サイバー攻撃の高度化、巧妙化を背景に、近年では侵入を前提に、被害の最小化と迅速な復旧を目指す「インシデントレスポンス」が主流となりつつある。この概念に基づく、新しいセキュリティソリューションとして注目が集まるSIEMについて、導入のメリットとデメリット、次世代型SIEMの特長を解説していく。
SIEMとは
最近、SIEMという言葉を目にすることが増えた。SIEM(シーム)とは「Security Information and Event Management」の頭文字をとったもので、「セキュリティ情報イベント管理」と訳される。セキュリティ機器やネットワーク機器などからログを集めて一元管理し、相関分析によってセキュリティインシデントを自動的に発見するもので、企業のセキュリティ対策において負荷がかかりがちな監視や分析、インシデント発生時の対応の効率化を目指すソリューションとして登場した。SIEMは、SIMとSEMという2つの概念が組み合わさって成立したとされる。
SIMとは
SIMは「Security Information Management」の略で、「セキュリティ情報管理」と訳される。セキュリティ関連のデータを長期にわたって記録、保存し、管理するソリューションだ。セキュリティインシデントが発生した際、その発生時のデータを分析し、原因や攻撃経路の特定、被害想定、セキュリティ対策に必要となる情報の調査などを行う。
SEMとは
SEMは「Security Event Management」の略で、「セキュリティイベント管理」と訳される。ログをリアルタイムに分析することで、セキュリティリスクがある脅威やその兆候を発見する。また、アラートの発出や脅威への対応までを行うことが特長だ。
SIMとSEMの機能を統合したソリューションがSIEMである。セキュリティに関連する情報やイベントを統合的に管理し、分析することで脅威の検出に役立てる。また、検出にとどまらず、その後の対応までをワンストップで行う。
サイバー攻撃の巧妙化により、1つの機器のログだけでは検出が困難な攻撃手法も生み出されている。エンドポイント、サーバー、ネットワーク機器などのハードウェアとソフトウェアが出力するログを統合的に管理し、それらのログを突き合わせて相関分析を行うことで、個別では検出できない脅威や攻撃の兆候を捕捉する。また、ダイナミックに業務環境が変動する時代において、定期的な変化を余儀なくされている組織形態を踏まえての効率的な運用を目指すのもSIEMの特長と言える。
SIEMはEDRなどと同様に、侵入されることを前提に被害の最小化を目指す、「インシデントレスポンス」の考え方にもとづくセキュリティソリューションに位置づけられる。
SIEMのメリットとデメリット
高度なサイバー攻撃に対処するためのセキュリティ対策として、注目が高まっているSIEM。しかし、SIEMにもメリット、デメリットが存在する。以下、それぞれ解説していく。
1)SIEMのメリット
・ログの統合管理が可能
通常、セキュリティ機器が出力するログは個別に保存・管理されるが、SIEMなら複数のセキュリティ機器・ソリューションが出力するログを統合して管理できる。また、データ形式を統一できるソリューションの場合、レポート作成時におけるデータの突き合わせといった作業も不要なため、管理に伴う負担が抑制される。
・セキュリテインシデントの早期発見
SIEMではリアルタイムに、さまざまな機器が出力するログの分析が可能だ。リアルタイムに複数のログデータを相関的に分析することは早期の兆候捕捉に寄与する。また、脅威の兆候を捉えた後、アラートなどで管理者に通知する機能や、不審な行動を停止・遮断する機能を備えたソリューションもある。
・内部不正への対策
SIEMは内部不正への対策にも寄与する。従業員によるデバイスの操作やアクセスが業務上必要な操作やアクセスであるのか、あるいは不正行為であるのか。こういった判別はログの簡易的なチェックでは困難だ。しかし、SIEMを用いた相関分析を行うことで、「特定のユーザーから特定のデータへのアクセスが急に増えた」といった不審な動きを検知できるため、社員による情報の持ち出しなどを抑制できる。
2)SIEMのデメリット
・ネットワークトラフィックの増加
SIEMを導入すると、複数の機器からログを収集することになるため、ネットワークのトラフィックを増大させる。ログデータがネットワークを行き交う結果、少なからずネットワークのパフォーマンスに悪影響を及ぼす可能性がある。
・ログ収集の精度やデータ量の不足
SIEMでは、ネットワークトラフィックへの負荷を考慮して、ログの取得間隔を長めに設定、あるいは、全データではなく、一部データのみ取得するよう設定するケースが少なくない。その結果、インシデント発生時の原因調査フェーズにおいて、ログの粒度が粗かったりデータ量が不足していたりで原因究明に至らないこともある。その場合、再度ログを収集することになる。
・運用開始までの準備時間や導入コスト
SIEMは複数のセキュリティ機器のログを統合するという特性のため、導入時にはそれら連携する機器との調整が求められる。また、アラートを出すしきい値など適切なルールを設定する必要もあり、一定のスキルと工数を要する。加えて、統合する機器の数に応じて導入時の工数やコストも膨らむことになる。
UEBA機能を備えた次世代SIEM
SIEMは不審な挙動をいち早く検知する優れた仕組みだが、導入したものの十分に使いこなせてないケースも多い。SIEMを有効に活用するには、セキュリティやネットワークに関する知識を有する人材、社内業務に精通した人材などの存在が欠かせない。
また、昨今ではリモートワークを導入する企業も増えているが、業務環境の変更に応じて、ルールや判別するためのしきい値などを最適なものに更新していく必要もある。そうしたノウハウを持つ人材が社内にいない場合は、専門企業に運用をアウトソースすることもできるが、さらにコストがかかる。
そこで、こうしたSIEMの運用障壁の高さを解消すべく、次世代型SIEMが登場してきている。次世代型SIEMは、昨今進展が目覚ましい機械学習を活用することで、高度な知識・スキルを持たないユーザーであっても使いこなせるようアシストしてくれるのが特長だ。そうした次世代型SIEMのユーザーに優しい機能の代表がUEBAだ。UEBAとは「User and Entity Behavior Analytics」の略であり、「ユーザーとエンティティの行動分析」という日本語訳となる。
UEBAはユーザーの行動や機器の動作などをもとに、機械学習によって異常行動を検知し、セキュリティ上の懸念があるかどうかを推定する機能である。判断が難しい部分をUEBAが補完することで、SIEMを運用する障壁が下がる。SIEMの難しい部分を機械学習で補うものがUEBA機能を搭載した次世代型SIEMであり、SIEMがマニュアル車だとすれば、次世代型SIEMはオートマ車と例えることもできるだろう。
SIEMはSOCやCSIRTといった企業内セキュリティチームとの親和性が高いソリューションであり、そうしたチームを社内に抱える大企業を中心に、SIEMや次世代型SIEMの導入が進みつつある。サイバー攻撃の高度化、巧妙化が進む中、セキュリティインシデント発生時に被害の最小化を実現するためには、一刻も早く脅威を検出し、速やかな対応を行うことが求められる。SIEMおよび次世代型SIEMは、そうしたセキュリティ環境を実現するための有力なソリューションとして注目されている。