Texture Side Right Yellow 03

SIEMとは

SIEMは「Security Information and Event Management」(セキュリティ情報およびイベント管理)の略で、組織に次世代の検知、解析、対応を提供します。SIEMソフトウェアは、セキュリティ情報管理(SIM)とセキュリティ・イベント管理(SEM)とを組み合わせ、アプリケーションやネットワーク・ハードウェアで生成されるセキュリティ・アラートをリアルタイムで解析します。SIEMソフトウェアは、ルールと解析エンジンに対してイベントを照合し、検索用にインデックス付けすることにより、世界規模で収集したインテリジェンスを用いて、高度な脅威の検知と解析を実施します。これにより、セキュリティ・チームは、データ解析、イベントの相関分析、集約、レポート、ログ管理を行うことで、自社のIT環境内の活動に関する知見と追跡記録を得ることができます。

SIEMソフトウェアには、数々の機能や利点があります。

  • 複数のデータ・ポイントの統合
  • カスタム・ダッシュボードとアラート・ワークフローの管理
  • 他の製品との統合

SIEMの仕組み

SIEMソフトウェアは、組織のアプリケーションやセキュリティ・デバイス、ホスト・システムによって生成されたログとイベント・データを収集し、それを単一の中央管理プラットフォームに統合します。SIEMはアンチウイルス・イベント、ファイアウォール・ログ、その他の場所からデータを集め、そのデータを、たとえばマルウェア・アクティビティ、ログイン失敗、ログイン成功などのカテゴリー別に分類します。SIEMはネットワーク・セキュリティの監視によって攻撃を特定すると、アラートを生成し、既定のルールに基づいて脅威レベルを定義します。たとえば、誰かがあるアカウントに、10分間にログインを10回試みた場合は問題ないとし、10分間に100回試みた場合には、攻撃の試みであったとみなすように設定できます。このようにして、攻撃を検知し、セキュリティ・アラートを生成するのです。SIEMのカスタマイズされたダッシュボードとイベント管理システムによって、調査の効率を高め、過検知に費やす無駄な時間を短縮できます。

SIEMの機能とアプリケーション

SIEMには広範な機能が備わっており、組み合わせたり統合することで、組織に総合的な保護を提供します。また、1つのダッシュボードにまとめることで、利便性と効率が上がります。SIEMは、デバイスとアプリを含めたネットワーク全体をカバーするエンタープライズ・レベルの可視性を提供することによって、企業のセキュリティを提供します。

このソフトウェアにより、セキュリティ・チームは、攻撃者のTTP(Tactics、Techniques、Procedures)に関する知見と既知の侵害インジケーター(IOC)から得られた脅威ルールによって、攻撃者に関する知見を得ることができます。このためには、脅威の検知を補完する、複数の脅威インテリジェンス・フィード(潜在的および最新の脅威に関する整理、解析された情報)を活用します。

脅威検知の要素自体は、Eメール、クラウド・リソース、アプリケーション、外部の脅威インテリジェンス・ソース、エンドポイントに存在する脅威を検知できるようにします。ここには、UEBA(User and Entity Behavior Analytics)も含まれており、振る舞いと行動を解析して、脅威を示唆する異常な振る舞いの有無を監視します。また、異常な振る舞い、水平展開、アカウント侵害も検知します。

これは、データ内の異常を検知して未知の脅威ハンティングに通知する、セキュリティ解析コンポーネントに似ています。

脅威ルール管理コンポーネントにより、組織は、アナリストがほぼリアルタイムで更新する最新の攻撃手法に対し、リアルタイムで対応することができます。

SIEMソフトウェアが脅威、脆弱性、攻撃、疑わしい振る舞いを判定すると、組織のセキュリティ・チームに対してアラートを生成し、素早い対応を促します。ソフトウェアの一部のバージョンにはワークフローとケース管理が含まれています。実行すべき検索や対処が記載されたステップバイステップの調査手順が自動生成されるので、それを用いて迅速に調査できます。SIEMアラートは、ユーザーのニーズに合わせてカスタマイズが可能です。

ログ管理は、SIEMの中でも複雑なコンポーネントであり、3つの主要部分で構成されています。

  1. データ集約:さまざまなアプリケーションとデータベースからの大量のデータを、一か所に収集します。
  2. データ正規化:SIEMにより、各種のデータ全体の比較、相関分析、解析を行います。
  3. データ解析/セキュリティ・イベントの相関分析:データ侵害、脅威、攻撃、脆弱性の潜在的兆候を判定します。

SIEMは、コンプライアンスとアラートに関するレポートもサポートします。組織は、ダッシュボード上のデータでコンプライアンス・レポートを簡素化し、イベント情報を維持、構造化して、特権ユーザー・アクセスを監視します。業界と行政の規制(HIPAAを含む)のほとんどが何らかのログ集積と正規化を求めており、そのすべてが報告を義務付けていることから、これは重要な要素です。

FireEyeを含め、一部のSIEMソリューションはクラウドベースです。

SIEMユースケース

SIEMには、組織内外の脅威の検知と防御、さまざまな規制に関するコンプライアンスなど、今日の脅威動向における数多くのユースケースがあります。

コンプライアンスにおけるSIEMの利用

コンプライアンス規制がますます厳しくなり、企業はITセキュリティへの投資拡大を迫られています。そういった状況の中、SIEMは重要な役割を果たしており、PCI DSS、GDPR、HIPAA、SOXの各基準への準拠に役立っています。これらのコンプライアンス要件は広く適用されるようになっており、侵害の検知と報告に関するプレッシャーも高まっています。当初はSIEMを使用していたのは主に大企業でしたが、コンプライアンスや事業のセキュリティの確保についての重要性が高まり、GDPRなどの規制は企業の規模にかかわらず適用されることから、中小企業にもその必要性が出てきました。

IoTセキュリティ

モノのインターネット(IoT)市場は拡大し続けています。Gartnerでは、接続されるデバイスの数は、2020年には260億台に及ぶと予測していました。接続されるデバイスが増えるということは、同時に、標的企業への侵入ポイントが増えることから、リスクも生まれます。ハッカーにとっては、接続されたデバイスからネットワークの一部に侵入できれば、そこから簡単にネットワーク全体にアクセスできるからです。多くのIoTソリューション・ベンダーは、SIEMソリューションに簡単に組み込むことのできるAPIと外部データ・リポジトリを提供しています。これにより、SIEMソフトウェアと、サイバー・セキュリティの必須部分が構築されます。DoS攻撃などのIoT脅威を軽減し、環境内のリスクのあるデバイスや侵害されたデバイスにフラグを立てることができます。

内部の脅威を防ぐ

外部の脅威だけが組織を攻撃するわけではありません。アクセスがきわめて容易であることを考えれば、内部の脅威も大きなリスクをもたらします。SIEMソフトウェアは、従業員の操作を継続的に監視し、「平時の」アクティビティに照らして異常なイベントがあればアラートを生成します。また、SIEMを活用して、特権アカウントを細部にわたって監視し、ソフトウェアのインストールやセキュリティ・ソフトウェアの無効化など、ユーザーに許可されていない行動があった場合にアラートを生成することができます。

次世代のSIEM vs. 従来のSIEM

SIEMは2005年に登場し、大幅に進化してきました。次世代SIEMでは多数のアップグレードや改善が施され、従来のSIEMにはない新しい機能を装備しています。従来のSIEMには、以下のような制限があります。

  • 関係性のあるデータをすべて処理できるわけではないため、可視性に限界がある
  • ソフトウェアが複雑で運用が難しいため、メンテナンスに時間がかかる
  • 大量の誤検知を生み出すため、セキュリティ・チームは無駄な作業を強いられる

テクノロジーの進歩に伴い、攻撃も進化します。SIEMもそれに合わせて進化しなくてはなりません。FireEyeをはじめとする次世代ソフトウェアには、以下のような機能や利点があります。

  • オープンな「ビッグ・データ・アーキテクチャ」により、クラウド、オンサイト、スケーラブルなBYODなどの企業インフラに速やかに統合できる
  • SIEMは、カスタムのオープンソースや市販ソースからの脅威インテリジェンスを統合することも可能
  • リアルタイムの可視化ツールにより、最も重要でリスクの高い行動を把握し、アラートを優先順位付け。これには、PCI DSSなどの規制フレームワークに対する状態を測定する機能が含まれ、リスクの優先順位付けや管理を支援
  • 振る舞い解析により、イベントのコンテキストを把握し、特定のシナリオにおける意図を認識する。このUEBA(User and Entity Behavior Analytics)により、振る舞いの中で顕著な変化を見逃さない
  • 次世代SIEMはカスタマイズができるため、セキュリティ・チームは、組織に固有の状況に基づいたワークフローを構築可能

SIEMセキュリティ・ソリューションを最大限に活用するには

従来のセキュリティ・オペレーション・センターでは、世界中のサイバー・セキュリティ・チームが準拠してきたインシデント対応プロセスは、標準的なものが多く、時間がかかります。SOARは、ワークフローを自動化し、脅威の識別、調査、対応を迅速にします。プロセスのかなりの部分が自動化されるので、対応時間が短縮され、セキュリティ・チームが真の脅威に優先的に取り組めるようになります。これは、他のセキュリティ・テクノロジーとの相互作用により、インシデント対応の初期ステップを自動的に行うことにより実現されます。

UEBAも、SIEMの機能において重要な役割を果たします。UEBAはネットワーク内の人間の振る舞いと機械の振る舞いをどちらもモデル化できるので、高度な脅威検知を提供します。

Helixセキュリティ・プラットフォーム

Helixセキュリティ・プラットフォームは、クラウドでホストされるFireEyeのセキュリティ・オペレーション・プラットフォームです。SOAR、UEBA、その他の機能を併せ持ち、次世代SIEMで強化することによって、効果的かつ導入が容易なセキュリティ・ソリューションを提供します。

Helixとその機能については、詳細をご覧ください