サイバー攻撃対策ツール「SIEM」とは？ 基礎知識とリアルタイム分析を解説（1/4 ページ）

ネットワークやエンドポイントで多様な脅威にさらされる企業システム。これらを常に監視し、不正をリアルタイムに検知し被害を最小に抑えることができる「SIEM」が注目されている。

[土肥正弘，ドキュメント工房]

　情報漏えいや業務停止に至るシステム改ざんを引き起こすサイバー攻撃、大規模情報漏えいを引き起こす内部不正。この2つが企業システムセキュリティの最大課題だ。ネットワークやエンドポイントでさまざまなセキュリティ対策をとっていても完全には防げないこれらのリスクを最小限に抑えこむのが「SIEM」（Security Information and Event Management、セキュリティ情報イベント管理）ツールだ。

　セキュリティの専門知識が必須なため導入が難しかったSIEMが、ここにきてSIEM機能を活用したマネージドセキュリティサービスが次々に登場し、技術者不足に悩む企業でも導入を検討できる下地ができてきた。今回は、SIEMツールの基礎知識と、関連する最新サービスについて紹介する。

■記事内目次

• 「SIEM」って何？
  • セキュリティイベントログの収集
  • ログデータの集約と正規化
  • ログデータの相関分析
  • セキュリティインシデントの集中管理
• 「SIEM」の基礎知識
  • 怪しい行動やアクセスを発見
  • シナリオ該当する怪しいイベントにアラート、自動対応
  • SIEMツールがサイバー攻撃対策になるワケ
• 「SIEM」の運用
  • レピュテーションベースのリスク管理も可能
  • SIEMのマネジメントサービス、トータルサービスの利用
  • PCI DSS準拠にもSIEMは活躍する
• 「SIEM」の選び方
  • 十分な運用が可能かどうかを判断する
  • コスト効果を考える
  • データ分析能力は十分か？

「SIEM」って何？

　SIEM（シームと読む）は「SIM」（Security Information Management）と「SEM」（Security Event Management）を組み合わせた言葉（ガートナーによる）だ。

　SIMはいわゆる「統合ログ管理」のうちセキュリティ領域のログを対象とした仕組みのことをいい、さまざまなネットワーク機器やホストシステムが出力するセキュリティイベントログおよびシステムユーザーの利用ログなどを蓄積し、さまざまな視点から検索、分析を行う。

　SEMは、同様にさまざまな機器からのログを収集、蓄積することは同じだが、分析をリアルタイムに行う点が異なる。

　つまりSIEMツールは、セキュリティに関する統合ログ管理ツールの機能を持ちながら、常時、リアルタイムに高速な分析を行って、異常を検知した際にはアラートを発し、レポート機能により異常状況を分かりやすく視覚化することができるものだ。

　ただしログ管理に特化したツール同様、長期間のログをコンパクトに、安全に保管する用途に利用できるかどうかは製品によって、また用意できるストレージ容量によって決まる。長期間のログをじっくり分析して不正をあぶり出すフォレンジック用途には、統合ログ管理専用のツールの方が向いている場合がある。

　ではSIEMツールで、何ができるのかを見ていこう。

セキュリティイベントログの収集

　SIEMツールの最初の仕事は「セキュリティイベント」と見なせるログデータを、システム内の適切な部分から集めることだ（図1）。例えば、ファイアウォール、IPS、IDS、WAF、URLフィルタリングツール、アンチウイルスなどのセキュリティ機器、ディレクトリサーバやプロキシサーバ、業務サーバ、PC、ネットワーク機器、データベース、クラウド、さらにはアプリケーション個々にまで対象範囲は広げられる。

　ただし、対象を増やし過ぎると後段の集約、正規化処理や分析に支障を来すこともあるので、リスクが高いログを優先する必要があり、その選定にはノウハウが要る。

図1 SIEMツールが行う仕事

ログデータの集約と正規化

　収集したデータは即座に重複を排除し、同じようなセキュリティイベントは1つにまとめる処理（集約）がいる。また、ひと口にログといっても、テキスト形式もあればバイナリ形式もあり、項目も違えば順番も違う。

　同一ジャンルの機器でもベンダーが違えばログフォーマットが異なり、同一ベンダーの製品でも、例えばスイッチとルーターでは異なる。表現が異なっていても同じ意味の項目をまとめ（カテゴライズ）、フォーマットを整える「正規化」プロセスも必須だ。これが分析を高速化する基礎になる。

　各種SIEM製品の個性の1側面が見えるのはこの部分で、対象とする機器などのログを正規化するアダプターがどれだけ用意されているかが1つの大事なポイントだ。アダプターがなくても、付属するマッピングツールなどで正規化設定ができるが、その手間をかけずに済む方が導入の期間とコストが抑えられる。

ログデータの相関分析

　SIEMの最大の特長である複数イベントの「相関分析」が行われる。相関分析とは、1つだけなら正当と考えられるイベントでも、他のイベントと組み合わせて分析し、リスキーなインシデントに結び付くようなものを見つけ出すことだ（図2）。

図2 ログデータから分かることの例（出典：日本HP）

セキュリティインシデントの集中管理

　システムのセキュリティ状態を画面や印刷レポートにより統計データとして可視化できるのもSIEMの利点だ。例えば、ログイン失敗が異常に多いユーザー、特定システムへのアクセス頻度が通常と極端に違うユーザーや部門などを、管理者がグラフィカルな画面で見分けることができ、その人の行動をトレースして不正の可能性を探ることが可能だ。また、システム全体のセキュリティ状態を知ることで、セキュリティ運用の改善点を検討することもできる。