【ブログ翻訳】SIEMとは何か?

The Language of Cybersecurity (2)

2021年3月18日

最も基本的なSIEM(セキュリティ情報およびイベント管理)は、組織のITインフラ全体から、さまざまなアプリケーション、デバイス、システムが生成したデータを収集、保存して分析結果をレポートします。認証、セキュリティイベント、パフォーマンス、使用状況などのデータを、侵入検知システム、ファイアウォール、VPNなどのセキュリティデバイスや、ルーターやスイッチなどのネットワークインフラ、さらにオンプレミスアプリケーション、クラウドアプリケーション、 PC、ノートPC、サーバーなどのエンドポイントデバイスから取得して、ログファイル(一般的にはログとして知られています)として出力します。

セキュリティチームは、ログデータを使用して情報漏えいやサイバー攻撃の兆候を特定します。組織のITインフラからは、チームが手動ではとうてい処理できないほどの非常に多くのログデータが生成されることから、一部のSIEMには、潜在的な脅威にフラグを付けて優先順位を付けてくれるものもあります。

過去を振り返ると、SIEMは主にセキュリティログの管理とコンプライアンスの証明に使用されていましたが、徐々に、脅威の検出と調査の集約点としての期待に応えるようになってきました。現在は、サイバー攻撃の検出を目的にSIEMを使用したいと考える組織が増えてきました。実際、ガートナーは2020年のセキュリティ情報とイベント管理のマジック・クアドラントで、SIEMテクノロジーは通常、高度な脅威の検出を支援し、基本的なセキュリティ監視(ログ管理とコンプライアンスレポートを含む)を実行し、脅威の調査とインシデント対応を行うために導入されていると書いています。とはいえ、すべてのSIEMが同じではないことを知っておくことが重要です。あるSIEMの機能は、別のSIEMとは大きく異なる可能性があります。

従来のSIEMと最新のSIEMの違いは何ですか?

従来型のSIEMは、ログの収集と保存に重点を置いており、ウイルス対策ソフトウェア、侵入検知システム、ファイアウォールなどの予防技術が特定したイベントについてのみ報告します。その結果、セキュリティアナリストが高度なサイバー攻撃の兆候を検出して調査するために必要なすべてのログ、企業ネットワーク、エンドポイントのデバイスをカバーする可視性を提供していません。そのようなデバイスが示す兆候には、PCでの異常なアクティビティ、ネットワークプロトコルの異常(参考)、デバイスやアプリケーションへの不正接続などが挙げられます。

対照的に、進化した最新のSIEMは、組織のITインフラ全体に対する可視性を提供するように設計されています。セキュリティアナリストはクラウド、デバイス、ネットワーク全体で脅威が潜んでいる可能性のある場所とその存在を確認できます。そのために、新しいSIEMは、(セキュリティシステムだけでなく)複数のソースからログを取り込み、ネットワークパケット(コンピューターネットワークを介して送信されるデータの単位)をキャプチャし、継続的なエンドポイントのモニタリングと分析を実行します。また、機械学習アルゴリズムと統計分析を適用して「通常の」ユーザーまたはデバイスのふるまいのベースラインを作成する、ユーザーおよびエンティティの動作分析(UEBA)と呼ばれる高度な分析を使用する傾向があります。次に、それらのベースラインを使用して「通常」からはずれたものを識別し、脅威の検出をスピードアップおよび自動化します。進化したSIEMには、FBIなどの外部ソースやIT-ISACなどの情報共有組織からの脅威インテリジェンス(既知の攻撃や攻撃者に関する情報)も組み込まれています。また、どのアプリケーションを対象とするかを構成することもできます。デバイスとシステムは保護することが最も重要であり、セキュリティチームのアラートに優先順位を付けるのに役立ちます。

つまり進化したSIEMは、ネットワーク全体で脅威をあぶり出し、リスクにさらされているリソースを示し、インシデントを管理して対応する機能をアナリストに提供します。

Components of an evolved SIEM



セキュリティチームが進化したSIEMを必要とするのはなぜですか?

ひとつには、現代の攻撃者は高い技術力を持ち、戦略的に狙いを絞り、資金力があります。悪意のある人物にとって、かつてないほど多くの標的が目の前に存在しています。組織のITインフラがクラウドコンピューティング、モノのインターネット(IoT)、デジタルトランスフォーメーションにより拡大するにつれて、攻撃者にとって都合のよい脆弱性が増えています。組織のITインフラが成長を遂げている過程であっても、セキュリティチームにはさまざまなセキュリティツールが発する大量のアラートを調査して対処するために必要なリソースと人員が不足しています。これらの事実は、SIEMが市場で継続的に高い需要を維持している説明といっても過言ではないでしょう。Gartnerによると、SIEM市場は2017年の23億1900万ドルから2018年には25億9700万ドルに成長し、2020年には44億ドルに達すると予測しています。

 

進化したSIEMは、私の組織に適していますか?

サイバー攻撃がビジネスに高いリスクをもたらすものとして認識されており、セキュリティ運用チームが大量のアラートに圧倒されているような場合、進化したSIEMは、検出と対応の初期段階で実施能力に大きな違いをもたらす可能性があります。例えば:

進化したSIEMにより、ログ、パケット、エンドポイントを通じてITインフラ全体を完全に可視化できます:
ログは、問題が発生した時間を示します。フルパケットは、実際に何が起こったか、攻撃者が何をしていたかを示します。また、すべてのデバイスとそのアクティビティを識別するエンドポイントのデータにより、ネットワークの内外にあるすべてのマシンを詳細に把握できるため、攻撃の開始場所を特定できます。

進化したSIEMは、すべてのセキュリティデータにとって統合プラットフォームとなります:
複数のシステムからデータを取り込み、インデックスを作成し、正規化し、相関させ、分析し、脅威インテリジェンスと組織のビジネス重要度を使用した上で、アラートに優先順位を付けて、実用的な脅威インサイトを生成します。これらの一連のアクティビティで既知および未知の脅威を検出し、攻撃の全容を把握する時間が大幅に短縮します。 SIEMを使用すると、アナリストがツールを手動で切り替えて使い分けたり、データを相互に関連付けたりする必要も無くなります。

進化したSIEMは、高度な分析を活用して脅威の検出を高速化します:
マルウェア分析、ネットワークトラフィック分析、エンドポイント分析、ログ分析、UEBAを実行して、内部脅威、データの漏えい、ラテラルムーブメント、コマンド&コントロール通信、高度なマルウェアをはじめとする高度なサイバー攻撃の兆候を検出します。

進化したSIEMには、セキュリティのオーケストレーションと自動化が含まれており、インシデント対応をスピードアップします:
セキュリティオーケストレーション、自動化とレスポンス(SOAR)ソリューションは、セキュリティチームがサイバーインシデントを調査、管理、対応するのに役立つガイド付きワークフローを提供します。

 

進化したSIEMから、どのようなメリットが期待できますか?

進化したSIEMには下記のようなことが期待されます:

・脅威を検出して対応するセキュリティチームの能力を促進する。

・セキュリティチームがビジネスに脅威の影響が及ぶ前に、評価から収束までを支援する。

・セキュリティチームが受信するアラートの数を削減する。

・セキュリティチームが対応すべきアラートの品質を向上させる。

・ワークフローと自動化を改善する。

セキュリティチームが脅威をより迅速に検出して無力化できると、組織はサイバー攻撃対策のコストと影響を軽減できる可能性が高くなります。

 

進化したSIEMからどのようなROIが期待できますか?

ある調査会社が、RSANetWitness® Platformで進化したSIEMのROI調査を実施しました。 この調査では、RSA NetWitness Platformは、コスト削減と財務上の利益をもたらすことに加えて、リスク軽減として企業は平均340万ドルを節約でき、生産性の向上により平均120万ドルを生み出せることがわかりました。

 

SIEMにどのような機能を求めるべきですか?

Frost&Sullivan は、次の機能を求めるように推奨しています。

分析-多数のイベントに関わる疑わしいユーザーとエンティティの動作を検出できるSIEMを探してください。

・「教師なし」機械学習と統計的異常検出を使用して、未知の脅威を特定する(つまり、機械学習アルゴリズムを人が調整または調整する必要がない)。

・既知の脅威を特定するために、すべてのデータに高度な相関ルールを適用する。

・既知の脅威指標のライブラリを保持する。

・サードパーティやコミュニティの脅威インテリジェンスと相互作用する。

自動化–データの取り込み、相関、分析など、日常的なセキュリティタスクとワークフローを自動化するSIEMが必要です。SIEMは、脅威のハンティング、調査、インシデントレスポンス、レメディエーションを自動化したワークフローも提供する必要があります。

モニタリング–高度なSIEMには、エンドポイントの動作とネットワークパフォーマンスの異常を監視および検出が求められます。たとえば、ドロップされたキャプチャパケットの増加を検出した場合、それは侵害を示している可能性があります。

洗練されたパケットキャプチャリング– SIEMは、セキュリティチームが攻撃全体を再構築できるように、全てのネットワークパケット(またはメタデータを含む部分的なパケット)をキャプチャしてインデックスを作成できる必要があります。これにより、セキュリティチームは攻撃がどのように発生したかを正確に把握して修復を開始し、将来の攻撃を防ぐための措置を講じることができます。金融を含む規制対象の業界では、多くの場合、フルパケットキャプチャが必要です。

スケーラビリティ–企業ネットワークは静的ではなく、生成されるデータの総量は年ごとに増加するため、ネットワークのサイズによっては、処理された1秒あたりのイベント数(EPS)に基づいた料金プランを探すことをお勧めします。これにより予算を浪費しないで済みます。

 

これは、RSA Blog (THE LANGUAGE OF CYBERSECURITY, What is SIEM?) の翻訳です。

# # #

© 2020 RSA Security LLC、その関連会社。All Rights Reserved.

RSAおよびRSAロゴ、FraudActionは米国RSA Security LLC 又はその関連会社の商標又は登録商標です。RSAの商標は、https://www.rsa.com/en-us/company/rsa-trademarks.を参照してください。その他の製品の登録商標および商標は、それぞれの会社に帰属します。