KNOWLEDGE - COLUMN ナレッジ - コラム

【ナレッジコラム】SIEMとは?セキュリティ運用や管理に必要な機能、メリット・デメリットを解説



セキュリティ技術のひとつであるSIEMの仕組みや機能を注視している企業は少なくないでしょう。IoTの普及に伴うインターネット接続機器の多様化により、現代のサイバー攻撃の対象や手法も多様化・複雑化しています。従来のセキュリティ対策だけでは対処しきれなくなってきているのです。SIEMを運用すれば、システム環境全体のイベントログ情報を収集・集約し、統合した情報を相関分析することによって、セキュリティインシデントを自動的に発見できます。SIEMの基本的な機能、メリット・デメリット、EDRとの違いを解説します。

SIEMとは?

SIEM(Security Information and Event Management/シーム)とは、セキュリティ製品やネットワーク機器、サーバーなどシステム環境全体のイベントログ情報を収集・集約し、統合した情報を相関分析(コリレーション分析)するフレームワークです。

SIEMが求められる背景

従来は、サイバー攻撃の手段も現在ほど多様化していなかったため、簡単なセキュリティソフトだけで十分対策が可能でした。しかし、IoTの普及に伴ってインターネット接続機器が多様化し、サイバー攻撃もそれに応じて多様化・複雑化しました。IT人材の不足もあいまって、従来の対策だけではセキュリティインシデントに対応しきれなくなったのです。こうした多くの課題を解決する方法として、脅威を素早く検知し、その後のインシデント対応を迅速に行うためにSIEMが生まれました。

近年、セキュリティ業界では、すべてのサイバー攻撃を攻撃前に防ぐのは難しいという考え方になっています。そのため、防止だけの機能ではなく、サイバー攻撃を受けた後に、素早く対応できる機能の重要性が高まっているのです。

SIEMの仕組み

SIEMは、ファイアウォールやIDS/IPS、ルーター、スイッチ、プロキシなどのさまざまなセキュリティ製品や、ネットワーク機器、サーバーなどのさまざまなIT機器のログ(記録)を収集・集約し、リアルタイムにログを解析することで迅速なインシデント検知を可能とします。複数機器のログを統合・分析することで、システム環境全体の働きから、異常を検知します。

ログデータは、セキュリティ製品やネットワーク機器、ソフトウェアなどによって出力フォーマットが異なります。SIEMはデータのフォーマットを整える正規化プロセスも自動で対応することで、膨大なログの高速な分析を実現します。

SIEMの機能

SIEMには、主に以下の3つの機能があります。

  • 収集したログを収集・集約し、相関分析する
    前述のとおり、セキュリティ機器やネットワーク機器にそれぞれ保存されるイベントログを収集・集約し、統合して相関分析します。
  • 分析して脅威を素早く検出する
    システム環境全体のログを相関分析することにより、単一機器のログだけでは発見できなかった不審な挙動をいち早く検出します。
  • セキュリティデータを可視化して運用を効率化する
    ソフトウェアの動作履歴や通信状況、システムへのアクセスなど膨大なデータであるログ。そのログ分析はリアルタイムに自動で行われるため、セキュリティデータの可視化や効率的な運用が可能です。


SIEMのメリット・デメリット

SIEMのメリット・デメリットについて、具体例を交えて説明します。

SIEM 導入時のメリット

SIEMの仕組みや機能をまとめると、次の3つのメリットがあるといえます。

  1. ログ情報を収集・集約し、統合した情報を相関分析することで脅威を素早く発見できる
  2. リアルタイムの分析ができる
  3. 分析にかかる手間を自動化して人的リソースの削減につながる
 
SIEMの運用をすれえば、単一機器のログだけでは見つからなかったセキュリティインシデントに素早く気づくことも可能です。例えば、社内のパソコンから重要情報へのアクセス履歴があったとします。アクセスしたのが閲覧権限のある社員からであれば、特に不自然ではありません。しかし、入退室管理システムの情報と照らし合わせて、該当社員が退室した後のアクセス履歴であった場合はどうでしょう。極めて不審な挙動であり、何者かが閲覧権限のある社員のIDを使ってアクセスしたおそれがあります。

ほかにも、ログオン失敗や、ソフトウェアのインストールなどの動きは、それぞれの機器のログとしておかしな事象ではありません。しかし、何度もログオンに失敗した後でログオンし、さらにその後すぐソフトウェアをインストールしていたことが相関分析で発見できれば、攻撃者が不正にログオンを繰り返し、悪意のあるソフトウェアをインストールした可能性が考えられます。
 
SIEMではこのように、常にシステム全体のログを監視し、相関分析を自動で行うため、セキュリティインシデントの早期発見につながります。かつては相関分析を人に頼るしかなかったのですが、SIEMによって相関分析が自動化されたことで、人的リソースの削減と高速化、24時間体制での監視が可能になりました。

SIEM 導入時のデメリット

次の3点のデメリットが考えられます。

  1. ネットワークトラフィックが高くなる
  2. 検知の精度が高くなりやすいため、誤検知や過検知の可能性もある
  3. ログの保管期間が短期のため、インシデントの原因究明にはログが不十分なこともある
 
複数機器からログを収集するため、単一機器のログのみを記録する場合に比べて、ネットワーク負荷が高くなりやすいです。また、不審な挙動があればすぐに検知することから、セキュリティインシデントとは無関係でもアラートが生じることがあります。アラートが本当に対処すべきインシデントかどうかを精査するには、人手が必要です。

さらに、SIEMが収集するログは保管期間が短いため、インシデントの原因を究明するにはログが不十分なことも考えられます。SIEMはインシデントの発見には便利ですが、原因究明まで行おうとすると、ログの取り直しが必要になることもあるのです。ログ管理はSIEMの本来の主眼ではないため、保管期間に限界があるといえます。

なお、クラウド型のSIEMのなかには、ログデータが増えると自動的に容量を拡張することで、ログの保管期間を増やせるものもあります。


SIEM導入・運用時の注意点

SIEMの導入・運用では、以下の点に注意が必要です。

運用開始までに自社システムに応じたルール設定が必要

どのような事象をセキュリティインシデントとみなすかは各企業によって異なるため、運用開始までに自社システムに合わせたルールを規定しておきましょう。各企業の方針にもとづき、使用を禁止するアプリケーションや通信などに関するローカルルールを設定しておかなければ、インシデントの早期発見につながりません。また、アラートの設定が厳しすぎると、たえずアラートが鳴ってしまうので、実用的なルール決めが必要です。

アラートを精査し、対応の優先順位づけするための人手が必要

導入後はアラートを精査し、本当に対処すべきものとしないものを分類しなければなりません。また、対応の優先順位をつける人手も必要です。同じサイバー攻撃でも、その攻撃方法は複数あるからです。例えば、メールアカウントが乗っ取られたり、キーロガーで比較的機密性の低い情報が窃取されたりするものもあれば、ネットワークに負荷をかけてサーバーダウンさせたり、顧客の個人情報など機密性の高い情報が窃取されたりするタイプもあります。これらのなかでは、後者になるほど緊急に対処しなくてはならない攻撃です。

しかし、対処の優先順位は相関分析後の判断となるため、人間が確認して判断しなくてはなりません。さらに、システム全体のログを分析するため、場合によっては同じインシデントに対してアラートが重複する可能性もあります。
SIEMの効果を最大限発揮するための運用には、こうした高度な管理能力も求められることに注意しましょう。
 

SIEMとEDRの違い

SIEMとEDRの違いについて、EDRの定義とともに解説します。

EDRとは

EDRは、ネットワークとつながるパソコン、サーバーなどのエンドポイント端末をリアルタイムで監視するツールです。リアルタイムなので、SIEMよりもさらに早く、即時にセキュリティインシデントの検知が可能で、エンドポイントを脅威から強力に防御します。一方で、SIEMのように複数のIT機器のログを一元管理したり、相関分析したりすることはできません。

EDRについて詳しくは「EDRとは?その概要やメリットからEDR製品選定のポイントまでを紹介」をご参照ください。
 

SIEMとEDR、どちらを導入すべき?

SIEMはファイアウォールやIDS/IPS、ルーター、スイッチ、プロキシなどのさまざまなセキュリティ製品や、ネットワーク機器、サーバーなどの複数のIT機器のログをまとめて相関分析できますが、EDRと比較すると迅速性に欠けています。一方でEDRはリアルタイムの対応が可能ですが、複数機器のログの収集・集約や相関分析はできません。

このように、SIEMとEDRは互いの弱点を補完するため、両方を導入して運用していく方法もあります。SIEM、EDRそれぞれの特徴を理解して活用することで、よりセキュリティを強固にできるでしょう。

SIEMは、複数のIT機器のログを一元管理・リアルタイム解析できるフレームワーク

SIEMは、複数のIT機器のログを収集・集約し、リアルタイムにログを解析することで、セキュリティインシデントを素早く検知できるフレームワークです。複数機器のログを自動で相関分析できるため、あるひとつの端末だけ見ていてはわからなかったインシデントも可視化できます。

複数のIT機器から大量のログを集めて相関分析するためアラートの精度は高くなりますが、リアルタイムなインシデントの検知には不十分なこともあります。迅速なインシデント検知がかなうのはEDRですが、こちらは単一機器のログしか追えません。組織の規模やリソースによって、最適なセキュリティ対策は異なります。必要に応じて導入するセキュリティ製品を変えるなど、両者の特徴を理解して活用しましょう。



当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン



関連するナレッジ・コラム

【ナレッジコラム】ローコード開発とは?従来の開発手法との違いやメリットについて解説

【ナレッジコラム】Azureへ移行するメリットとは?注意点や移行手順を紹介

【ナレッジコラム】標的型攻撃とは?その仕組みと対策方法