無料会員登録
猛威を振るう標的型攻撃に対する有効な対抗手段として、SIEMが注目されています。SIEMはログを管理し、自動的に分析を行うソリューションです。サイバー攻撃は巧妙化しており、ログから攻撃を検出することは難しいと言えます。しかし、SIEMを利用すれば、複数の機器のログを組み合わせて相関分析することができ、セキュリティインシデントを発見することが可能なのです。
今回は、SIEMの概要から仕組み、メリットやデメリットと合わせてSIEMの今後まで解説していきます。
SIEMとは
SIEM(読み方:シーム)は「Security Information and Event Management」の略称です。日本語で表せば、セキュリティ情報イベント管理となります。セキュリティ機器やネットワーク機器などからログを集めて一元管理し、相関分析によってセキュリティインシデントを自動的に発見するためのソリューションです。
ログからセキュリティインシデントを発見することは難しいと言えます。なぜなら、通常はログを集めて人間の手で分析する必要あり、非常に手間と時間がかかるからです。ログを統合管理するだけであれば、昔から有用なツールはありますが、収集したログを分析するところまで行う点が、今までのソリューションとの大きな違いです。
スイッチ・ルーター・ファイアウォール・IPS/IDSなどからログを収集し、相関分析を自動的に行うことでセキュリティインシデントを発見するソリューションがSIEMとなります。SIEMは、標的型攻撃に対する有効な対抗手段として注目されています。
SIEMの仕組み
SIEMは、複数台の機器から集めたログを時系列などで相関分析することで、セキュリティインシデントの予兆や痕跡を見つけ出します。セキュリティインシデントの予兆や痕跡を見つけると、アラートなどにより管理者に通知する仕組みです。近年の巧妙化されたサイバー攻撃は、単一機器のログだけでは検出できない可能性があります。複数機器のログを組み合わせることで、セキュリティインシデントを見つけることができる場合もあるのです。
たとえば、特定の端末からサーバーへの接続ログがあったとしましょう。特定の端末は、セキュリティが確保された部屋に設置されており、部屋への入退室もログを取得しています。このとき、部屋への入室ログが無く、サーバーへの接続ログがあった場合、異常な挙動と判断することができます。
「特定の端末からサーバーへの接続」と「部屋への入室」という2つのイベントの相関関係から、分析することが相関分析です。SIEMはさまざまなログを統合管理することで、相関分析ができるようになっています。
SIEMの機能
SIEMの機能は大きく3つに分けられます。それぞれの機能について詳しく見ていきましょう。
ログの統合管理
ログファイルを統合管理することができます。ログファイルは各セキュリティ機器やネットワーク機器上に保存されるものです。しかし、それぞれの機器にログを保存していると、確認するだけでも手間がかかります。ログを統合管理することで、ログをすぐに確認できるようになり、ログ同士を比較分析しやすくなりますね。ログの統合管理自体は昔からあるものですが、SIEMはこれだけでは終わりません。
相関分析によるインシデント早期発見
収集したログを時系列やイベントごと、アクセス先に注目して相関分析を行います。システムの規模が大きくなるほど、ログの量は膨大になり、人間の手でチェックすることが難しくなります。SIEMは定められたルールに従って機械的に処理をするものです。大量のログの中に埋もれてしまい、人間では発見することが難しいセキュリティインシデントでも、早期に発見することが可能となります。
脅威への早期対策
SIEMが発見したセキュリティインシデントは、アラートなどの機能により管理者へ通知されます。収集した大量のログをリアルタイムに相関分析するため、脅威への早期対策が可能となるのです。セキュリティインシデントは早期発見、早期解決が重要となります。収集したログを人間の手で分析すると時間がかかりますが、SIEMを利用することで随時分析が行われるため、脅威の早期対策につなげることが可能です。
SIEMのメリット
SIEMのメリットとしては、次の4点が挙げられます。
- ログの統合管理ができる
- 相関分析により、セキュリティインシデントが発見できる
- リアルタイムに分析でき、早期発見につながる
- 分析に手間を大幅に減らせる
ログを統合管理し、リアルタイムに相関分析することは、SIEMを利用する大きなメリットとなります。ログの分析には手間と時間がかかるため、人間の手で分析しようとすると、分析の頻度が少なくなる、または分析できないということもあるでしょう。しかし、SIEMを導入すればリアルタイムに相関分析ができるため、分析にかかる手間と時間を大幅に減らすことができ、一定のセキュリティを確保することができます。
SIEMのデメリット
SIEMのデメリットとしては、次の4点が挙げられます。
- ネットワークトラフィックが高くなる
- ログの粒度が粗い
- ルールの制定など、運用開始までに時間がかかる
- 導入コストがかかる
SIEMは複数の機器からログを収集するため、ネットワークトラフィックが高くなります。SIEMが収集するログは、必要な部分だけであったり、間引きされたりすることがあり、ログの粒度が荒いことも。インシデント発生時の原因調査の際にログの粒度が荒く、再度ログを収集し直す必要がある場合も考えられます。
また、大量のログを収集することにより、セキュリティインシデントとは関係のないアラートが上がることもあり、アラートの精査に時間がかかることもデメリットとして挙げられます。ほかには、導入にあたり適切なルールを制定することにも時間とスキルを要するため、導入後すぐに運用開始できるとは限らない点がデメリットと言えるでしょう。
SIEMの今後
SIEMはログを収集して相関分析を行うことで、早期にセキュリティインシデントを発見したり、レポーティングしたりすることができます。しかし、分析には時間を要するためリアルタイムのインシデント検出や、インシデント発生時に素早く状況を整理することは難しいものです。
そのため、NTAやEDRといったソリューションと組み合わせて利用することが望ましいと言えます。NTAは「Network Traffic Analysis」の略で、ネットワークトラフィックを監視・分析して、リアルタイムにインシデントを検出するためのものです。EDRは「Endpoint Detection and Response」の略で、パソコンやサーバーなどを常時監視し、異常な振る舞いをリアルタイムに検出するものとなっています。
NTAはSIEMと比べると導入の敷居が低く、リアルタイムなインシデント検出に役立ちます。EDRはSIEMと併用することで、リアルタイムなインシデント検出だけでなく、インシデントアラートの精査にも役立つものです。SIEMだけでなく、NTAやEDRと組み合わせて利用することで、包括的なセキュリティ対策が可能となります。
まとめ
SIEMは、複数の機器からログを収集して、自動的に相関分析を行うことでセキュリティインシデントを発見するソリューションです。SIEMは煩雑になりがちなログの管理・分析を自動的に行うことができ、標的型攻撃に対する有効な対抗手段として注目されています。
大量のログから自動的に分析を行うため、手間と時間を大幅に減らすメリットもありますが、導入の敷居が高く、セキュリティインシデント発生時の状況分析を素早く行うための仕組みとしては不十分、というデメリットもあるものです。
SIEMだけでなく、NTAやEDRといったソリューションと組み合わせることで、包括的なセキュリティ対策が可能となります。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
