観察できるようにします。効果的なSIEMを導入すると、システムが抱える既知の脅威を自動的に修復できるほか、より細やかな状況が明らかになるので、セキュリティアナリストがさらなる調査や対応を行う必要性を判断しやすくなります。

デバイス、ネットワーク、サーバー、アプリ、システムなど、組織のエコシステムでは日常業務から発生する大量のデータが生まれています。そのデータには、エコシステムを安全に保つのに役立つ豊富なコンテキストが含まれています。そこで、SIEMの出番です。

SIEMが重要な理由

SIEMは、あらゆるセキュリティチームにとって重要な要素です。分析用に大量のデータを集める中央ハブの役割を果たし、中心的なミッションコントロール基地としてアナリストの経験を集約します。SIEMを導入すると、境界セキュリティテクノロジーを回避して組織のエコシステム内で害を及ぼしうる脅威を特定し、組織を守ることができます。

SIEMのメリット

以前の多くのSIEMソリューションには、速度と規模の点で制限事項がありました。しかし、高速かつ大規模に運用可能な最新のSIEMには、以下のメリットがあります。

包括的な可視性

監視、継続的な分析、操作ができる1つの一元的な場所を環境内に用意することは、1つの情報源に基づいて業務をするうえで重要です。

一元的なナラティブ

適切に構成されたSIEMは、多種多様なデータを正規化し、組織の広大なIT環境の全体像を明らかにします。

自動的な脅威検知

最新のSIEMを使うと、脅威や異常を自動で検知し、すばやくデータにクエリを実行して一連のイベントを調査したり、履歴データにアクセスしてトレンドやコンテキストを確認したりできます。

リスク管理

SIEMを使うと、事前構築済みの機械学習ジョブを使用した異常検知によって未知の脅威を明らかにし、リスクの高いエンティティに関するインサイトを得ることができます。

最新のSIEMのユースケース

SIEMは、さまざまなミッションクリティカルなユースケースの解決に役立ちます。以下に、一般的なユースケースをいくつか示します。

ログ管理

組織のホスト、アプリ、ネットワークなどで生成されるログデータとイベントは、一元的なログ管理プラットフォームを通じて収集、保存、分析する必要があります。

継続的な監視

環境を能動的に監視すると、脅威の兆候の可能性のある異常なトレンドを検知するのに役立ちます。環境で監視対象にすべきものの例を以下に挙げます。

  • システムの変更
  • アップタイム/ダウンタイム
  • ネットワークフロー

高度な検知

高度な検知機能を持つソリューションを使うと、高度なマルウェアやランサムウェアによる攻撃の他にも、以下を検知してアラートを送信できます。

  • ユーザーの認証情報/権限の変更
  • 異常な振る舞い
  • 内部脅威
  • データ漏えい

脅威ハンティング

IT環境内の脅威を予防的に探索します。成熟した脅威ハンティング手法を実施するには、膨大な量のデータにクエリを実行できる高速なエンジンが必要です。

インシデントレスポンス

セキュリティインシデントが発生したら、侵害の影響を和らげるために連携のとれた対応が必要です。

コンプライアンス

成熟したSIEMは、関連法令とフレームワークの順守をサポートするものである必要があります。業界や国/地域によって、順守すべき法令は異なります(医療業界ではHIPAA、EUではGDPRなど)。以下に、最新のSIEMで対応できる法令をいくつか示します。

  • GDPR
  • HIPAA
  • SOX
  • PCI DSS
  • SOC 2 / 3
  • ISO/IEC

SIEMとSOARの違い

SIEMソリューションは、脅威が検知しやすくなるよう、ビジュアライゼーション、アラート、レポートをセキュリティチームに提供するものです。一方、SOAR(Security Orchestration, Automation, and Response)ソリューションは、検知されたインシデントに対する対応を標準化および効率化するものです。

つまり、SIEMは脅威の検知に特化しており、SOARは検知された脅威に対するさまざまな対応に特化しています。実際には、SIEMとSOARはそこまではっきり区別されておらず、一体化して扱われています。

SIEMの今後

SIEMが他のテクノロジーの統合相手となり、真の"単一ダッシュボード"となるには、従来の閉鎖的な"ブラックボックス"アプローチから脱する必要があります。つまり、セキュリティソフトウェアはオープンな場で開発される必要性に迫られているということです。これは、ユーザーの安全を確保する機能は何なのか、緊急の脅威から保護するにはどのコードを強化すべきなのかが、誰でも確認できるという効果があります。

サイバーセキュリティベンダーがコードを公開することは、一見危うく見えるかもしれませんが、長期的に見ると、セキュリティベンダーにとってコードを公開しないという行為は、自社をハッカーの標的にすることになるのです。セキュリティソフトウェアに対する攻撃がたった1つでも見逃されてしまったが最後、何千もの顧客が脆弱性や侵入被害にさらされ、悪意のあるアクターが膨大な量の機密データを手に入れてしまいます。ブラックボックスを1つでも突破してしまえば、攻撃者は、狙っている財務情報、企業秘密、脅迫材料、交渉関連のスキャンダルなどを自由に盗めるようになります。

サイバーセキュリティの最適な形はオープンセキュリティである、とElasticは考えています。お客様や競合他社が、変化の時を迎え、必要な人がオープンセキュリティを使えるようになる日がきっと来ることでしょう。

Elastic Security for SIEMを体験しよう

Elastic Security for SIEMは、世界中のリーダー的組織に最適なソリューションです。このソリューションを導入すると、自社のエコシステム内の全データの全体像を把握することができます。最も重要なのは、そのデータに基づいて、必要な行動を迅速かつ大規模に取れるようにしておくことです。

また、Elastic Security for SIEMは、以下に挙げるような他のセキュリティユースケースとシームレスに統合できます。