開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2020/01/28

今さら聞けないSIEMとは何か? 導入事例からクラウド時代の役割まで徹底解説

外部からのサイバー攻撃や組織内部の不正行為など、多様な脅威にさらされる企業システム。システムの改ざんや情報漏えいなどが一度起きてしまうと、企業へのダメージは計り知れない。ネットワークやエンドポイントでさまざまなセキュリティ対策を施しても完全には防ぐことは不可能だ。そうした中、セキュリティリスクを最小限に抑える方法として「SIEM」が注目を集めている。本稿ではSIEMの概要や仕組み、具体的な導入事例などを取り上げる。

アカマイ・テクノロジーズ 金子 春信

アカマイ・テクノロジーズ 金子 春信

アカマイ・テクノロジーズ エンタープライズセキュリティ APJ地域シニアプロダクトマーケティングマネージャ。
15年間にわたりITインフラストラクチャ業界で、システムエンジニア、ビジネスデベロップメント、プロダクトマーケティング業務に従事。SEとしてキャリアをスタートし、リコーテクノシステムズ、ネットワンシステムズにおいて、金融、製造を中心とするラージエンタープライズ顧客に対してネットワーク、セキュリティ、コラボレーションのシステムを多数提供。2012年から2015年は、米国シリコンバレーにあるNet One Systems USAにて、ビジネスデベロップメントマネージャとして、セキュリティやクラウド関連等のスタートアップとのビジネス開発を担当。 2018年より現職。

photo
SIEMとは何かをやさしく解説
(Photo/Getty Images)

SIEMとは何か?

 「SIEM」(Security Information and Event Management)とは、その名の通り「セキュリティの情報とイベントを管理すること」だ。実際には、これらを管理するためのソリューションを指すことが多い。日本では、SplunkやIBM、マカフィーなどのベンダーがよく知られている。

 SIEMは、サーバやネットワーク機器など複数のコンポーネントからセキュリティに関連するデータを集約し、それを分析することで異常な動作や潜在的なサイバー攻撃を検知したり、解析したりする。

 SIEMの機能の中核にあるのは「データの集約」「データの検索」「レポート」だ。 ネットワーク環境にあるさまざまなコンポーネントから大量のデータを収集し、そのデータを統合して人間がモニタリングすることを支援する。

なぜSIEMが必要なのか

 SIEMが必要になった背景としては、近年の「セキュリティの複雑化」がある。攻撃面(アタックサーフェース)の多様化に伴い、企業は「多層防御」の策として多くのセキュリティコンポーネントを導入している。

 具体的には、端末のウイルス対策ソフトからはじまり、ネットワーク上には「ファイアウォール」、「IPS(侵入防御システム)」、「SWG(Secure Web Gateway)」、「Eメールセキュリティ」などが多くの企業で配置されているだろう。また最近は、サイバー攻撃の高度化に伴い、標的型攻撃に備えて「サンドボックス」や「EDR(Endpoint Detection and Response)」なども加わっている。

 しかし、これらはすべてセキュリティ運用サイクルにおける「特定」「防御」を担うものだ。近年高度化したサイバー攻撃では、すべての攻撃を未然に防御することは不可能である。そのため、有事の際の「検知」「対応」「復旧」というプロセスが重要となる。

画像
NISTサイバーセキュリティフレームワークとSIEMの役割

 ただ、「脅威を適切に検知したい」と考えても、多種多様なコンポーネントそれぞれの操作コンソールに管理者がログインして、イベントログを常時見張るという運用は現実的ではない。そのため、「セキュリティ事件が発生していないか」という軸で可視化することが重要だ。

 そこで、セキュリティの情報とイベントを管理するSIEMの出番となる。企業のセキュリティ対策部門やSOC(Security Operation Center)などで導入され、セキュリティインシデント対策として活用されている。

2つの主要機能でセキュリティに関わる洞察が得られる

 2000年代後半に出てきた初期のSIEMは、オンプレミスで導入するアプライアンス、仮想アプライアンスやソフトウェアなどの形態が中心であった。現在では、SaaS(Software as a Service)による提供も一般的になりつつある。

画像
SIEMの仕組みの概要イメージ

 SIEMでは、さまざまなデータをさまざまな方法で集約する。主なデータソースは、セキュリティ機器から生成されるログデータだ。それに加えて、フローおよびパケットといったネットワークテレメトリのデータなど、複数の形式を持つデータも組み合わせて処理する。

 また、最近はクラウド上のアプリケーションを利用する企業が多いため、グーグルの「G Suite」やマイクロソフトの「Office 365」といったSaaSから、REST APIによって情報を取得して分析対象とすることもできる。SIEM機能自体もSaaSとして配置されるため、クラウド上から集めたデータをクラウド上で集約するというわけだ。

画像
クラウド上で実装されるSIEM

 機器から集められたイベントやフローなどのデータは、ユーザーや資産、脅威、脆弱性などの背景情報として入力されるデータと紐づけて分析できる。つまり、多くのデータソースから集めた「非構造化データ」同士を組み合わせることで、セキュリティに関わる洞察が得られるのだ。こうした仕組みを使って、SIEMでは以下の2つの機能を提供する。
1.特定のルールに基づく通知の生成
2.インシデントの分析とレポート
【次ページ】金融業、製造業などでのSIEM活用事例

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!