SIEMソリューションの評価方法

新しいセキュリティ情報イベント管理（SIEM）ソリューションが必要かどうか、どうやって判断すればよいのか、疑問に思っているかもしれません。新しいSIEMソリューションの導入を検討すべき最も一般的な理由は以下の通りです。

• 最近のセキュリティインシデントとペネトレーションテストは警鐘です。それらは、もはや無視できない明らかな脆弱性と欠陥を露呈し、今後のソリューションに必要となる可能性のある重要な機能を浮き彫りにします。
• 規制要件や変更は単なるお役所的な障壁ではなく、壊滅的な罰則を回避するために強固なセキュリティ対策を求める重要な義務なのです。
• 成長戦略は、新規市場への進出であれ最先端技術の採用であれ、拡張性と適応性を兼ね備えたセキュリティソリューションを必要とします。
• 予算サイクルは、時代遅れまたは不十分な解決策を継続するのではなく、セキュリティに賢明に投資する絶好の機会を提供してくれます。
• 業界の合併・買収（M&A）により、自社のSIEMが市場統合の衝撃に耐え、依然として堅牢な保護を提供できるかどうかを直面せざるを得なくなる可能性があります。

どの世代のSIEMをお使いですか？

SIEMソリューションを評価する前に、現在使用しているSIEMの世代を把握する必要があります。

• 第一世代：当初は基本的なログ管理と単純な相関分析機能に重点を置き、脅威の特定には手動によるログ分析に依存していました。
• 第二世代：相関エンジン、ダッシュボード、および基本的なインシデント対応ワークフローが改良され、可視性と対応時間が向上しました。
• 第3世代：リアルタイム監視機能、外部脅威インテリジェンスフィードとの統合、内部者脅威検知のためのユーザー行動分析（UBA）を搭載。
• 第4世代：高度な分析、機械学習、SOAR機能を統合し、クラウド環境とハイブリッドインフラストラクチャへの対応を強化。

最新世代のSIEM

第5世代SIEMは従来の世代に比べて大きな進歩を遂げようとしています。その主な特徴は以下の通りです：

• AIによる洞察が推奨事項と予測型脅威検知・対応を提供
• 包括的なセキュリティ管理のための統合プラットフォーム
• DevSecOpsの統合により、開発ライフサイクル全体にセキュリティを組み込む
• 脅威を迅速に封じ込め軽減するための自動修復
• 大規模言語モデル（LLM）により、より広範なDevSecOpsチームが自然言語でソリューションと連携し、推奨アクションを提供、リアルタイム脅威インテリジェンスとの相関分析、多段階検知の促進、組織に合わせたカスタムインサイトの提供が可能となります。

SIEMを評価する5つのステップ

SIEMの評価には、脅威の検知、調査、対応（TDIR）に関する課題への対応が含まれます。現在のSIEMソリューションを評価する際に問うべき5つの重要な質問があります。

1.適切なログを収集していますか？

ログはデジタルコンピューティングにおける最も基本的な成果物であり、顧客のクラウドおよび企業インフラストラクチャとアプリケーションに関する強力な洞察を提供します。効果的なログ収集は、堅牢なSIEMソリューションの基盤です。インシデント調査時には、すべての重要なログがオンラインで利用可能であり、分析対象に含まれている必要があります。

ログ収集における課題は、通常、様々な異なるデータソースを正確かつ効率的に集約することです。スケーラビリティと速度はクラウドネイティブSaaSソリューションの特徴であり、SIEMログ収集機能を評価する際には優先すべき要素です。

企業全体のログを効果的に保存・分析するためのライセンスと利用を提供するソリューションは、分析や知見の導出前にデータステージング、処理、準備を必要とする調査から、数時間から数日もの時間を削減できます。 

堅牢なSIEMソリューションは、多様なデータソースとシームレスに連携し、リアルタイムデータ取り込みをサポートし、ベンダー非依存のオープンソース収集技術（例：OpenTelemetry）を含む複数のデータ形式を処理することで、包括的かつ統一されたセキュリティビューを提供しなければいけません。 

包括的なデータ収集は、重要なデータを見逃さず、セキュリティチームが脅威を迅速かつ効果的に検知・対応するための情報を確保するために不可欠です。

ログ収集の評価基準：

• 包括的なソース統合：SIEMがオンプレミス、クラウド、ハイブリッド環境を含むすべての関連ソースからデータを収集できることを保証する。これにはログ、ネットワークフロー、エンドポイントデータ、および各種SaaSアプリケーションからのデータが含まれます。
• リアルタイムデータ取り込み：SIEMがリアルタイムでデータを取り込めることを確認し、脅威の早期検知と迅速な対応を確保する。
• 多様なデータタイプのサポート：SIEMは、ログ、イベント、メトリクス、その他の関連データ形式を含む幅広いデータタイプをサポートし、組織のセキュリティ態勢を包括的に把握できるようにする必要があります。
• ログの保存とデータ保持：セキュリティログデータが、保存時にはAES 256暗号化、転送時にはTLS暗号化により安全に保存され、最大7年間、または業界の規制機関の規定に従って保持されていることを確認してください。 
• ログ経済性：SIEMにはログ経済性とセキュリティデータの柔軟な価格設定を組み込み、重要なデータがSIEMに継続的に流入する一方でコスト超過を抑制できるようにしてください。理想的には、SIEMにはスキャンごとの課金モデルが組み込まれ、データ取り込みベースの課金モデルとは異なる価格体系を採用すべきです。

2.SIEMではデータはどのように変換されますか？

データ収集後、SIEMは分析に利用可能な形式へデータを変換し、実行可能な次のステップを提示します。データ変換には、生データを意味のある知見に変換する正規化、エンリッチメント、相関のプロセスが含まれます。情報セキュリティ分野において、アナリストは多様なソースから得られる膨大な量のデータを理解するという困難な課題に直面することが多い。適切な変換を施せば、このデータは一貫性があり、分析しやすくなります。 

ネットワーク活動を理解するには正規化が最も重要です。様々なソースからの異なるデータを、分析を簡素化する統一された形式またはスキーマに変換します。多くのソリューションが正規化機能を謳っているにもかかわらず、その実装は効果性と使いやすさの面でしばしば失敗しています。正規化は検知技術、脅威ハンティング、セキュリティ運用の基盤であり、生のメッセージを標準化されたレコードに変換することで、シームレスなクエリと分析を実現します。 

すべてのスキーマが同じように作られているわけではありません。正規化の強みは、構造化データと非構造化データの両方を処理するためにパーサーとマッパーを活用することにあります。パーサーは生データから重要な情報をデコードして抽出し、読み取り可能な構造化された形式に変換します。マッパーは次に、このデータを事前定義されたスキーマに整合させ、多様なデータソース間で一貫性を確保します。このプロセスは、形式や内容が非常に多様でありながら、最も重要かつカスタムアプリケーションの洞察を含む可能性のある非構造化データを扱う際に特に重要です。

エンリッチメントは、脅威インテリジェンスフィードや資産データなどのコンテキスト情報を正規化されたデータに付加し、アナリストがその重要性を理解するのを支援し、脅威の検知と対応を容易にします。記録に有益な文脈を付加することで、より情報豊富で実用的なものとなります。例えば、脅威インテリジェンスで強化されたコマンドラインデータは既知の悪意あるコマンドを特定でき、検知精度と調査を向上させます。

データ変換の評価基準：

• 正規化の有効性：SIEMが共通スキーマとマッピングフィールド名を常に正確に適用することを保証する。
• パーサーとマッパーの品質：パーサーの正確性、マッパーの効率性、およびパーサー更新の容易さを確認する。
• パフォーマンスとスケーラビリティ：処理速度、大量データ・非構造化データの処理能力、およびリソースの効率的な使用を評価する。
• 統合機能：各種データソースとの互換性、APIおよびプラグインのサポート、既存システムとの相互運用性を評価する。
• コンテキストデータ統合：SIEMは脅威インテリジェンスフィードと資産データを堅牢に統合しなければならない。
• 正確性と関連性：SIEMデータ変換プロセス中に追加されたコンテキスト情報の正確性と関連性を確認する。
• 使いやすさ：ユーザーインターフェースが直感的であるか、設定が簡素かつ柔軟であるか、SIEMが自動化と調査トリガーを提供しているか、そして堅牢なサポートを提供しているかを確認する。
• 検知と対応への影響：SIEMが検知精度と調査効率を向上させるためのオプションを提供していることを確認する。
• パフォーマンスとスケーラビリティ：SIEMはデータ量を効率的に処理し、データ量の増加に応じて弾力的にスケールアップできる必要がある。

3.御社のSIEMは高度な分析機能を提供していますか？

データ分析は、SIEMソリューション内における高度なサイバー脅威の検知を可能にします。高度な分析機能（AI駆動型脅威検知やインサイト管理を含む）は、機械学習を活用して大量のデータを分析し、従来の手法では見逃される可能性のあるパターンを特定します。機械学習モデルを組み込んだSIEMソリューションは、新たな脅威パターンに適応し、時間の経過とともに改善することで脅威検知能力を強化します。

ユーザーおよびエンティティ行動分析（UEBA）は、現代のSIEMソリューションにおいて極めて重要であり、ユーザーおよびエンティティの活動に関するより深い洞察を提供します。UEBAは正常な動作の詳細なプロファイルを作成することで、セキュリティ脅威を示す逸脱をより正確に特定し、従来の監視では見逃される可能性のある高度な脅威を検知します。特に、エンティティ中心の検知相関とパターン認識は、効果的な脅威検知の重要な構成要素です。複数のデータソースを連携させることで、SIEMソリューションは個々のデータポイントでは明らかにならない複雑な攻撃パターンを検知できます。

SaaSベースのSIEMソリューションは、検出ルールの維持・更新・作成において大きな利点を提供します。これには、組織固有のセキュリティ態勢にSIEMソリューションを適合させるカスタマイズ可能なルールエンジンが含まれます。SaaS提供モデルのもう一つの重要な側面は、専門の脅威調査チームが厳選した新規および更新された検知ルールを即座に組み込むことで、セキュリティコンテンツを最新の状態に保ち、新たな攻撃から防御できる点です。

これらのAI駆動型機能を組み込むことで、SIEMソリューションがセキュリティチームに組織を保護するために必要なツールを提供することが保証されます。SaaSモデルは、脅威検知と分析における最新の進歩でSIEMソリューションを常に更新し続けることで、この機能をさらに強化し、新たな脅威に対する継続的な保護を保証します。

高度な分析の評価基準： 

• 異常検知：SIEMが通常のユーザーおよびシステム動作からの逸脱を強調表示することを確認する。これは潜在的なセキュリティインシデントを特定するために極めて重要である。
• 行動分析：SIEMがユーザーおよびエンティティの活動を監視し、異常な行動を検出する能力を評価し、未知の脅威や内部者脅威の特定を支援する。
• 包括的な視点：UEBA機能がユーザーとエンティティ全体にわたる活動を包括的に把握し、単一ポイント監視では見逃される可能性のある相関関係を特定することで、内部者脅威の検知を実現する。
• 強化された状況分析と認識：SIEMがより正確な脅威検知のために様々なデータソースを統合する方法、およびリスク評価、アラートの優先順位付け、誤検知の削減のために状況情報を活用する方法を確認する。
• エンティティのプロファイリングと行動ベースライン：SIEMが包括的なプロファイルを構築し、各エンティティのベースラインを設定することで、異常検知を改善しているかどうかを判断する。
• 継続的な更新とメンテナンス負担の軽減：SIEMが真のSaaSソリューションであることを検証し、検知ルールとモデルが最新の脅威インテリジェンスで更新されることを保証することで、メンテナンス負担を軽減する。
• AIを組み込んだ機能：SIEMにAI機能が統合されていることを確認する。例えば、AIを活用したログクラスタリングやノイズ低減、季節変動への自動調整、アラート疲労の軽減などが挙げられる。
• スケーラビリティと柔軟性：ソリューションが需要に基づいてリソースを拡張し、最適なパフォーマンスとコスト効率を実現する能力を評価する。
• 透明性とカスタマイズの容易さ：SIEMがルール構築を容易にし、操作の可視性を確保するとともに、カスタマイズのためのユーザーフレンドリーなインターフェースを備えていることを保証する。
• 事前定義されたルールとテンプレート：カスタマイズ可能な事前定義ルールとテンプレートのライブラリを提供し、適応型検知戦略を実現する。
• ルールテストとシミュレーション：パフォーマンスと正確性を確保するため、デプロイ前にルールをテストおよびシミュレートする能力を確認する。

4.御社のSIEMは効果的な調査を提供していますか？

潜在的な脅威を特定することは、ほんの始まりに過ぎません。効果的な脅威調査は、セキュリティインシデントの全容と影響を理解するために極めて重要です。このプロセスには、詳細な分析、根本原因の特定、効率的なアラート管理が含まれ、真の脅威に対処すると同時に誤検知を迅速に最小限に抑えます。 

SIEMソリューションのセキュリティ調査機能は、セキュリティインシデントの詳細な分析をサポートすべきであり、これにはイベントの詳細なドリルダウン、詳細なタイムラインの表示、および異なるデータソースにわたる関連イベントの相関分析が含まれます。根本原因分析は、セキュリティインシデントの根本原因を特定し、その発生源と拡散経路を理解し、将来の再発を防止するために不可欠です。効果的なアラート選別と誤検知の削減により、セキュリティチームは真の脅威に集中できます。

調査の評価基準： 

• 初期侵害の特定：SIEMがインシデントを初期侵害点まで遡及し、最初に影響を受けたシステムまたはユーザーを特定するとともに、脅威が環境に侵入した経路を明らかにすることを保証する。
• 脅威の拡散追跡：提供されたツールを用いて、ネットワーク内における脅威の横方向移動を追跡し、影響を受けたシステムを特定するとともに、攻撃者の手法を理解する。
• 影響の特定：SIEMがデータ流出、システム停止時間、規制上の潜在的影響を含むインシデントの全影響を定量化するのに役立つことを確認し、効果的な対応と修復策の立案に役立てる。
• アラートの優先順位付け：SIEMが深刻度と潜在的な影響に基づいてアラートの優先順位付けを行い、アナリストがまず重大な脅威に集中できるよう支援することを確認する。
• コンテキスト情報：アラートが影響を受けたアセット、関与したユーザー、関連する脅威インテリジェンスに関する関連詳細を含んでいるかどうかを判断し、アナリストが迅速に関連性と緊急性を評価できるようにする。
• 自動トリアージ：機械学習と事前定義ルールを組み合わせた自動トリアージ機能により、アラートの自動分類と優先順位付けを実現し、アナリストが初期アラート評価に費やす時間を削減する。
• 誤検知の削減：SIEMが検知ルールの精緻化とアナリストのフィードバックの反映により誤検知を最小限に抑え、アラートが意味を持ち実行可能なものであることを保証し、アラート疲労を軽減し、効率性を向上させることを検証する。
• 迅速な根本原因特定：SIEMが柔軟なケース管理ワークフローを備えていることを確認し、膨大なデータから必要な情報を抽出するとともに、オンプレミス環境とクラウド環境全体にわたる完全な可視性を提供する。具体的には、組み込みクエリエンジンによるカスタム検索や機械学習を活用した重複ログの削減・除去などにより、正確な根本原因の特定を迅速化。

5.御社のSIEMはどのように対応を支援しますか？

サイバーセキュリティインシデントを効果的に管理し対応するためには、特にアプリケーションレベルでインシデントや侵害が発生する可能性がある場合に、連携が不可欠です。 Kubernetesコンテナ、GitHubリポジトリ、あるいは安全でないクラウドインフラストラクチャコンポーネントは、攻撃時に悪用される可能性がありますが、セキュリティチームは通常、これらを監視または保守しません。さらに、3つのDevSecOpsチームすべてにおいてリソース制約のあるチームでは、強力な自動化を活用することがスピードと効率性にとって極めて重要です。

チームワークとコミュニケーションを促進するSIEMソリューションは、カスタマイズ可能なダッシュボード、自動化されたレポート作成、コンプライアンス追跡、効率化された対応プロセスといった機能を通じて、セキュリティチームの効率性と有効性を大幅に向上させることができます。さらに、SIEMソリューションの対応能力は、インシデントを迅速かつ効果的に管理するために不可欠です。これには、事前定義済みおよびカスタマイズ可能なインシデント対応ワークフロー、反復タスクの自動化とオーケストレーション、セキュリティ態勢を継続的に改善するための事後レビューツールが含まれます。

セキュリティオーケストレーションと自動対応（SOAR）は、かつては独立したソリューションと見なされていましたが、SIEM機能にとってますます必須要件となりつつあります。

SIEMダッシュボードは、セキュリティデータをリアルタイムで可視化し、組織のセキュリティ態勢を効率的に監視します。 報告書は、組織内外の利害関係者に調査結果、進捗状況、成果を伝える上で極めて重要です。 SIEMのコンプライアンス機能は、規制要件や業界基準への準拠を確保し、罰則回避と信頼維持に不可欠です。堅牢な対応能力は、セキュリティインシデントを効果的に管理し軽減するために不可欠です。

対応の評価基準：

• カスタマイズ可能なダッシュボード：ユーザーが自身の役割に関連する主要指標、傾向、アラートを表示するダッシュボードを作成できる機能を確認し、脅威への迅速な対応を可能にするリアルタイム更新を実現する。
• 単一の情報源: SIEMがすべての重要なデータを一箇所に集約していることを確認し、DevSecOpsの実践を可能にし、チーム間の連携を強化する。また、無制限のユーザーを提供する価格設定と利用モデルを追求し、関連するすべてのチームがソリューションを活用できるようにする。
• ロールベースのアクセス制御とビュー：権限をロール単位で割り当て、承認されたユーザーのアクセスを可能にします。各チームメンバー向けにカスタマイズされた情報を提供することで、データの関連性と利便性を向上させる。
• 自動化およびカスタムレポート機能：自動レポート生成が一貫性を確保し時間を節約することを確認するとともに、カスタムレポートがコンプライアンス監査や、視覚的要約と詳細データを備えたエグゼクティブサマリーなど、特定のニーズに対応することを確認する。
• 規制コンプライアンス：GDPR、HIPAA、PCI-DSSなどの規制に対するデータ収集、保持、報告をSIEMがどの程度円滑化しているかを評価し、透明性を確保するための包括的な監査証跡を備えていること。
• コンプライアンスダッシュボードとレポート：規制遵守の監視と実証のための専門ツールを評価する。
• インシデント対応ワークフロー：事前定義されカスタマイズ可能なワークフローにより、アナリストがセキュリティインシデントを適切に処理できるよう支援する。
• 自動化とオーケストレーション：SIEMがログ分析プラットフォームや外部SOARツールとどの程度連携し、対応アクションの自動化、効率性の向上を実現できるかを確認する。また、オーケストレーションが人間が介在するワークフロー設計をサポートすることを保証する。
• コラボレーションツール：SIEMを検証し、共有ワークスペースとリアルタイムチャットを通じて、インシデント対応時の効果的なコミュニケーションと調整を促進する。
• 事後検証：解決策が対応効果の分析、改善点の特定、および継続的な強化のための対応計画の更新を支援することを保証する。

免責事項：

Gartner, Security Information and Event Management Magic Quadrant, Andrew Davies, Mitchell Schneider, Rustam Malik, Eric Ahlm, 8 May 2024.

GARTNERは、米国および国際的にGartner, Inc.および／またはその関連会社の登録商標およびサービスマークであり、MAGIC QUADRANTはGartner, Inc.および／またはその関連会社の登録商標であり、本資料では許可を得て使用しています。無断転載を禁じます。