SIEMは、企業のセキュリティ対策として注目されているシステムの一つです。
年々サイバー攻撃やマルウェアなどは巧妙化しており、気づいたときにはすでに大きな損害を受けていることもあります。セキュリティ対策は事業を存続するうえで重要性が高く、迅速・適切な対策が必要です。
そこで注目されているのが、ネットワークのサイバー攻撃やマルウェアをいち早く検知できるSIEMです。
この記事では、SIEMの仕組みや機能、導入するメリットやデメリットを紹介します。
目次
[ 開く ]
[ 閉じる ]
SIEMとは
SIEMとは、セキュリティ機器からログを収集・分析してサイバー攻撃やマルウェアなどを早期に自動で発見するシステムです。
「Security Information and Event Management」の略称で、「セキュリティ情報イベント管理」と訳されます。
また、SIEMはSIM(セキュリティ情報管理)とSEM(セキュリティイベント管理)を統合したもので、それぞれには以下のような特徴があります。
【SIM】
- セキュリティの情報管理を行うシステム
- イベントとアクティビティのログデータを分析目的で収集
- インシデントが発生したときに攻撃経路の特定や被害想定を行う
【SEM】
- セキュリティイベントをリアルタイムで監視・分析するプロセス
- 脅威や兆候がみられる場合にアラートを出す
- フィッシング、マルウェア、サイバー攻撃などのリスクや問題を自動的に突き止める
この二つを組み合わせることによって、セキュリティの脅威や攻撃の兆候を監視しながら、イベントが発生した際には迅速に対応できるシステムが作れます。
【関連記事】サイバー攻撃とは?種類や被害事例、対策方法についてわかりやすく解説
【関連記事】マルウェアとは?種類や感染経路、感染した場合の症状や対処法を解説
SIEMの仕組み
SIEMの仕組みは、自動的に大量のログを集めて、それぞれの関係を分析することでサイバー攻撃やマルウェアの兆候を検知できる仕組みです。
ログとは、コンピューターの利用状況やデータ通信などの履歴や情報の記録のことで、想定外な操作があるとインシデントが疑われます。
SIEMが対象とするログは下記の機器から集められます。
- ネットワーク機器
- サーバー
- ファイヤーウォール
- ウイルス対策ソフト
- IDS/IPS
- ルーター
- ソフト
これらの機器から出力できるログは膨大な量となり、ユーザーの利用履歴やID情報なども含めると手作業で収集や分析を行うことは困難です。
SIEMはこれらの莫大なログを一元で管理し、さらに異なる機器から収集したログを組み合わせて分析を行うことで、一つのログでは発見できないインシデントを発見できるようになります。
SIEMが必要とされる理由
SIEMが必要とされる理由として、企業における「外的要因」と「内的要因」のリスク対策が挙げられます。
外的要因では、単一的な視点では気づきにくいサイバー攻撃手法等が出回っており、いち早くリスクを検知するために複数のログを収集・分析できる環境が必要です。
サイバー攻撃は水面下で行われることも多く、「気づいたら攻撃を受けていた」というケースも少なくありません。大きな損害を出す前に対策することが重要です。
内的要因では、リモートワークが浸透したことで働き方改革が進み、人と場所における接続デバイスが多様化しているため、適切なセキュリティ管理を必要とします。
SIEMの主な機能
SIEMには主に4つの機能があります。ここでは、それぞれの機能やできることを詳しく解説します。
収集したログの管理
SIEMは、複数の機器から収集したログの一元管理を行うことができます。
通常、ネットワークやサーバーなどの機器はそれぞれがログを保管しますが、システムの規模が大きくなると大量のログ管理は手間がかかる作業です。SIEMはそれぞれに保管されているログを一つの場所に統合できる機能があります。
これによってログを手動で集めたり管理する必要がなくなり、システムが行うためヒューマンエラーのリスクもありません。
機械学習を用いた相関分析
SIEMで一つにまとめたログは、機械学習を用いた相関分析を行うことができます。
相関分析とは、複数のログ同士の関係性を明らかにすることで異常を検知できる手法です。例えば、ファイアウォールにログが残っていないにも関わらず、サーバーに外部と通信しているログがある場合は何らかの異常が疑われます。
この場合、ファイアウォールのログだけを見ても、サーバーのログだけを見ても異常に気付くことはできません。二つのログの関係性から異常を発見できます。
また、機械学習を用いたSIEMであれば、分析を繰り返すことによって異常を見つける精度も高まるでしょう。
リアルタイムの監視
SIEMの強みといえるのが、リアルタイムに相関分析を行ってインシデントを検知できることです。
ログが発生する度に分析が行われ、過去の運用データや実績などをもとに異常がないかを常に察知できます。サイバー攻撃やマルウェアなどは被害を抑えるために早期の検知・対策が重要となるため、リアルタイムで監視できるSIEMは大きなメリットといえるでしょう。
インシデント対応
SIEMの中には、インシデントの検知や監視だけでなくその後の対応まで自動的にできるものもあります。
SIEMは事前に設定したルールに基づいて異常があった場合はアラームで知らせてくれる機能があります。
しかし、場合によっては即時対応が必要な事案もあり、ログの分析で異常を察知しても、それから手動で対応していると時間がかかって被害が大きくなる可能性もあるでしょう。
インシデント検知のあとの自動対応ができれば、異常を発見したあとは機械的に迅速に対処できるため、スピーディーな解決が実現できます。
SIEMを導入するメリット
SIEMの機能により、導入することで以下のようなメリットが見込めます。ここでは、それぞれのメリットを詳しく解説します。
セキュリティデータを可視化できる
SIEMのメリットは、ダッシュボードを通して集約したログを可視化して分析もできることです。
ログを集約管理してさらにセキュリティデータを可視化することで、インシデント対応や調査につなげることもできます。担当者がどの機器のログに異変が生じているかを把握することで、企業のセキュリティにおける問題点を人為的に発見できることもあるでしょう。
強固なセキュリティ環境を構築できる
SIEMはあらゆる機器のログを集めて異常の検知ができるため、さまざまなパターンのサイバー攻撃・マルウェアに対応できる強固なセキュリティ環境の構築ができることもメリットです。
また、相関分析を行うことでファイヤーウォールやセキュリティソフトをすり抜けてくるような攻撃にも対応できます。既存のセキュリティシステムを強化するうえでも、SIEMの導入は効果的です。
外部からの攻撃だけでなく内部不正も発見しやすくなるため、ネットワークに関係なく強固なセキュリティ環境が作れます。
自動化により業務が効率化する
SIEMのメリットは、ログの収集・分析・インシデント対応を自動化することで業務の効率化が図れることです。
サイバー攻撃が発生した際には、被害の拡大を防ぐためにいち早く対応しなければなりません。手動だとログを集めるところから始まるため、原因の特定や対応までに多大な時間をかけることになるでしょう。
SIEMがあれば検知スピードが早くなり、即座に対応ができるため、かかる手間や費用の削減にもつながります。
将来のニーズにも対応できる
SIEMには高い拡張性があり、近年では対策を自動で実施する機能(SOAR)やユーザーの行動分布や振る舞いを検知する機能(UBA/UBEA)が備わり、将来のニーズに対応しやすくなったメリットがあります。
セキュリティの監視や運用では、OODAループを回すことが重要です。
OODAとは、Observe(観察)、Orient(方向付け)、Decide(判断)、Action(行動)の四つの頭文字の総称であり、これまでのSIEMでは観察・方向付けの二つしかできませんでした。
しかし、近年のSIEMには判断や行動ができる機能も備わっており、システムのみでOODAループを回せるようになったため、企業が成長したときにも自動で対応しやすくなっています。
SIEMの課題・デメリット
多機能なSIEMにはさまざまなメリットがありますが、その一方で以下のような課題やデメリットもあります。
- 処理するログデータが多く適切なストレージリソースが必要
- 設定したルールによっては検知漏れやアラート過多が起こる
- ログ管理やインシデント検知後の対応などに担当者のスキルが求められる
リアルタイムでログの監視・分析ができるSIEMであればストレージリソースは最小限で済みます。機械学習ができるSIEMなら運用日数に応じて検知漏れやアラート過多も減らせるでしょう。
また、インシデント検知後の自動対応まで行ったり、アシスト機能がついているSIEMなら担当者のスキルや負担も減らせます。
このようにSIEMにもいろいろなタイプがあるため、導入のコストや運用の負担などを総合的に判断したうえで選ぶとよいでしょう。
近年注目される次世代SIEM
近年、新しいセキュリティ対策の一つとして次世代SIEMが注目されています。
SIEMを導入したものの使いこなせていない企業も多くあるのが現状です。その理由として、高コスト・活用できる人材の不足・ルール決めの難しさなどが挙げられます。
このようなデメリットや課題を解消できるのが次世代SIEMです。具体的には下記のような機能が搭載されています。
- 機械学習によって知識やスキルを持たないユーザーでも使いこなせる
- サブスクリプション課金でデータ量を気にせず必要なログをすべて監視できる
- ログのタイムライン化で誰でも状況を把握して共有できる
次世代SIEMは機械学習によって機能が高まるため、自動的に経験のない脅威や内部不正を検知します。専門的な知識やスキルを持たなくても問題ありません。
さらに、ログがタイムライン化されることで簡単にインシデントが把握できます。
また、サブスクリプション課金タイプであれば、ユーザー数に対して費用が決まるため、データ量によってコストが変わらないのもメリットといえます。
GMOトラスト・ログインが新機能「SIEM連携」をリリース
GMOトラスト・ログインでは、新機能として「SIEM連携」をリリース予定です。この機能によってログ分析やインシデントの検知が行えるようになり、高度なセキュリティ環境を構築できるようになります。
連携を予定しているのはSaaS型マシンデータ分析プラットフォームの「Sumo Logic」です。Sumo LogicのCloud SIEMは、セキュリティアナリストが監視を行い、攻撃の影響や状況を詳細に把握できるように可視性を強化します。
また、SIEMでは検知漏れやアラート過多の課題がありますが、Cloud SIEMではアラートの信頼性をランク付けするための分析や機能が搭載されています。
GMOトラスト・ログインは企業向けのシングルサインオンサービスで、一つのIDとパスワードでさまざまなシステムやサービスにログインができるSSOを提供しています。
また、多要素認証やアクセス制限機能などのオプション機能も提供しており、SIEM連携を行うことでより事業の効率化を図ることができるでしょう。
まとめ
この記事では、SIEMの機能や導入するメリット・デメリットなどを解説しました。
SIEMは複数の機器からログを一つに集めて監視・分析し、サイバー攻撃やマルウェアを検知するシステムです。ログの監視・分析を自動化して事業を効率化し、強固なセキュリティ環境を構築できます。
一方でコストがかかったり、担当者にスキルが求められるなどの課題もありましたが、次世代SIEMの登場によって導入のハードルが下がりました。
GMOトラスト・ログインでは、新機能として「SIEM連携」の導入を予定しています。これにより、ログ分析やインシデントの検知をスムーズに行えるようになります。
SSOも月額基本料金0円で利用できるため、SIEMと合わせて検討してみてはいかがでしょうか。
文責:GMOインターネットグループ株式会社