混沌の世界へようこそ。SIEMが必要だと言われたとします。最高情報セキュリティ責任者(CISO)だったかもしれません。監査役だったかもしれません。おそらく御社のSOCは、さまざまなログをPythonスクリプトなどを使ってやりくりする作業に疲れ果てているかもしれません。ご安心ください。SIEM購入に向けて動き出したのですから。おめでとう…そしてお悔やみ申し上げます。
予算(とチームの士気)を無駄にせず、初めてのSIEMを実際に購入する方法を一緒に見ていきましょう。
ステップ1:SIEMが実際に何をするのかを理解する
SIEMはセキュリティ情報イベント管理の略称です。システムからログを収集し、解析し、正規化し、検索可能にします。次に、イベントを相関させ、異常を検出しようと試みます。
理論上は素晴らしいですね。では、実際はどうでしょう?ベンダーの半数は、2000年代初頭に構築されたレガシーな巨大システムを販売しており、今では「クラウド」という言葉を側面にくっつけただけの状態です。速報:時代遅れの技術をクラウドに詰め込んだところで、クラウドネイティブにはなりません。もう一方では、うんざりするほど「AI」というワードを耳にしますが、基本的なカスタムログ解析すら、専門家集団の助けなしには自分たちでできません。
ステップ2:実際のユースケースを把握する
これが最も重要な部分であり、SIEM購入者の90%が失敗する点なのです。自問してみてください。
- コンプライアンス(PCI、HIPAA、SOC 2)が必要ですか?
- ハイブリッド環境全体で脅威を検知しようとしていますか?
- SOC(セキュリティオペレーションセンター)はありますか?それとも、コーヒー片手に徹夜で奮闘しているだけですか?
- ログを検索したり、エンティティと影響範囲を関連付ける必要はありますか?
ユースケースによって、十分な検索機能を備えたログバケットが必要か、本格的な脅威検知プラットフォームが必要かが決まります。PCI準拠を目指すだけ、つまりスーパーへ買い物に行くのにフェラーリは必要ないということです。チームの規模に合った適切なツールも必要です。
ステップ3:アラート疲労の罠に陥らない
「リアルタイム脅威検知!」とベンダーが叫びます。そうですね。彼らが言わないこと:内部プリンターからのポートスキャンやDNSルックアップで、1日に500件ものアラートが届くことになる。
ノイズではなく、シグナルが欲しい。実際に機能する組み込みの検出コンテンツを探し、必ずしも専門知識を必要とせずに自分で調整できるかどうか尋ねてください。簡単なGUIベースで調整およびルール作成ができるかどうか確認してください。検出エンジニアでなくても、目にする内容を理解できるはずです。あなたがわからないのなら、他の人にもわからないのです。
プロのアドバイス:特定の脅威(Oktaの不正利用、AWSキーの盗難、横方向の移動など)の検知結果を確認するよう依頼してください。ベンダーが要領を得ていないようなら、諦めて次のベンダーを探しましょう。
ステップ4:価格を確認し、細かい条件をよく読む
ほとんどのSIEMは、GB/日、EPS、またはスキャンベースのシステムのいずれかで課金します。
以下の手順に従ってください。
- 現在のログ容量(クラウドサービスを含む)を計算する
- 30%の成長バッファを追加する
- 他のログで実際に役立つユースケースがあるかどうかを確認し、ある場合は追加してください。
- 書面で見積もりを取得し、超過料金を再確認してください。価格にストレージ、検索、検知、統合機能が含まれているか確認してください。一部のベンダーは「基本相関分析」をプラチナクラスの追加販売のように扱うためです。
- データが「ホットデータ」か「コールドデータ」かを尋ねる。
- 保持、パーティション、取り込みを制御できるかどうか確認してください。
- どのような価格保護対策を導入できるか尋ねてください。
ステップ5:サンドボックスではなく、実際のデータでテストする
デモは素晴らしいが、磨き上げられ、厳選された幻想に過ぎません。皆様が求めるのは、Kubernetesのログ、Oktaのイベント、EDRのアラートといった厄介なものなのです。
まともなベンダーなら、実際のデータを使ったトライアルや概念実証(POC)を提供すべきです。14~30日の期間を設定しましょう。検証:
- 御社のチームは検索機能の開発が可能ですか?
- 検出機能は初期設定のまま動作していますか?
- 全スタッフのトレーニングなしでも使用可能ですか?
- 簡単にダッシュボードを作成できますか?
- このツールは、SOAR、可観測性、インフラストラクチャなど、他の節約可能な領域もカバーしていますか?
チームが気に入らない製品ならば、来年もまたここに戻ってきて、同じことを繰り返す羽目になります。事前に評価基準を作成しておくのが最善策です。そうすれば、魅力的なデモに惑わされることはありません。POV中に実際にそれを使う時間があることを確認してください。さもなければ、皆の時間を無駄にしただけになります。
ステップ6:誰も答えたくない質問を投げかける
いくつか良い例を挙げます。
- ライセンスの制限を超えたらどうなりますか?
- オンボーディングには通常どれくらい時間がかかりますか?
- 追加のスタッフを雇わずにこれを実行できますか?
- 利用をやめたい場合、どうなりますか?
これら質問の回答にベンダーが口ごもるようなら、それは危険信号だと考えてください。
ステップ7:誇大広告に惑わされない
気をつけること:
- 大幅な初期割引 = 高額な更新料金。
- あらゆる問題を解決するというAI。設計が不十分なSIEMにエージェントを無理やり追加しても問題は解決しない。
- 大規模な非構造化データの処理不能
- 何でもできると言い張る者は、何事も完璧にはできない。
最後に:SIEMを購入するだけでなく、パートナーシップを購入してください
最高のベンダーは、売るだけ売って、後は知らないというような態度は取りません。アラートの調整、ダッシュボードの構築、新しいログソースのオンボーディングを支援し、コンプライアンス対応が迫っても冷静さを保ちます。
初めてのSIEMを導入するなら、サポートポータルだけのブラックボックスではなく、自チームの延長線上にあるようなベンダーを選ぶべきです。私たちはSumo Logicにおいて、そのようなベンダーでありたいと考えています。
