SIEM (Security Information and Event Management) とは
SIEMとは、セキュリティ情報を監視するSIM (Security Information Management) と、セキュリティの脅威を検知するSEM (Security Event Management) を組み合わせたシステムで、企業や組織のITインフラにおいて、セキュリティ監視と脅威検知を効率化するための統合ソリューションです。
目次
SIEMの主な機能
ログ収集と管理:ネットワーク機器、サーバー、アプリケーションなどから生成されるログを一元的に収集します。これにより、時間軸に基づいた各機器やアプリケーションのログを保存・検索が可能になります。
リアルタイム監視とアラート:ネットワークやシステムの異常やセキュリティ侵害の兆候をリアルタイムで検出し、自動的にアラートを生成します。異常と検知するためのルールや閾値を設定することもできるので、状況に応じた柔軟な変更も行えます。
脅威インテリジェンスとの連携:SIEMは組織内のシステムを管理するだけでなく、外部の脅威インテリジェンスとも連携し、最新の情報を入手したり、セロデイ攻撃や未知の攻撃へ対応するための支援を受けることもできます。
分析とレポート作成:サイバー攻撃や異常な動作が発生した際のデータや通信状況、ログを分析する機能と、その分析データをもとにレポートを作成する機能も持ちます。このレポートは各規制基準(例:GDPR、ISO 27001、PCI DSS)に合わせた内容で作成することもできます。レポートを作成することで、インシデント発生時だけでなく、中長期的な対応をとることもできます。
インシデント対応支援:前述の通り、SIEMは各機器からのログ収集や異常データの分析、外部との連携をおこなえるため、インシデント発生時における迅速な分析と、インシデントに対応するための体制作りにも役立ちます。
SIEMの導入による主なメリット
効率化:複数の機器からログやイベントを自動で収集して一元管理を行うため、ログ管理やイベント検知の運用効率が向上します。
セキュリティ強化:収集したログなどのデータに高度な分析を実施し、異常が見つかればアラートを発することで、潜在的な脅威の早期発見とインシデント対応のサポートが期待できます。
規制遵守:システム監査などにおいては監査ログが必要となりますが、SIEMならば必要な監査ログを容易に取得・管理でき、各種規制基準に準じた組織体制作りにも役立てることができます。
運用負荷軽減:SIEMにより各種セキュリティ運用作業を自動で行うことで、手動監視の負担を軽減させることもできます。
SIEMの課題
初期コストと運用負荷:SIEMにはクラウド型やパッケージソフトでの配布などさまざまな形式がありますが、いずれの場合でも導入するためには高額な費用が必要となります。さらに、SIEMを運用していくには専門知識が必要になります。導入や運用のサポートを提供する業者があることからも、SIEMへの専門知識の必要性が伺えます。
設定不備による検知の失敗:SIEMには「異常発生」とみなすためのルールや閾値が設定できますが、それらの設定が不十分だと、脅威の検出が不完全となったり、逆に正常な状態を異常として誤検知することもあります。
•False negative:検知漏れ。異常と検知すべきところを、正常な状態と判断してしまうこと。
•False Positive:誤検知。正常で状態なのにもかかわらず、異常として検知してまうこと。
代表的なSIEM製品
代表的なSIEM製品の一覧と、その製品の公式ページを紹介いたします。
Splunk:ログ管理と可視化に強み。
https://www.splunk.com/ja_jp/products.html
IBM QRadar SIEM:AIを活用した脅威検出。
https://www.ibm.com/jp-ja/products/qradar-siem
ArcSight Intelligence:大規模な企業向けに様々な機能を提供。
https://www.microfocus-enterprise.co.jp/products/interset-ueba/
LogRhythm SIEM :中小企業にも適したコストパフォーマンス。
https://www.exabeam.com/ja/platform/logrhythm-siem/
Microsoft Sentinel:クラウドサービスからの提供をベースとするSIEM。
https://learn.microsoft.com/ja-jp/azure/sentinel/overview?tabs=azure-portal
EDR、UEBA、IDS、IPS、SOARといった自動検知技術と、SIEMとの違い
不審な通信の検知技術はSIEMだけでなく、EDRやUEBA、IDSなどがありますが、これらとの違いについても解説します
EDR (Endpoint Detection and Response):EDRとは、不審な動作の検知と対応を自動で行う技術です。SIEMがネットワークに接続されているさまざまな機器の挙動を監視するのに対し、EDRはネットワークに接続されたエンドポイント(端末)の挙動を監視する点が異なります。
UEBA (User and Entity Behavior Analytics):UEBAは、ユーザやシステムの日常動作を学習することで、日常から外れた動作(=異常な動作)を検知する技術です。SIEMがログの分析に重点を置いているのに対し、UEBAはユーザの行動パターンをもとに分析します。
IDS (Intrusion Detection System:不正侵入検知システム)及びIPS(Intrusion Prevention System:不正侵入防止システム):ネットワークに不審な通信が発生した場合、IDSの場合は異常を検知、IPSの場合は異常な通信を遮断する役割を担います。IDSとIPSはネットワーク上に流れるデータをもとに通信を精査するのに対し、SIEMは各機器のログや各ログの相関関係などを含めたさまざまな要因をもとに総合的に判断します。
SOAR (Security Orchestration, Automation and Response):SOARは、セキュリティに関連する業務(データ収集、インシデント管理、インシデントの対応、通知など)についてあらかじめ設定したルール通りに自動化する技術あるいはその技術を実現する製品です。これにより、今までは手動で行っていた作業が自動で行えるようになり、効率的なインシデント対応が行えるようになります。SIEMは「異常な状態の発生を自動で検知する」のに対し、SOARは「異常な状態が発生した場合の対応を自動で行う」という形になります。
SOC (Security Operation Center):似たような単語が並んでいるため混同しやすいですが、SOCは技術を指すものではなく、サイバー攻撃を検知し対応するチームのことです。
SIEMは企業にとっては非常に便利な機能を多数保有していますが、効果的に運用するには、組織のセキュリティ要件や運用能力に合わせた設定やチューニングが不可欠であり、SIEMを運用するためには多額のコストや専門知識が必要になることにも注意が必要です。また、EDRやUEBAなどのように、SIEMとは異なったアプローチで「異常を自動で検知する技術」がありますので、自分たちの組織にとって、どれがふさわしいかを熟慮する必要もあります。
