セキュリティ情報およびイベント管理(SIEM)システムは、SOCが社内外のサイバー脅威を収集、検出、調査、対応するための最新のサイバーセキュリティツールボックスに不可欠な要素です。この非常に重要なツールは、サイバーセキュリティチームがセキュリティ業務を収集、分析、実行しながら、迅速で最適なインシデント対応を維持して確保する上で役立ちます。弊社では多くのクラウドセキュリティ用語集を取り扱っていますが、SIEMは特集ページを組む価値のある複雑なトピックです。ぜひ読み進めて、SIEMのコンポーネント、ベストプラクティス、ユースケース、トレンドの詳細をご確認ください。
SIEMの概要
SIEMは、他のサイバーセキュリティ関連システムからの情報を収集、集約、分析するツールです。インターネットの黎明期には、インターネットに接続するシステムが比較的少なかったため、SIEMツールは必要ありませんでした。オンラインに接続する必要があるどのシステムでも、不正な接続をブロックするシンプルなファイアウォールがあれば十分に保護できました。通常、承認済みのユーザーは組織内から接続していると考えても安全であり、社内リソースにリモートでアクセスすることは許可されていませんでした。
しかし、人々や企業がデジタルに依存する環境へと入り込んでいくにつれて、サイバーセキュリティチームが社内外の脅威を監視して保護することは、より複雑になっています。デジタルエコシステム全体の拡大、サイバーセキュリティ業界におけるスキル不足、脅威アクターの攻撃対象領域の増加と相まって、これらの脅威に迅速かつ効果的に対処するためのツールとリソースをサイバーセキュリティチームに提供することが、これまで以上に重要になっています。組織には、ファイルサーバーやデータベースからビデオチャット、VPNなどに至るまで、さまざまなポートで接続を受け入れる複数のサーバーが存在する場合があります。デジタルで保存されるデータが増えるにつれて、組織は組織内外からの脅威に懸念を抱かざるを得なくなっています。
SIEMは、ITチームが日常的に処理しなければならない膨大な量の情報を監視および管理する方法として進化しました。脅威検出からフォレンジック、インシデント対応まで、SIEMを使用するとサイバーセキュリティの脅威への対処がはるかにシンプルなタスクになります。
SIEMのコンポーネント
SIEMは、セキュリティ関連のイベントやインシデントに関する情報を収集、処理、分析する方法を提供します。SIEMシステムには多くのコンポーネントがありますが、大きく2つのカテゴリに分けることができます。
セキュリティ情報管理(SIM)
セキュリティイベント管理(SEM)
SIMとは、ログファイルやその他のデータをセントラルリポジトリに収集し、後日分析できるようにすることを指します。もっと地味な言い方をすれば、ログ管理と呼ぶこともできます。対して、SEMは情報を処理して、イベントとアラートを監視するという考え方を指します。SIEMはこの2つをさまざまなソース(リアルタイムのものもあればそうでないものもあります)から取得して処理したデータと組み合わせて、脅威や潜在的な問題を特定し理解を深めます。SIEMシステムは、ログ、侵入検知システム、インサイダー脅威システム、その他のソースからのデータを組み合わせて、システム管理者にすぐに対応するように警告を発するほど重大な脅威と、迅速なアクションを必要としない日常的な活動について、十分な情報に基づいた決定を下すことができます。
SIEMソリューションの導入
SOCチームが監視と対策を行う脅威ベクトルと攻撃対象領域が増える中、企業はサイバーセキュリティチームをサポートする多様なSIEMソリューションに恵まれています。人気のあるSIEMベンダーには、以下が挙げられます。
SIEMソリューションを選択する際には、既存のインフラストラクチャを考慮することが重要です。一部のツールは、特定のオペレーティングシステム、サーバー、または環境を念頭に置いて設計されています。考慮すべきポイントとしては、ソリューションがクラウドベースのサブスクリプションサービスであるか、独自のサーバー上のオンプレミスソリューションであるかなどが挙げられます。また、候補に挙がっているSIEMは、マルチクラウド、ハイブリッド、オンプレミスのアプリケーションでも機能するでしょうか?
ライセンスを注意深く読むことには価値があります。ソリューションによっては、サーバーごとに料金がかかる場合や、特定の統合/分析ツールの追加には追加料金が発生する場合があり、大規模/複雑なシステムを実行している場合は、多額のコストがかかる可能性があります。
一部のSIEMソリューションは、さまざまなベンダーの何百ものアプリケーション/サーバーを初期設定のままでもサポートできると謳っており、これはSIEMソリューションを迅速にセットアップしたい場合に非常に役立ちます。比較的古いサーバーやあまり知られていないサーバーを使用していて、通常とは異なる形式のログを解析する必要がある場合、最新のツールでは何らかの設定を行わないとそれらのログがサポートされないこともあります。幸いなことに、ほとんどのツールでは解析を手動で構成できるはずです。
一部のツールはオープンソースで提供されているか、無料利用枠を用意しており、多数のサーバーでソリューションを自由に運用する必要がある場合に適しています。ただし、無料のオープンソースソリューションを選択する場合は、利用可能なサポートオプションを必ず調べてください。監視システムが正しく設定されていることを確認するために、プレミアムサポートパッケージを購入する価値があるかもしれません。
SIEMの統合戦略
セキュリティは複雑な問題であり、SIEMに万能のアプローチはありません。既存のセキュリティツールをSIEMソリューションと統合することを検討している場合は、まずユースケースと情報に見落としがないか考慮することから始めましょう。次の質問を自分に問いかけてみてください。
SIEMの目的は特定済みですか?
対処すべきニーズのリストを作成しましたか?
データ要件のリストはありますか?
すでに記録しているのはどのデータですか?
ログに記録していないが、ログに記録する必要があるデータのリストはありますか?
SIEMツールを設定してニーズに対応し、現在発生している問題の可視性を高めるにはどうすればよいでしょうか?
多くのセキュリティソリューションでは、簡易ネットワーク管理プロトコル(SNMP)によるリアルタイムレポートが提供されています。これには、既存のツールからSIEMプラットフォームにデータを取り込んで分析するのに役立つAPIまたはデータエクスポートシステムが含まれます。SIEMツールを正しく使用すれば、異常を特定し、セキュリティ侵害に迅速かつ効果的に対応することができます。
ただし、ログが多すぎたり、ログに記録している内容を処理する方法がわからなかったりすると、データに圧倒されてしまうかもしれません。重要なのは、自分が何を注視しているのかを理解し、「ベースライン」が何であるかを把握することです。これによって、通常の活動の中の変化を見つけられます。
SIEMのユースケース
SIEMの導入によって検出できるものの一般的な例を挙げます。
侵害されたアカウント:オフィスでログインしたスタッフが、20分後に400マイル離れた場所からログインした場合、アカウントが侵害されている可能性があります。
内部関係者による脅威:システム管理者または特権のある認証情報を持つスタッフメンバーが、勤務時間外に自宅からログインし、データを盗み出そうとしている可能性があります。
総当たり攻撃の試み:総当たり攻撃、パス・ザ・ハッシュ、ゴールデンチケットなどの従来のハッキングの試みは、通常、ログで非常にはっきりと目立ちます。
フィッシングの試み:SIEMを使用して、フィッシング攻撃を受けたユーザーや、フィッシングリンクをクリックしたユーザーがいるかどうかを判断し、トレーニングの機会を提供したり、アカウントが侵害された場合は修復したりすることができます。
侵害後の修復:侵害が発生した場合、それが上記のベクトルのいずれかによるものでなくても、SIEMはサーバー設定の変更や、予期しないメモリ使用量やプロセッサ使用量の急増について管理者に警告する場合があります。これにより、侵害が発生したことをチームに警告し、チームがシステムをロックダウンして問題を診断し、修復する時間を確保することができます。
マルウェア:SIEMを使用してファイルの変更を監視し、マルウェア感染によって通常はアクセスされないファイルが暗号化され始めた場合にアラームを鳴らすことで、ランサムウェアに対する追加の防衛線として機能させることができます。
コンプライアンスにおけるSIEMの役割
SIEMは、ロギングと分析を組み合わせて、企業が自社のシステムを保護し、プライバシー規制を遵守できるように支援します。誤解のないように言っておくと、SIEM自体はコンプライアンスツールではありません。ただし、SIEMダッシュボードは、不正または悪意ある活動を示す脅威や問題を管理者に警告します。知識はサイバーセキュリティに不可欠な要素であり、SIEMは管理者に堅牢な防御を導入するために必要な知識を提供します。
企業が遵守を求められる最も一般的なフレームワークには、次のようなものがあります(業界によって異なります)。
HIPAA:医療機関は、違反があるごとに100ドルから50,000ドルの罰金を科せられる可能性があります。1件のセキュリティ侵害が複数件の違反としてカウントされることもあります。
PCI-DSS:金融機関は、安全な支払いとデータ処理のために、これらの規制に準拠する必要があります。罰金は1ヶ月あたり5,000ドルから100,000ドルの間です。
GDPR:欧州で事業を展開し、個人データを処理する組織は、GDPRを遵守することが義務付けられています。罰金は最大2,000万ユーロ、または企業の売上高の4%のいずれか高い方が適用されます。
また、カリフォルニア州のプライバシー規制や英国のICOのデータ処理規制など、州または地方の規制もあります。どの規制を遵守する必要があるのかを判断し、その規制に従って事業を運営していることを保証するのは各企業の責任です。
SIEMだけでは侵害を防ぐことはできませんが、組織に侵害について警告して、さらなる被害を防ぐのに役立ちます。また、適正評価に対する有益な手段としても役立ちます。次のようなシナリオについて考えてみてください。
SIEMツールが、長い間忘れられていたサーバーへの異常なログインについて警告しています。システム管理者はそのログインを調査し、それが侵害であることを発見し、攻撃者が機密データにアクセスできなかったことを確認しながら修正して、多額の罰金やパブリックリレーションズの悪化から会社を守ります。SIEMツールからの早期警告がなければ、ハッカーは数週間から数か月かけて侵害されたシステムを調査して、他の脆弱性を発見し、特権データにアクセスして実害を与えることができた可能性があります。
SIEMのベストプラクティス
SIEMを最大限に活用するには、独自の要件に合わせて導入をカスタマイズすることが不可欠です。これには、ログに記録する内容と、そのデータをダッシュボードの読み取りに適した形式に変換する方法の決定が含まれます。また、SOCチームの負担を避けるために、システムを自動化する方法も検討してください。ここでは、考慮すべき有用なベストプラクティスをいくつか紹介します。
目的を明確に定義します。
ログ用の一元化されたデータストアと、そのデータを統合するための合理化されたシステムを用意します。
すべてのセキュリティ関連ツールとアプリケーションから必要なデータを記録していることを確認します。
ログ保持ポリシーを明確に定義して、パターンを特定するのに十分な程度の過去データを確保します。
遵守が義務付けられている規制に対して、十分なロギングと監査が行われていることを確認します。
可能な限りワークフローを自動化してスタッフの対応時間を短縮し、エラーが起きる余地を減らします。
APIやその他の統合手段を活用して、SIEMツールをセキュリティインフラストラクチャに効率的に接続します。
関係するすべてのスタッフにインシデント対応システムの概要を説明します。
セキュリティシステムとポリシーを定期的に再評価します。
SIEMがうまく機能するためには、適切な対象を監視し、それを通過するデータの品質が高い必要があります。SIEMシステムが定期的に誤ったアラートを発していると、セキュリティチームはアラートを無視し始める可能性があります。SIEMの目標は、ノイズをフィルタリングし、SOCチームの時間を節約することです。システムの微調整には時間がかかるかもしれませんが、長い目で見れば時間をかける価値はあります。
SIEMの進化と今後のトレンド
ITエコシステムの他の部分と同じように、SIEMも進化しています。AIと機械学習ツールは、特に自動化された検出や迅速な脅威検出の観点から、SIEMソリューションの改善に役立っています。クラウドに移行する組織が増えていることを受け、最新のセキュリティツールはハイブリッド環境やマルチクラウド環境でも効率的に機能する必要があります。
さらに、プロセッサが高速化され、ストレージが安価になるにつれて、大量のデータの処理が容易になります。大量の非構造化データを分析できるクラウドデータレイクと高度なレポートツールにより、SIEMツールでは、以前は「ノイズが多すぎる」として捨てられていたようなデータの分析が可能になっています。今では、これらの大量のデータを使用して、ユーザーのプロファイリングを改善し、疑わしい使用パターンを特定できるため、侵害されたアカウントを簡単に特定できます。
管理者は、ロールベースのアクセス制御とユーザープロファイルを使用して、侵害されたユーザーアカウントによる損害を制限できます。SIEMツールは、ファイアウォール、侵入検知、エンドポイントセキュリティ、インサイダー脅威監視ツールと併用することで、オールラウンドなセキュリティソリューションを提供します。このようなパワーと柔軟性は、リモートワークやハイブリッドワークが当たり前になっている環境や、個人所有の機器の持ち込み(Bring Your Own Device:BYOD)ポリシーが実施されている環境では不可欠です。
SIEMの可能性を解き放つ
SIEMは、セキュリティの脅威を監視、評価、分析するための強力な概念です。ディープラーニング技術を活用した次世代SIEMツールは、ネットワークの異常な動作を自動的に検出して特定することで、セキュリティを向上させます。インタラクティブなダッシュボードを使用して、悪意ある活動に関する情報をリアルタイムで提供するため、管理者は迅速に是正措置を講じることができます。
SIEMは、サイバー犯罪者によるシステムへの不正アクセスを検知し、排除するための重要なツールです。
SIEMはサイバー脅威に対するプロアクティブな防御に欠かせない要素ですが、サイバー攻撃が成功した場合に備えてフォールバックを用意しておくことも同様に重要です。被害に遭わないようにするには、安全でセキュアなイミュータブルバックアップを必ず保持し、維持する必要があります。
データ保護に関してVeeamがどのように役立つか詳しく知りたい場合は、今すぐお問い合わせいただいてコンサルテーションを予約するか、ソフトウェアのデモをご手配ください。