サイバー攻撃対策ツール「SIEM」とは? 基礎知識とリアルタイム分析を解説(1/4 ページ)
ネットワークやエンドポイントで多様な脅威にさらされる企業システム。これらを常に監視し、不正をリアルタイムに検知し被害を最小に抑えることができる「SIEM」が注目されている。
情報漏えいや業務停止に至るシステム改ざんを引き起こすサイバー攻撃、大規模情報漏えいを引き起こす内部不正。この2つが企業システムセキュリティの最大課題だ。ネットワークやエンドポイントでさまざまなセキュリティ対策をとっていても完全には防げないこれらのリスクを最小限に抑えこむのが「SIEM」(Security Information and Event Management、セキュリティ情報イベント管理)ツールだ。
セキュリティの専門知識が必須なため導入が難しかったSIEMが、ここにきてSIEM機能を活用したマネージドセキュリティサービスが次々に登場し、技術者不足に悩む企業でも導入を検討できる下地ができてきた。今回は、SIEMツールの基礎知識と、関連する最新サービスについて紹介する。
■記事内目次
- 「SIEM」って何?
- セキュリティイベントログの収集
- ログデータの集約と正規化
- ログデータの相関分析
- セキュリティインシデントの集中管理
- 「SIEM」の基礎知識
- 怪しい行動やアクセスを発見
- シナリオ該当する怪しいイベントにアラート、自動対応
- SIEMツールがサイバー攻撃対策になるワケ
- 「SIEM」の運用
- レピュテーションベースのリスク管理も可能
- SIEMのマネジメントサービス、トータルサービスの利用
- PCI DSS準拠にもSIEMは活躍する
- 「SIEM」の選び方
- 十分な運用が可能かどうかを判断する
- コスト効果を考える
- データ分析能力は十分か?
「SIEM」って何?
SIEM(シームと読む)は「SIM」(Security Information Management)と「SEM」(Security Event Management)を組み合わせた言葉(ガートナーによる)だ。
SIMはいわゆる「統合ログ管理」のうちセキュリティ領域のログを対象とした仕組みのことをいい、さまざまなネットワーク機器やホストシステムが出力するセキュリティイベントログおよびシステムユーザーの利用ログなどを蓄積し、さまざまな視点から検索、分析を行う。
SEMは、同様にさまざまな機器からのログを収集、蓄積することは同じだが、分析をリアルタイムに行う点が異なる。
つまりSIEMツールは、セキュリティに関する統合ログ管理ツールの機能を持ちながら、常時、リアルタイムに高速な分析を行って、異常を検知した際にはアラートを発し、レポート機能により異常状況を分かりやすく視覚化することができるものだ。
ただしログ管理に特化したツール同様、長期間のログをコンパクトに、安全に保管する用途に利用できるかどうかは製品によって、また用意できるストレージ容量によって決まる。長期間のログをじっくり分析して不正をあぶり出すフォレンジック用途には、統合ログ管理専用のツールの方が向いている場合がある。
ではSIEMツールで、何ができるのかを見ていこう。
セキュリティイベントログの収集
SIEMツールの最初の仕事は「セキュリティイベント」と見なせるログデータを、システム内の適切な部分から集めることだ(図1)。例えば、ファイアウォール、IPS、IDS、WAF、URLフィルタリングツール、アンチウイルスなどのセキュリティ機器、ディレクトリサーバやプロキシサーバ、業務サーバ、PC、ネットワーク機器、データベース、クラウド、さらにはアプリケーション個々にまで対象範囲は広げられる。
ただし、対象を増やし過ぎると後段の集約、正規化処理や分析に支障を来すこともあるので、リスクが高いログを優先する必要があり、その選定にはノウハウが要る。
図1 SIEMツールが行う仕事ログデータの集約と正規化
収集したデータは即座に重複を排除し、同じようなセキュリティイベントは1つにまとめる処理(集約)がいる。また、ひと口にログといっても、テキスト形式もあればバイナリ形式もあり、項目も違えば順番も違う。
同一ジャンルの機器でもベンダーが違えばログフォーマットが異なり、同一ベンダーの製品でも、例えばスイッチとルーターでは異なる。表現が異なっていても同じ意味の項目をまとめ(カテゴライズ)、フォーマットを整える「正規化」プロセスも必須だ。これが分析を高速化する基礎になる。
各種SIEM製品の個性の1側面が見えるのはこの部分で、対象とする機器などのログを正規化するアダプターがどれだけ用意されているかが1つの大事なポイントだ。アダプターがなくても、付属するマッピングツールなどで正規化設定ができるが、その手間をかけずに済む方が導入の期間とコストが抑えられる。
ログデータの相関分析
SIEMの最大の特長である複数イベントの「相関分析」が行われる。相関分析とは、1つだけなら正当と考えられるイベントでも、他のイベントと組み合わせて分析し、リスキーなインシデントに結び付くようなものを見つけ出すことだ(図2)。
図2 ログデータから分かることの例(出典:日本HP)セキュリティインシデントの集中管理
システムのセキュリティ状態を画面や印刷レポートにより統計データとして可視化できるのもSIEMの利点だ。例えば、ログイン失敗が異常に多いユーザー、特定システムへのアクセス頻度が通常と極端に違うユーザーや部門などを、管理者がグラフィカルな画面で見分けることができ、その人の行動をトレースして不正の可能性を探ることが可能だ。また、システム全体のセキュリティ状態を知ることで、セキュリティ運用の改善点を検討することもできる。
関連記事
「EDR」導入の前に知っておくべきこと
どうしても対策が後手に回るサイバー攻撃。脅威の浸入や行動を検知して対策につなげる「EDR」が注目を集めている。
なぜ中国のIPアドレスが攻撃に使われるのか
中国発のサイバー攻撃の検知に強い米セキュリティ企業が日本でのサービスを始める。サイバー空間における攻撃の40%は中国保有のIPアドレスからという理由とは。
大量のセキュリティアラートに忙殺される担当者
セキュリティ研究機関のMcAfee Labsが2016年第3四半期の脅威レポートを発表。セキュリティ担当者の93%が潜在的脅威の優先度を適切に判断できていない状況にある。
統合ログ管理ツールで不正行為も一目瞭然
J-SOX対応の流れで内部不正防止目的として導入が進んだ統合ログ管理ツール。現在ではシステム部以外の担当者が簡便に操作できるほど操作性が向上した。効率的な活用法や落とし穴について詳しく解説する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 「これ、ネタでしょ?」Google本気の“新発表”が想像以上にアレな件:634th Lap
- 今後テレワークは継続か縮小か? 調査から見る企業の意向
- 「万年2位」チームがまさかのリーグ連覇! 川崎フロンターレ、連覇の裏側でスタッフに起こっていたこと
- 1日3時間が無駄になる――リモートワークの落とし穴とは
- 「Windows 11」はどこまで“安全”なのか? Microsoftが明かす次なるセキュリティ
- 「M1チップ」とは別次元? Intelが秘密裏で開発した“隠し玉”とは:632nd Lap
- シンギュラリティとは? 定義やAIとの関係、歴史的背景を解説
- PoCとは? 実証実験との違い、進め方、成功の秘訣(ひけつ)を解説
- キッティングとは? PC管理担当なら覚えておきたい入れ替え作業の便利ツールと作業手順のまとめ
- 「PC」シェア(2020年第4四半期、通年)
ITmediaはアイティメディア株式会社の登録商標です。