SIEMとは
SIEMとは、Security Information and Event Managementの略ですが、ソフトウェアやデバイスのログを一元化し、解析し不正な挙動を検知できることと、セキュリティ関連の複数のログをまたがって相関分析を自動的に行うことがその特長です。
SIEMとよく似た働きをするのがEDR (Endpoint Detection and Response) です。
EDRがエンドポイント=PCなどのエンドポイント端末を中心としてログをリアルタイムで集めること、エンドポイントが入口となる事象の早期検知と通信遮断などの対策が可能になることに対して、SIEMはサーバ・通信機器などのログを集めて分析することが中心となりますので、「出口」の検出が中心となります。
どちらにも、現在のサイバー攻撃のありようからすると「取りこぼし」「取り逃がし」が出る可能性がありますが、SIEMとEDRには守備範囲と、機能に差があります。
そこで、現在は双方の組み合わせでの利用・より重視する方に、最新のSIEM/EDRを用いて、その他は単体の攻撃ないしマルウェア検知・除去ソリューションを組み合わせる・分析サービスを利用するなどの方法で利用している企業も多いのです。
SIEMの仕組み
SIEMは、最新の攻撃パターンを記憶、ファイヤーウォールやIDS/IPSあるいはサーバなど、機器から横断的にログ取得し、統合の上分析して、攻撃者の手口や、起きている事象のインパクトなどを分析します。
取得・統合・分析のプロセスでは、自動化が行われるので、目視では見つけられない脅威を発見することができます。
ただし、SIEMでどの「シグネチャ」(攻撃パターンの特徴的な部分)を適用させるかは人が判断します。そのため、正常の動作を誤検知することもあるので注意が必要です。
こうした背景もあり、分析の結果から、最終的に異常が起こっているかどうか判断するのはSIEMを扱うセキュリティエンジニアです。
SIEMの必要性とは
SIEMが必要となる背景には、サイバー攻撃の複雑化、ファイヤーウォールやIDS/IPSでは防ぎきれない攻撃も多数あることがあげられます。サイバー攻撃は、通信を使い、AIにより学習して除去・遮断されることを自ら避けることができるほど、賢くなっています。そのため、ネットワーク内に侵入してしまうことを完全に予防することは非現実的です。
これに対抗するには、動きを十分に監視し、分析して対応することが求められています。すなわち、侵入による悪影響を最小限に抑えることが求められており、そのためにネットワークの各所で取得したログを相関分析するのです。
相関分析とは、ログの要素を複数突き合わせ、攻撃のパターンとの一致があるかどうか読み取る、といったように、分析対象要素を複数組み合わせて把握したうえで分析することです。もっと実際は複雑で、多くの要素を考慮します。
この相関分析は、リアルタイムで行うことができます。そのため、侵入したマルウェアは悪影響が出ないように適切な対応を行いながら、観察することができます。最終的に、除去することになりますが、その際でも影響を最小限にコントロールしながら行うことを可能にしているのがSIEMです。
たとえば、他の稼働中のネットワーク機器やサーバ・バックアップしておいた情報資産に影響が出ないようにしておいて、侵入されたサーバごと休止させるなどの適切な対応は、観察と分析によらないと行うことができないでしょう。
SIEMの機能
SIEMの機能としては、以下が主なものとしてあげられます。
ログの収集と統合
SIEMは、セキュリティログを収集し、各ネットワーク機器などからログを1か所にあつめて統合できる機能を持ちます。ファイアウォールやIDS/IPSあるいはサーバなど、複数の機器からログを収集、これを1か所に集めて統合することにより、1か所の異常だけでなく、他の機器との関係で、異常の全体像を把握することができます。
時に遠隔通信・AIなどを使い巧妙に攻撃をしかける攻撃者に対して有効な手段となります。
ログの監視
収集・統合管理を行ったログは、ほぼリアルタイムで監視することができます。ログを人の手で収集し1つにまとめることは非常に時間のかかることです。しかし、SIEMでは、短時間で統合管理することを可能にするので、ほぼリアルタイムで異常を把握することが可能になります。
サイバー攻撃は、初期の段階で対応することが有効とされますが、そのために有効な手段がこのリアルタイムログ監視です。
ログの相関分析
ログの相関関係はSIEMを用いると瞬時に分析してくれます。時々刻々と発生するログを一度に大量に分析することは、人の手では難しいことです。SIEMを使うと、相関分析で異常を把握するので、セキュリティスペシャリストは、相関分析結果をもとに、すぐに対応策を実行に移すことができます。
この機能もリアルタイムでのログ監視と同様、ほぼリアルタイムでの分析まで可能ですので、異常の早期の発見・対応につなげることを可能にします。
インシデントの集中管理
SIEMはログとともに、インシデント情報を1か所に集めて管理することができます。ログと並行して、インシデントのモニタリング・1か所に情報を集めての集中管理が可能です。
集中管理機能は、インシデントに対する統一的な対応と、少人数でのインシデント管理を可能にします。
ユーザー行動分析 (UBA)
不自然なアクセス・不自然な権限変更・ログインに関する普段と違う行動など、ユーザーの内部不正には、特徴がいくつかあります。ユーザーの不正を機械学習・分析などで検知し、セキュリティの脅威の発生を早期に察知することができる機能をUBAといいます。
より新しい形のSIEMに付帯する機能であり、増加する傾向にある内部不正対策として有効です。
SIEMのメリット
ログを統合管理し、リアルタイムに相関分析することが大きなメリットですが、ログの分析には手間と時間がかかるため、手動の分析では回数を多くすることはできません。
また、リアルタイムで、技術者が起こっている事象を把握するには、分析が1つのログから可能になるとは限りませんが、いくつものログから相関分析できますので、起こっている事象を総合的に判断できます。
SIEMが導入されると、大量のデータの分析を自動で行うことができますので、リアルタイムで起こっていることを把握することができます。また、これらの分析は、可視化することができますので、自動化+可視化で、インシデントの把握・管理はしやすくなります。
SIEMが検知するインシデントも、実は数日という単位から、数か月という単位での追跡が必要になることがあります。こうした攻撃の長期化・複雑化に対しては、SIEMのみで対応できるかというと、守備範囲が限定されていることから難しい事態もあります。
しかし、SIEMが守備範囲にしているログに限っては、とても人の手では追跡しきれない、長期かつ大量の攻撃データの相関分析も可能なのです。
SIEMの力で、セキュリティ専門技術者は脅威に対する対応に集中できるようになります。脅威に対してどの対応策を打つべきか高度な判断は、SIEMが提供したデータにもとづいておこなうことができます。このように、SIEMにより、IT人材の不足を補うことが可能となり、より重要な業務に専門技術者が注力できるようになります。
SIEMのデメリット
SIEMにもデメリットがありますので、十分な活用を行うには、デメリットを軽減する使い方の工夫が必要です。
トラフィックを圧迫する可能性がある
SIEMは社内ネットワークにおける通信トラフィックを増加させるものです。
その結果、業務用の通信トラフィックを圧迫する可能性があります。
こうしたトラフィックの圧迫に対する方策は、管理系のネットワークセグメントを作成することです。簡単に言うと、ログの通り道を作って、トラフィックを流し、業務セグメントのトラフィックを圧迫しないようにすることができます。
収集するログには、量と質において限界がある
SIEMが収集するログは大量です。しかし、社内ITネットワーク内のすべてのアクティビティについてのログ収集することは難しいので、ログを取ることができる部分や、ログを保持できる量や期間は限られています。
そのため、SIEMが必要と判断している部分だけしか収集されず、高度化する攻撃の十分な分析にはログの粒度が荒いことも考えられます。
こうした場合には、再度ログを収集しなおして、竜度を上げつつ全体像・あるいは他の部分の所在な分析を行う必要があります。
SIEMの収集するログは、SIEMの守備範囲のログのみ
SIEMとEDRでは守備範囲が異なります。したがってエンドポイントに関するログは、EDRなどで補って総合的に分析しないと、把握できない攻撃も生じることがあります。
そこで、双方を組み合わせて利用し、ログ収集の範囲と質を上げることが望ましいと考えられます。
セキュリティとは関係ないアラートが上がることもある
SIEMが検知するパターンをシグネチャといいますが、シグネチャの設定・検知の感度の設定により、セキュリティ以外のアラートが上がることもあります。
この点は、実務上も非常に難しいところで、どこまでの感度を持たせるか、どこまで業務がアラートを許容し、一部アラートに応じた業務の休止などを受け入れられるか、常にバランスをとった設定・調整が問題になります。
クリティカルな業務については、SIEMの設定のきめ細かい調整により極力業務に影響を与えないようにしなければならないでしょう。それと同時に、クリティカルな業務であるからこそ、SIEM以外の技術的な方策を重ねてとるようにし、十分に安全を保つ必要があります。
すぐに運用開始できるとは限らない
SIEMには、運用準備期間・テストが必須とされます。また、SIEMの稼働や、アラートに合わせ、セキュリティ部門のオペレーションルールを決める、セキュリティ以外の部門の業務に関してもルールを変えるといったことが必要です。
実際にSIEM導入の前には、機能検証・テスト結果などに基づき、情報セキュリティルールを変更して対応し、運用の状況を見てさらにルールをアップデートするなどの対応もよく行われます。
またセキュリティ部門の業務分担にも変更があるでしょう。大きな組織であればあるほど、ルール変更・業務分担の変更では影響が大きくなりえますので、十分な準備期間が必要となります。数か月は最低、場合によっては1年かけて準備、といった例もあるのがSIEMです。
このようにSIEMの本格的な運用には時間がかかるため、対策としては導入スケジュールにはできるだけ余裕を持つようにし、計画的・段階的に導入することが考えられます。
まとめ
以上のように、SIEMは複数のネットワーク機器に関するログを統合管理し、相関分析によってセキュリティの脅威に適切な対応策を打つことを可能にします。
その一方で、導入に準備期間が必要であることや、ログがカバーできる範囲などに留意点があるので、計画的に導入すること、SIEMの限界を想定してEDRなどの方法により万全を期することが高度化した攻撃に対応するために必要と考えられます。
また、弊社では、企業のさまざまなセキュリティ課題に対応できるサービスを複数取り扱っております。ぜひ一度弊社サイトをご覧ください。
