SmartCloud コラム

人間にはできない分析も自動で!SIEMとは?

2020.05.11その他セキュリティー

column-security1-siem.jpg

 

年々巧妙化するサイバー攻撃は、従来からのセキュリティー対策では防御できなくなってきています。中でも猛威を振るう標的型攻撃は特定の組織を執拗に攻め、あらゆる手段で内部へ侵入し、機密情報を抜き取ります。そこで注目されているのが「SIEM」というセキュリティーソリューションです。今回はSIEMとは何か、その機能と市場の動向についてご紹介します。

 

 

標的型攻撃の対抗手段「SIEM」とは

SIEMは「Security Information and Event Management」の略称で、日本語では「セキュリティー情報イベント管理」などと呼ばれています。複数のエンドポイントからログを取得し、自動的に相関分析することで不正アクセスをリアルタイムに発見するためのセキュリティーソリューションです。
従来からログ解析は行われていますが、各機器へのログイン作業やログファイルの取得に工数がかかり、各機器のログを横断して分析をすることは非常に困難です。時間がかかるだけでなく、間違いや見落としが発生するでしょう。このような作業をこなしながら、リアルタイムな不正アクセスの発見は極めて難しいことは明らかです。

「SIEM」は人間が行うと困難な各機器のログの収集、各器機の横断(相関)分析を可能にし、セキュリティーインシデントの予見とリアルタイムの発見を可能にします。


SIEMの主な機能

SIEMは、大きく以下2つのポイントで内外からの脅威に対するセキュリティーを担保します。

分散した複数機器のログを総合管理

組織内におけるネットワークやサーバーなどのさまざまな機器からログを収集し、総合的に管理します。対象となる機器には次のようなものが想定されます。


・ファイアウォール
・IPS/IDS
・PC
・ネットワーク機器
・メールサーバー
・プロキシサーバー
・データベースサーバー
・クラウドサービス  など


各ログのフォーマットが統一されていない場合でも、システム内で正規化・ルール化することによって、一度に膨大なログを処理するための基盤を作ります。

相関分析で早期のインシデントの予兆段階でもアラート

正規化されたログフォーマットをベースに相関分析して、インシデントを予兆した段階、もしくは発生時にリアルタイムにアラートを上げます。各種ログを時系列で細かく比較できるので、人間では気づけないセキュリティーインシデントの早期発見が可能となるのです。

また、相関分析により外部からの攻撃だけでなく、内部の不正にも対処できます。例えば、サーバールームへ入室していない人のIDで、サーバールーム内からデータへアクセスされているという相関分析により、内部犯罪の可能性を検知できます。

 

SIEMの運用分析を含めた導入が増えている

SIEMは、日々複雑化する脅威に対して有効なシステムですが、それを構築しただけでシステムを使いこなせないという企業も多くあります。SIEMを最大限に活用するには、脅威に対する最新の情報が必要であり、脅威検知のルールを常にアップデートしていかなければなりません。また、解析したログに基づくインシデントを理解し、対応する高度なスキルが必要です。

このような背景から、SIEM導入における要件定義や監視設計、SIEMの設置・構築から運用分析までを含めたソリューションを導入する企業も増えています。SIEMの構築から運用までをアウトソースすることで、SIEMの導入をスムーズにし、運用するための学習コスト削減が実現できるでしょう。

 

SIEMでログの相関分析を自動化して脅威に対処

SIEMを導入することでログの相関分析を自動化し、内外双方の脅威に対してセキュリティーを強化できます。各エンドポイントを総合した分析は、高度な標的型攻撃も早期に発見・対処することが可能となります。また、サイバーキルチェーンの進行チェックに要する時間の短縮にもつながり、現状の影響範囲をより早く特定できる利点もあります。
SIEMを導入してもチェックに膨大な工数がかかってしまうようであれば、運用分析も担うサービスを利用することで、SIEMを最大限に有効活用できるでしょう。

 

 

 

 ※記載されている情報は、記載日時点のものです。現時点と異なる場合がありますので、あらかじめご了承いただくとともに、ご注意をお願いいたします。

 

関連する記事


ページトップへ

お問い合わせ

「SmartCloud」問い合わせ

資料請求・お問い合わせ

ページトップへ