Azure Sentinelとセキュリティ情報イベント管理 (SIEM)

今回の記事では、Azure Sentinel関連として、セキュリティ情報イベント管理 (SIEM)についてご紹介します。

Azure Sentinelとは何か？

Microsoftが提供する Azure Sentinel は、SIEMおよび セキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 SIEM, SOARについては後述します。

Azure Sentinel を使用すると、巧妙化する攻撃、増加するアラート、解決までに長い期間がかかることに伴うストレスを軽減し、企業全体を俯瞰的に見ることができます。

セキュリティ対策はいたちごっこのように攻撃側と守る側の攻防が終わりません。

Azure Sentinelは企業内で収集したさまざまなイベントログを統合管理し、相関関係を分析して、サイバー攻撃による被害を未然に防いでシステムを保護します。

サイバー攻撃は多様化し、特定の企業を狙った標的型攻撃など、新たな脅威が次々と発生するようになりました。したがってシステムを最新の状態にアップデートすることはもちろん、強固な基盤で防御する必要があります。

それに対応できるのが特徴でもあります。

セキュリティ情報イベント管理（SIEM）とは

セキュリティ関連で重視されているソリューションに「SIEM」があります。SIEMは「Security Information and Event Management」を略した用語で、日本語では一般的に「セキュリティ情報イベント管理」と呼ばれています。

SIEMは、標的型攻撃に対する有効な手段として注目を集めたセキュリティソリューションです。

ここでの「セキュリティ情報」や「セキュリティイベント」は、具体的にはセキュリティ機器やネットワーク機器のイベントログとほぼ同義だと考えてよいです。

つまりSIEMは、ネットワーク内に存在するさまざまなセキュリティ／ネットワーク機器のログを収集して一元管理する「統合ログ管理」の役割を担うものであると定義できます。

しかし、単にログを一箇所に集めて管理するだけなら、これまでも似たようなソリューションは存在しました。

SIEMが優れている点は、こうして集めてきた複数のログの内容を横断的に分析し、異なるログの間をまたがった「相関分析」を自動的に行ってくれるところにあります。

標的型攻撃は、不特定多数にウィルスをばらまくのではなく、特定の企業から情報を盗み、あらゆる手口を使ってその企業に攻撃を仕掛けます。

悪質な侵入の予兆は、システムのイベントログに残されています。しかし、標的型攻撃は単体のログだけでは判別できないこともあります。

したがって、システムに残されたあらゆるログの相関関係から脅威を検出して防御しなければなりません。

SOARとは何か

SOARとはSecurity Orchestration, Automation and Responseの略です。インシデントの分析から対応までを自動化・効率化するツールのことを指します。

インシデントとは、セキュリティにおける事故や事件という意味です。具体的には、第三者による不正アクセスや、パソコンや記録媒体の紛失による情報の消失、盗難など多岐にわたります。

情報の漏えい、紛失、盗難といったセキュリティにおける問題は、総じてセキュリティインシデントと呼ばれます。セキュリティインシデントが発生すると、企業の運営にさまざまなリスクが伴います。

企業がインシデント対応に追われる中で、担当者の負担を減らしてより効率よくセキュリティ部署を運用するための仕組みです。

「オーケストレーション」とは複数のシステム・ツールから上がってくる情報を分析し対応の必要性や優先度を判断する仕組みのことを指します。

「オートメーション」はインシデント対応を自動化することで、最後の「レスポンス」はインシデント対応状況や過去の対応履歴を管理可能にしたりチャットボットで簡単に調査ができることなどを示しています。

Azure Sentinel の機能概要

以下３つの機能を元に、Azure Sentinelの概要を紹介します。

①ログの収集

Azure Sentinelでは様々なデータソースからログやアラートを収集することができます。

接続設定の際も、コネクタが最初から用意されているためとても簡単です。

②脅威の検出

収集されたログから、様々な手法によりアラートを検出します。

手法はテンプレートの用意された簡単で有効なものから、カスタム性に富んだ上級者向けのものまであります。

③インシデントの調査

Azure Sentinelの調査では、インシデントを調査することができます。
状態や重要度などでフィルター加工をしたり、関連すると思われる複数のアラートを結びつけることができます。

Azure Sentinelを利用するメリット

ここではAzure Sentinelのメリットをご紹介します。

①あらゆるセキュリティデータを一括管理できる

データソースの多様性により、ハイブリッドクラウドや複数のクラウドの組み合わせでもセキュリティデータを収集することが可能です。

オンプレミスのファイアウォール／ネットワークアプライアンスからSyslogサーバ経由でログを集約することができます。それ以外にも、Windows Server／Linux Server はじめ、多くのオンプレミス／IaaS リソースからもログ収集ができ、それぞれログ検索や相関分析を行えます。

②分かりやすいUIと自動化により管理者の負担が軽減される

Azure Sentinelのデータソースの収集から、検出、調査、対処の一連の流れを、Azure上から容易に設定することが可能です。

さらに対処部分を自動化することによって、運用される管理者のルーティンワークを減らすことができます。

③Cloud App Security とのネイティブな連携

Azure Sentinel の大きな利点が Cloud App Security とのネイティブな連携です。

これによりオンプレミス／IaaS だけでなく、Office 365、 G Suite、BOX、Salesforce など、多くの企業で利用されている SaaS も同じ環境でセキュリティ管理ができます。

まとめ

今回の記事では、Azure Sentinelの概要についてご紹介してきました。そしてその前段階で知っておくべき情報として、セキュリティ情報イベント管理（SIEM）とSOARについてもご紹介した上で、Azure Sentinelを利用するメリットをお伝えしました。

自社のセキュリティ対策として導入を検討してみてはいかがでしょうか。