サイバー攻撃が巧妙化しており、セキュリティシステムにも進化が求められています。特に迅速なインシデントの発見や管理・解析の自動化が重要視されています。企業でセキュリティ対策に取り組む方はSIEMへの理解を深めることが大事です。ここではSIEMの必要性や機能、おすすめのソリューションを紹介します。
SIEMとは
「SIEM」はSecurity Information and Event Managementの頭文字をとってもので、直訳すると「セキュリティ情報とイベントの管理」です。これは、ネットワーク上のさまざまな情報、セキュリティに関する情報を収集・管理し、インシデントの発生を調査することを意味します。SIEMを実現するソリューションにより、企業のセキュリティリスク低下が実現されるでしょう。また、攻撃を受けた際の被害を最小限に抑え、重大な損失を生じさせないことで対外的な信頼を得ることにも効果を発揮します。
SIEMの必要性
SIEMは近年、特にその重要性が説かれています。その背景として、サイバー攻撃の巧妙化が挙げられます。複雑な攻撃が増えた理由としてはいくつか考えられます。1つはIT全体のレベルが上がったことに伴い、攻撃の手法にもバリエーションが出てきたということです。従来の技術・状況においては実現できなかった攻撃も、今では現実に可能となった例も多数あります。
例えば数十年前だと、現代ほど多くの人が通信デバイスを保有していませんでした。そのため、膨大な量のデバイスを乗っ取って攻撃をしかけるということはなかなか難しいという状況にあったのです。しかし、今では誰もがスマートフォンやパソコンを持っています。さらに家電に通信機能を持たせるなど、IoTの考え方も登場してきたことで、あらゆるモノが被害を受けたり、攻撃に利用されたりするリスクを持つようになっています。
また、企業などで用いられるシステムのレベルが向上、複雑になったことも、攻撃の巧妙化を招く1つの要因と言えます。攻撃対象となるシステムが複雑であれば、すでに単純な攻撃への防御体制は整備されています。そのため、攻撃者は、攻撃対象の状態に合わせてレベルを上げなくてはなりません。
こうして年々攻撃方法が多様化し、もはや完全に攻撃を防ぐことは困難な状況になっています。そこで、従来通り侵入されないように防御を行うことに加え、侵入されることを前提とした取り組みが必須と考えられるようになりました。
SIEMの必要性が高まってきているのは、侵入後の対策を取るために役立つからだと言えるでしょう。SIEMはファイアウォールのように攻撃を防ぐというより、内部の状況を監視することに重きを置いているからです。
SIEMの機能
SIEMツールには、侵入後の対策を迅速にするため「ログの管理」「リスク分析」「インシデントの管理」「警告機能」などの機能が搭載されています。
この中でももっとも基礎的な機能が「ログの管理」です。ログの管理では、まずさまざまな機器から収集されるデータを統合的に管理しなければなりません。これにより、異常を検知できるようにしているのです。ログファイルは、利用されている各種ネットワーク機器・セキュリティ機器から集めて保存します。ツールを使わず人力で行うのは膨大な手間と時間がかかってしまいます。このことは、単に労力・コストがかさむという問題だけでなく、「迅速な事後対応が期待できない」という問題も引き起こします。
次に、「リスク分析」の機能が効果を発揮します。収集されたログを基に、相関分析を行うのです。これもツールで行うことに大きな意味があります。収集されたログは膨大な量になるので、これらの相関を人が判断するのはきわめて困難です。
しかしSIEMでは高度にそれらログ分析を行ってくれるため、インシデントの早期発見に役立ちます。これらのインシデントを一元的に集中して管理することで、組織全体の生産性向上も期待されるのです。
SIEMを導入するメリット・デメリット
前項でSIEMそのものの紹介をしましたが、以下では企業がツールを導入することに、具体的にどのようなメリットやデメリットがあるのかを解説していきます。SIEMを導入するメリット
SIEMツールを導入することで、データが自動収集され、分析も自動的に行われます。そのため人間がデータ管理および分析に要していた時間が大幅に短縮されます。それらの過程はツールによって代替されるため、セキュリティ担当者は、人間にしかできない別の作業に注力していけるようになるのです。
さらにこのことは、異常の早期発見にもつながります。その結果、現実に被害が生じる前に攻撃を食い止めることができる可能性も出てくるでしょう。社内システムの安定的な稼働にも寄与します。
また、より詳細に状況把握ができるようになる、というメリットも得られます。人間が行っていた作業を単に自動でやってくれるだけでなく、分析の迅速化や、人間では発見不可能な高度な分析も期待できます。そのため時間短縮に加え、より質の高い対策も講じられるようになるのです。
高度な分析を行うことで、攻撃者の状況や傾向をより詳細に把握することにもつながります。どのような攻撃がよく行われているのかを把握できることは、事前対策にも有効です。
SIEMを導入するデメリット
安定した企業活動を守ってくれるSIEMですが、デメリットがないわけではありません。
主なデメリットとしては、「コストがかかる」こと、「トラフィックの圧迫」、「本格的な運用の開始までに時間を要する」、ということが挙げられます。
コストに関しては製品によって異なるため、費用対効果をよく考慮した選定が大事です。また、多数の機器からログを収集することでネットワーク上のトラフィックへの負荷が高くなります。そのためログの通り道を作り、トラフィックを軽減する対策が必要なこともあるでしょう。
運用開始までに時間がかかるという問題は、現状の管理体制によっても変わります。SIEMの適切な運用にはルールを制定や見直しを行う必要があります。本格的な運用開始までには数ヶ月程~1年ほどかかるケースもあるため、余裕を持った導入スケジュールの検討が大事です。
次世代セキュリティ運用を構築する「Azure Sentinel」
SIEMの導入で、どの製品を選ぼうか悩んでいる場合はMicrosoftの「Azure Sentinel」を検討してみてはいかがでしょうか。
Azure Sentinelは、アラートの検出から予防的捜索、脅威の可視化といった対応を行うことで、高度な分析と脅威インテリジェンスを実現します。今後、サイバー攻撃はますます複雑化すると見られています。現時点でセキュリティは万全と認識している場合でも、早いうちに新たな対策を講じていることが大事です。
Azure Sentinelであれば基本的なSIEMの機能はもちろん、AIを使ったスピーディで精度の高い分析と対応が可能です。組み込みの機械学習と膨大な量のデータを日々分析することで、ノイズを削減し、不要なアラートを出さないようにもしています。すべての攻撃を可視化して運用をより効率化し、セキュリティ担当者の負担を大幅に軽減してくれます。
また、利用開始までに複雑な手続を行う必要もありません。アカウントの作成からダッシュボードへの移動、クイックスタート、というわずか3ステップで利用開始ができるため、煩雑な手続きへのストレスも軽減されるでしょう。
導入に際しても柔軟なスケーリングを行うことで、従来のSIEMと比較して最大48%のコストカットも期待されます。発生する費用は使用する分だけで、月々の支払い予測も可能です。その結果、従量制の価格と比較しても大幅な節約が期待できます。
無料試用版も用意されているため、まずは実際にAzure Sentinelを試してみるとよいでしょう。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
SIEMは、複雑化するサイバー攻撃へのセキュリティ対策に大きな役割を果たします。ログの自動収集から複雑な分析、迅速なインシデントの発見などにより、企業のセキュリティレベルを押し上げます。
「Azure Sentinel」であれば、柔軟なスケーリングとコスト削減で、自社に最適なセキュリティ対策をサポートしてくれます。
