サイバーセキュリティに関して、企業は今日ほど多くの課題に直面したことはありません。毎年、サイバー攻撃の範囲と頻度において 新記録を樹立 しています。
セキュリティ情報およびイベント管理(SIEM)ソリューション は、一般的な企業が直面するセキュリティリスクや脆弱性の絶え間ない流れに、組織が先手を打つのに役立ちます。セキュリティリスクを明らかにする可能性のあるデータを収集、正規化、分析するために企業が使用できる一元化されたプラットフォームを提供することで、SIEM は早期検出と事後のセキュリティポリシー管理を通じて脅威を未然に防ぎます。セキュリティ情報を照会することで、SIEMの所有者は自社の姿勢管理とセキュリティ管理の有効性を把握し、評価ができます。
セキュリティリスクと脆弱性の絶え間ない流れには、さまざまなITリソース(IT、IoT、物理的要素、アプリなど)からのデータを解釈し、脅威をリアルタイムで検出して対応する必要があります。ソフトウェアサプライチェーン攻撃のような新たな脅威は、常に発生しています。また、より多くのワークロードが分散型のマイクロサービスベースのアーキテクチャに移行するにつれて、企業が防御しなければならないシステムの規模と複雑さは確実に増大しています。
このような課題に直面している組織は、サイバー脅威に関する情報を収集、正規化、分析し、対応するための効率的かつ包括的な手段を必要としています。
このガイドでは、SIEM の仕組み、SIEM が現代のビジネスにとって重要な理由、および セキュリティオーケストレーション、自動化、レスポンス(SOAR) ツールなど、他の種類のサイバーセキュリティプラットフォームとの関係について説明します。また、リスクを最小限に抑えながら効率とコラボレーションを最大化するために、SIEM ソリューションをいかに選択し、構成するかについてのガイダンスも提供します。
SIEMとは何ですか?
セキュリティ情報とイベント管理 は、企業が複数のソースからセキュリティイベントデータを収集、正規化、分析できるようにするサイバーセキュリティプラットフォームの一種です。
SIEM システムの中核機能には以下が含まれます:
- セキュリティ関連データの一元的な収集、分析、集約、提示
- ログ管理、監査、およびレビュー
- イベント相関
- セキュリティアラートをリアルタイムで作成するケース管理
- 脅威検出
- 内部脅威および異常検出
- コンプライアンスレポートの作成 (PCI DSS、HIPAA など)
SIEMの機能セットは、これらの必須機能よりもさらに拡張が可能です。例えば、最新のSIEMテクノロジーは、脅威の検知だけでなく、チームがインシデント対応プロセスを調整するのに役立つ機能を提供することがよくあります。また、ユーザーとエンティティの行動分析(UEBA) を含む場合があり、サードパーティの脅威インテリジェンスデータベースとの統合 し、SIEMツールで検出された脅威をコンテキスト化して、それぞれのリスクがどの程度かを判断することができます。
レガシーツールと最新ツールの比較
SIEMは新しい技術ではありません。その起源は90年代にさかのぼりますが、その後10年で多くのことが変わりました。当時、私たちが最近経験したような脅威ベクトルの膨大な拡大を予想できた人は、おそらく誰もいなかったでしょう。今日、標準的もしくは伝統的なSIEMは時代錯誤であるというのがコンセンサスで、それゆえレガシーSIEMと呼ばれています。
レガシーSIEMの主な欠点は次のとおりです:
- 展開が複雑 – クラウドネイティブに対してオンプレミスで展開されることが多い – そのため、拡張が難しく、保守が難しい
- 取り込み機能に制限があり、アーキテクチャが複雑で、サードパーティ製ツールとの統合が難しい(自社開発が必要)
- データの相関性が弱く柔軟性に欠ける、パフォーマンスの問題、管理上の混乱に悩まされる
- アナリストが仕事をするためには、多くの努力と専門知識が必要
その結果、アラートの疲労、脅威(特に内部脅威)の見逃し、非効率的な脅威の調査が発生する可能性があります。
対照的に、次世代または最新のSIEMソリューションは、次のとおりです:
- シンプルで比較的使いやすく、拡張性と柔軟性があります。
- リアルタイムまたはほぼリアルタイムの調査機能を含む
- オンプレミス、クラウド、マルチクラウド、ハイブリッドなど、あらゆる環境で動作
- 自動化された脅威インテリジェンス、データエンリッチメント、脅威検出、インシデントの優先順位付け、そしておそらくレスポンス機能の組み込み
- ユーザーの行動とアクティビティを追跡するエンコンパスの能力
- ほぼすべてのソースや機器から、ログ、ネットワーク、クラウドなどのさまざまなデータを取り込むことができるため、データソースに依存せず、ベンダーにも依存しないことを意味します。
- 既存のコネクタのスタックを超える統合の可能性を提供します
- 組み込みの相関ルールの上にカスタムルールを作成する可能性を提供します。
- 基本的な自動化インシデント応答の有効化
レガシーとは異なり、最新SIEMは通常、機械学習とビッグデータ分析モデルを実装しており、その結果、高度に適応的な動作を実現しています。その機械学習(ML)エンジンは、大量のデータから継続的に学習し、セキュリティチームが以前には見られなかった脅威シナリオに対応できるよう支援します。
このような進歩により、大量のデータを少数の有意義な洞察に絞り込むことができるため、すでに過重になっているセキュリティ・アナリストの作業負担を軽減できます。
企業がSIEMを必要とする理由
「SIEM」という用語は、2005年にガートナーのアナリスト によって作られました。しかし、SIEMソフトウェアが解決するために設計された問題は消滅していないため、20年前と同様に今日でもその重要性は変わりません。それどころか、サイバーリスクの範囲と複雑さが着実に増大するにつれて、より顕著になっています。
組織がSIEMを必要とする主な理由は、脅威の検出には多くのデータセットの分析が必要であり、SIEMはその分析を効率的かつ一元的な方法で実行する唯一の手段だからです。これがなければ、サイバーセキュリティと IT チームは、個々のログファイルとイベントストリームを手作業で解析し、セキュリティ上の問題を示す異常やパターンを探す必要があります。
そのようなセキュリティ操作は時間と手間がかかるだけでなく、チームが複数のデータソースを関連付け、潜在的なリスクについて最大限のコンテキストを獲得することも困難になります。
例えば、エンジニアがアプリケーションのイベントログだけを見ている場合、アプリケーションへのリクエストの突如とした急増が DDoS 攻撃の兆候なのか、それとも自然なトラフィックの増加によるものなのかを判断するのは難しいでしょう。しかし、トラフィックの発生元を示すネットワークログとアプリケーションログを関連付けることができれば、リクエストが正当なエンドポイントからのものなのか、それともボットネットに関連したものなのかの判断が容易になります。
SIEMを使用することで、組織はセキュリティ脅威をより迅速かつ正確に検出し対応できるようになります。これは、サイバー脅威が普遍的な世界において、重要な利点です。攻撃者が企業のサイバー防御を突破した場合、データの流出や重要なサービスの中断を開始するのに数分しかかからないこともあります。
その他のSIEMの利点
脅威を迅速に検出して対応できるという中核的な利点に加え、SIEMには次のような利点があります:
- セキュリティ関連データの一元管理
- セキュリティチーム、開発者、ITエンジニアなど、複数の利害関係者とセキュリティデータの容易な共有
- セキュリティイベントとリスクを長期的に追跡し、関連する傾向の特定機能
- セキュリティアラートの効率的な管理により、誤検知を最小限に抑え、アラートによる疲労を防止します( セキュリティ専門家の88 パーセント が課題として認識)。
- 複雑なセキュリティプロセスを自動化する能力により、 限られたサイバーセキュリティチーム でより多くの業務を行えるようになります。これは 進行中のサイバーセキュリティの「人材流出」の中で、熟練したセキュリティ専門家を採用することの難しさを考えると、重要な利点です。
このように、 サイバーセキュリティの運用を強化するだけでなく、SIEMは企業がセキュリティの課題を管理する際に、コラボレーションを最大化し、リソースを最も効率的に活用するのに役立ちます。
SIEM対SOARとその他セキュリティツール
SIEM は通常、サイバーセキュリティのデータと脅威を管理するための基盤となるハブとして機能しますが、企業が依存するサイバーセキュリティツールはそれだけでないことが一般的です。
SIEMは、ソフトウェアのソースコード内の脆弱性を検出したり、危険なコンテナイメージを見つけたりといった課題には対応していません。チームには、異なる特定のツール(すなわち、ソース構成分析とコンテナ・イメージ・スキャナー)が必要です。また、SIEMはソフトウェア環境の設定を監査して、クラウド・リソースの安全でないIDおよびアクセス管理(IAM)設定などのリスクの検出もできません。そこでもまた、クラウドセキュリティ姿勢管理ソリューションのような、異なるカテゴリーのツールが必要となります。
しかし、他の様々なセキュリティツールが生成するデータを収集・分析し、SIEM はセキュリティ上の脅威やリスクを一元的かつ統合的に可視化します。別の言い方をすれば、SIEM はサイバーセキュリティツールチェーンの他の部分をまとめる接着剤の役割を果たし、リスクを効率的かつ全体的に管理できるようにします。
このタスクでは、SIEMはセキュリティオーケストレーション、自動化、レスポンス 、またはSOARプラットフォームによって補完されます。SOARプラットフォームは、SIEMで検出された後のサイバー脅威への対応を管理する企業の支援に優れています。一部の SIEM 製品はセキュリティインシデント管理機能も提供していますが、SOAR はインシデントレスポンス管理を中核とすることで、この点をさらに強化しています。
とはいえ、SOARはSIEMの代わりではありません。どちらのツールも、得意とする分野が異なります。SIEMは、異なるソースから大量のデータを取り込み、それに基づいて脅威を検出するのに理想的です。一方SOARの主な目的は、SIEM(または別のソース)が脅威を検出した後の対応プロセスを管理することです。
SOAR 対 SIEM についてもっと知る
拡大するSIEMの導入
前述のように SIEM というカテゴリーは 2000 年代半ばから存在していますが、統合プラットフォームによるセキュリティ情報管理と管理された検出の一元化の重要性を認識する企業が増えているため、SIEM の採用は増加し続けています。
ガートナーは、 市場が2020年の34億1000万ドルから2021年の41億ドルに成長したことを強調しました。これは、前年の3.9%の減少に対して20%もの増加です。彼らはこう言います:
「SIEM市場は急速なペースで成熟しつつあり、非常に激しい競争が続いています。ほんの5年前のSIEMの実態は、現在のSIEMの姿と提供するものから切り離され始めています。」
この成長は、 451 Researchによると、2021年の時点で90%の企業が、毎日受け取るすべてのセキュリティアラートを管理できていないと報告していることに一因があるとしています。
さらに、すでにSIEM 導入済みの企業でも、より新しく優れたたセキュリティソリューションを求めていることが多々あります。これは、セキュリティデータを他の種類のデータ(ログやアプリケーション・パフォーマンスに関するメトリクスなど)と統合する機能(従来の SIEM ツールでは対応できなかった機能)が、セキュリティリスクに関するコンテキストを最大限に把握するために不可欠になったことも一因です。
さらに組織は、柔軟で拡張可能なフレームワークの助けを借りて、可能な限り多くのデータを収集・分析できるようにするために、OpenTelemetry のようなオープンなテクノロジーとフレームワークを採用する SIEM ソリューションを活用しようとする傾向が強まっています。
従来のソリューションよりも拡張性が高く、柔軟で使いやすい最新のSIEMソリューションが企業に受け入れられるにつれ、SIEM市場は拡大を続けるでしょう。
SIEMを最大限に活用するためのベストプラクティス
SIEMの導入だけでは、脅威からビジネスを合理的に守ることはできません。その代わりに、SIEM の価値を最大限に引き出すには、従来の SIEM ソリューションを超える機能を備えた最新の SIEM プラットフォームを選び、その機能を最大限に活用する必要があります。
データ取り込みの最大化
分析のために SIEM に取り込むデータが多ければ多いほど、脅威をいち早く発見し、理解する能力が高まります。しかし残念ながら、多くの企業は限られたデータの取り込みにとどまっています。
あらゆる種類のデータソースやフォーマットに対応できる SIEM ソリューションを選択し、可能な限り多くのデータを収集および分析できるように設定することで、この欠点を回避できます。時にはたった1つのログファイルが、脅威を検知したり、リスクを評価する際にシグナルとノイズを区別するために必要な本質的なコンテキストを得るための唯一の情報源になることもあります。最新のSIEMソリューションは、コストを最小限に抑えながらデータ取り込みの増加をサポートする柔軟な価格設定を提供します。
スマートアラート管理
より多くのデータの分析は、SIEM がより多くのアラートを生成することを意味します。関連する脅威をすべて検出する能力は良いことですが、コンテキスト化されていないアラートを無限に管理するのは、良くありません。
そのため、アナリストがどのアラートを優先すべきかを把握できるよう、アラートを自動的にトリアージできる SIEM 製品を活用するのが賢明です。アラート全体の量を減らすために偽陽性を根絶する能力も重要です。
脅威コンテキストの獲得
それぞれの潜在的なセキュリティ脅威に関する情報が多ければ多いほど、どのアラートを優先し、それぞれにどのように対応すべきかを知ることが可能です。
このコンテキストを得るためには、 Sumo Logic Cloud SIEMのようなSIEM機能を活用し、パターンや脅威インテリジェンスの照合を行うことで、セキュリティアナリストが攻撃者が実際にSIEMが検出する各リスクや脆弱性を悪用する可能性を判断するのに役立てられます。このような技術により、SIEM は単なる異常検知ツール以上の機能を果たせます。むしろSIEM はそれぞれの異常が潜在的に何を意味するのか、そしてその異常に対してどのように対応するのが最善なのかについて、実用的なインテリジェンスを提供します。
チームを超えたコラボレーション
今日のほとんどの企業では、セキュリティはセキュリティ・オペレーション・センター(SOC)だけで責任を負うことはできません。これにはまた、開発者(ソフトウェアの脆弱性を修正できる)やITチーム(脆弱なアプリケーションを更新したり、侵害されたリソースを隔離したりすることでリスクを軽減できる)の参加も必要です。技術者でないユーザーであっても、依存するシステムに影響を及ぼす脅威について十分な情報に基づいた意思決定を行うためには、セキュリティアラートとワークフローを認識する必要があるかもしれません。
このようなコラボレーションは、組織がSIEMを共通のプラットフォームおよびツールとして活用し、コラボレーションを推進する際に実現可能になります。そのためには、SIEM を使用してセキュリティデータをすべての利害関係者が利用できるようにします(つまり、サイロに保管しないようにします)。このツールを他のモニタリングツールやオブザーバビリティツールと統合し、組織全体で統一されたデータの可視性を実現し、コラボレーションをさらに促進します。
まとめ
セキュリティリスクと脆弱性を検出するための一元的なソリューションとして、SIEM は現代企業のセキュリティ運用の基盤となります。それはサイバーセキュリティツールチェーンの一部に過ぎないかもしれませんが、ITリソースが生成するデータを脅威に関するアクショナブルなインサイトに変換するための、最も重要なコンポーネントです。
SIEMが果たす役割は、サイバーセキュリティの課題が規模を拡大し複雑化し続けるにつれてますます重要になっていきます。これは企業はSIEMだけが提供できる一元化、コラボレーション、充実した機能を通じて対応せざるを得なくなるからです。
Sumo LogicクラウドSIEM
Sumo Logic Cloud SIEM は、最新の SaaS プラットフォームから提供され、オンプレミス、パブリッククラウド、ハイブリッドやマルチクラウドアーキテクチャなど、あらゆるタイプの環境において統合された可視性を実現します。内蔵されたアラートのトリアージと管理、 脅威ハンティング機能、自動化された脅威インテリジェンス、そしてセキュリティを企業全体で共有する共同責任のために設計されたコラボレーション機能を備えた Sumo Logic Cloud SIEM は、企業が使用するITリソースの種類や展開場所にかかわらず、脅威に対して先手を打つのを助けます。
