SIEM (Security Information & Event Management:セキュリティ情報&イベント管理)システムは、SOC(Security Operation Center)が内部および外部のサイバー脅威を収集、検出、調査、対応するのに役立つ、最新のサイバーセキュリティ・ツールボックスの不可欠な部分です。この重要なツールは、サイバーセキュリティ・チームが迅速かつ最適なインシデント対応を維持・確保しながら、セキュリティ・オペレーションを収集、分析、実行するのに役立ちます。クラウド・セキュリティ用語集では多くのトピックを取り上げていますが、SIEM は独自のページに値する複雑なトピックです。
目次
SIEMの紹介
SIEM は、他のサイバーセキュリティ関連システムから情報を収集、集約、分析するツールです。インターネットの黎明期には、インターネットに面したシステムが比較的少なかったため、SIEM ツールは必要ありませんでした。不正な接続をブロックするシンプルなファイアウォールがあれば、オンラインにする必要のあるシステムを保護するのに十分でした。通常、許可されたユーザーは組織内部から接続し、リモートから会社のリソースにアクセスしようとする試みは不正なものだと考えても安全でした。
しかし、人とビジネスがデジタルに依存する環境に進化するにつれ、サイバーセキュリティ・チームが社内外の脅威を監視し、保護することはより複雑になっている。デジタル・エコシステム全体の拡大、サイバーセキュリティ業界におけるスキル不足、脅威行為者の攻撃対象領域の増大と相まって、サイバーセキュリティ・チームに、これらの脅威に迅速かつ効果的に対処するためのツールとリソースを提供することが、これまで以上に重要になっています。組織には、ファイル・サーバーやデータベースからビデオ・チャット、VPNなど、さまざまなポートで接続を受け付ける複数のサーバがあるかもしれません。より多くのデータがデジタルで保存されるようになるにつれ、組織は組織内外からの脅威を心配しなければならなくなりました。
SIEMは、ITチームが日常的に扱わなければならない膨大な量の情報を監視・管理する方法として発展しました。脅威の検出からフォレンジック、インシデントレスポンスに至るまで、SIEM はサイバーセキュリティの脅威に対処する作業をよりシンプルなものにします。
SIEMの構成要素
SIEM は、セキュリティ関連のイベントやインシデントに関する情報を収集、処理、分析する方法を提供します。SIEMシステムには多くのコンポーネントがありますが、大きく2つのカテゴリに分けることができます:
●セキュリティ情報管理(SIM:Security Information Managemen)
●セキュリティ・イベント管理(SEM:Security Event Management)
SIMとは、ログファイルやその他のデータを中央のリポジトリに収集し、後日分析できるようにすることです。後日分析できるように、ログファイルやその他のデータを中央のリポジトリに収集することです。これに対してSEMは、情報を処理し、イベントやアラートを監視することを指します。SIEMはこの2つを組み合わせたもので、データは様々な異なるソースから取得され、一部はリアルタイムで、一部はそうでなくとも、脅威や潜在的な問題を特定し、よりよく理解するために処理されます。SIEMシステムは、ログ、侵入検知システム、内部脅威システム、その他のソースからのデータを組み合わせて、どの脅威がシステム管理者に警告を発して対応する必要があるほど重大なものなのか、あるいはどの脅威が即座の対応を必要としない平凡な活動なのかについて、情報に基づいた判断を下すことができます。
SIEMソリューションの導入
SOC チームが監視・保護すべき脅威ベクトルや攻撃対象が増加するにつれ、企業はサイバーセキュリティチームをサポートする幅広い SIEM 製品を利用できるようになりました。人気のある SIEM ベンダーには、次のようなものがあります:
- Splunk
- Crowdstrike
- Palo Alto
- VMware
- Microsoft
- Fortinet など
SIEMソリューションを選択する際には、既存のインフラを考慮することが重要です。ツールの中には、特定のオペレーティング・システムやサーバ、環境を念頭に置いて設計されているものもあります。検討すべきポイントとしては、ソリューションがクラウドベースのサブスクリプションサービスなのか、自社サーバー上のオンプレミス・ソリューションなのかが挙げられます。また、提案されているSIEMはマルチクラウド、ハイブリッド、オンプレミスのアプリケーションに対応していますか?
ライセンスを注意深く読む価値があります。ソリューションによっては、サーバごとに課金されたり、特定の統合/分析ツールを追加するためにさらに課金されたりする場合があり、大規模で複雑なシステムを運用している場合は、かなりのコストがかかる可能性があります。
SIEMソリューションの中には、様々なベンダーの何百ものアプリケーション/サーバーをすぐにサポートすると謳っているものもあり、SIEMソリューションを迅速にセットアップしたい場合には非常に貴重なものとなります。比較的古いサーバーや無名のサーバーを使用していて、通常とは異なる形式のログを解析する必要がある場合、最新のツールではこれらのログをすぐにサポートできないことがあります。幸いなことに、ほとんどのツールで解析の設定を手動で行うことができます。
ツールの中には、オープンソースのものや無料のものがあり、多くのサーバーで自由にソリューションを実行する必要がある場合に適しているかもしれません。しかし、無料かつオープンソースのソリューションを選択する場合は、利用可能なサポートオプションを調査することを確認してください。監視システムが正しくセットアップされていることを確認するためには、プレミアム・サポート・パッケージに料金を支払う価値があるかもしれません。
SIEMの統合戦略
セキュリティは複雑な問題であり、SIEMに万能なアプローチはありません。既存のセキュリティ・ツールとSIEMソリューションの統合を検討する場合、まず使用事例と情報の盲点を検討することから始めます。次のような質問をしてみてください:
- SIEMの目的を特定したか?
- 対応すべきニーズのリストは作成したか?
- データ要件のリストはあるか?
- 既にロギングしているデータは何か?
- ロギングしていないが、ロギングすべきデータのリストはあるか?
- ニーズに対応し、現在発生している問題をよりよく可視化するために、SIEM ツールをどのように構成できますか?
多くのセキュリティ・ソリューションは、SNMP(Simple Network Management Protocol)によるリアルタイム・レポートを提供しています。これらのソリューションには、既存のツールから SIEM プラットフォームにデータを取り込んで分析するのに役立つ API またはデータ・エクスポート・システムが含まれています。SIEMツールを正しく使用すれば、異常を特定し、セキュリティ侵害に迅速かつ効果的に対応することができます。
しかし、ロギング量が多すぎたり、ロギング内容をどのように処理すればよいのか分からなかったりすると、データに圧倒されてしまう可能性があります。自分が何を見ているのかを理解し、「ベースライン」が何なのかを把握することで、正常な活動の変化を見つけることができます。
SIEMの使用例
SIEM の導入で発見できる一般的な事例には、次のようなものがあります:
- アカウントの漏洩:オフィスでログインしているスタッフが、20分後に400マイル離れた場所からログインした場合、そのアカウントは漏洩している可能性が高い。
- インサイダーの脅威:特権的な認証情報を持つシステム管理者やスタッフが、勤務時間外に自宅からログインし、データの流出を試みている可能性がある。
ブルートフォース試行:ブルートフォース、パスザハッシュ、ゴールデンチケットなどの伝統的なハッキング試行は、通常ログにはっきりと残こる。 - フィッシングの試み: SIEMは、誰がフィッシングの試行を受けたか、そして誰かがフィッシングのリンクをクリックしたかどうかを特定するために使用することができます。
情報漏えい後の修復:情報漏えいが発生した場合、それが上記のベクター経由でなかったとしても、SIEMは管理者にサーバーの設定変更や、想定外のメモリ使用量やプロセッサ使用量の急増を警告する可能性があります。これにより、チームは侵害が発生したことを警告され、システムをロックダウンし、問題を診断し、改善策を講じる時間を得ることができる。 - マルウェア: SIEM を使用してファイルの変更を監視し、マルウェア感染が通常アクセスされないファイルを暗号化し始めた場合にアラームを鳴らすことで、ランサムウェアに対する追加の防御ラインとして機能させることができる。
コンプライアンスにおけるSIEMの役割
SIEM はロギングと分析を組み合わせ、企業のシステム保護とプライバシー規制の遵守を支援します。明確にしておくと、SIEM 自体はコンプライアンス・ツールではありません。しかし、SIEM のダッシュボードは、不正または悪意のある活動を示す脅威や問題を管理者に警告します。サイバーセキュリティには知識が不可欠であり、SIEM は管理者に強固な防御を行うために必要な知識を提供します。
企業が遵守する必要がある最も一般的なフレームワークには、次のようなものがあります(業種によって異なります):
●HIPAA:医療機関は、違反1件につき100~50,000ドルの罰金を科される可能性があり、1件のセキュリティ侵害が複数の違反としてカウントされることもある。
●PCI-DSS:金融機関は、安全な支払いとデータ処理に関するこれらの規制に準拠しなければならない。罰金は月額5,000~100,000ドル。
●GDPR:個人データを処理する欧州で事業を行う組織はGDPRを遵守する必要があり、罰金は最高2000万ユーロ、または企業の売上高の4%のいずれか大きい方になります。
また、カリフォルニア州のプライバシー規制やイギリスのICOのデータ処理規制など、州や地域による規制もある。どの規制を遵守する必要があるのかを判断し、その規制に従って運用しているかを確認するのは各企業に任されています。
SIEMはそれ自体で情報漏えいを防ぐことはできないが、情報漏えいを組織に警告し、被害の拡大を防ぐことはできる。また、貴重なデューデリジェンスとしても機能する。次のような仮想シナリオが考えられます。
SIEMツールが、長い間忘れていたサーバーに異常なログインがあったことを警告します。システム管理者はそのログインを調査し、違反であることを発見し、攻撃者が機密データにアクセスしなかったことを確認しながら修正します。SIEM ツールからの早期警告がなければ、ハッカーは侵害されたシステムを探索するのに数週間から数カ月を要し、他の脆弱性を見つけて特権データにアクセスすることで実害を与えられる可能性がありました。
SIEMのベストプラクティス
SIEMを最大限に活用するには、独自の要件に合わせて実装をカスタマイズすることが重要です。これには、何をログに記録するのか、そしてそのデータをダッシュボードで読み取るのに適した形式にどのように変換するのかを決めることが含まれる。また、SOCチームに負担をかけないよう、システムを自動化する方法も検討しましょう。以下は、検討すべき有用なベストプラクティスです:
●目的を明確に定義する。
●ログの一元化されたデータストアと、そのデータを統合するための合理的なシステムを用意する。
●すべてのセキュリティ関連ツールやアプリケーションから必要なデータを確実にログに記録する。
●ログ保持ポリシーを明確に定義し、パターンを特定するのに十分な過去にさかのぼってデータを保持する。
●ロギングと監査が、遵守が義務付けられている規制に十分対応していることを確認する。
可能な限りワークフローを自動化し、スタッフの時間を節約し、エラーの余地を減らす。
●API やその他の統合機能を活用して、SIEM ツールとセキュリティ・インフラストラクチャとの接続を効率化する。
●インシデント対応システムについて、関係するすべてのスタッフに説明する。
●セキュリティ・システムとポリシーを定期的に再評価する。
SIEM がうまく機能するためには、適切なものを監視し、SIEM を通過するデータの品質が高くなければなりません。SIEMシステムが定期的に誤ったアラートを出している場合、セキュリティ・チームはそれを無視し始めるかもしれません。SIEMの目的は、ノイズをフィルタリングし、SOCチームの時間を節約することです。システムの微調整には時間がかかるかもしれませんが、この時間投資は長期的には価値があります。
SIEMの進化と今後の動向
ITエコシステムの他の部分が進化しているように、SIEMも進化しています。AIや機械学習ツールは、特に自動化された迅速な脅威検知という観点から、SIEMソリューションの改善に役立っている。より多くの組織がクラウドに移行する中、最新のセキュリティツールはハイブリッド環境やマルチクラウド環境で効率的に動作する必要があります。
また、プロセッサが高速化し、ストレージが安価になるにつれて、大量のデータを処理することが容易になります。クラウドデータレイクと、大量の非構造化データを分析できる高度なレポーティングツールによって、SIEMツールは、以前なら「ノイズが多すぎる」として捨てられていたかもしれないデータを分析できるようになりました。現在では、これらの大量のデータを使用して、ユーザをより適切にプロファイリングし、疑わしい使用パターンを特定することができるため、侵害されたアカウントの特定が容易になります。
管理者は、ロールベースのアクセス制御とユーザープロファイルを使用することで、漏洩したユーザアカウントによる被害を抑えることができます。SIEMツールは、ファイアウォール、侵入検知、エンドポイントセキュリティ、インサイダー脅威モニタリングツールと一緒に使用することで、オールラウンドなセキュリティソリューションを提供することができます。このようなパワーと柔軟性は、リモートワークやハイブリッドワークが一般的であったり、BYOD(Bring-your-own-device)ポリシーが導入されている環境では不可欠です。
SIEMの可能性を引き出す
SIEMは、セキュリティ脅威を監視、評価、分析するための強力なコンセプトです。ディープラーニング技術を活用した次世代 SIEM ツールは、ネットワークの異常な動作を自動的に検出して特定することで、セキュリティを向上させます。インタラクティブなダッシュボードを使用して、これらのツールは悪意のある活動に関するリアルタイムの情報を提供し、管理者は迅速な是正措置を取ることができます。
SIEMは、システムを侵害しようとするサイバー犯罪者の試みを検出し、排除するための重要なツールです。
SIEMはサイバー脅威に対するプロアクティブな防御の不可欠な部分ですが、サイバー攻撃が成功した場合の予備手段を持つことも同様に重要です。被害者にならないためには、安全でセキュアな不変のバックアップを確実に維持・管理する必要があります。
SIEM統合とバックアップによるセキュリティの拡張へ: