SIEMの概要SIEMとは「Security Information and Event Management」の略で、Firewallやネットワーク機器、クラウドサービスなどの各種アプリケーションから集められたログ情報を一元的に収集・管理し、ログ同士を相関的な分析を可能にするツールです。これにより個々のアプリケーションのログ単体では発見できないような不正アクセスをはじめとした不審な動きやその兆候も検知し、分析・可視化することが可能です。昨今は内部犯行者による情報漏えい対策としても注目されています。「内部脅威」のリスクは、最近になって突然浮上したものではなく、長年にわたって課題であり続けてきました。実際IPA 独立行政法人 情報処理推進機構が毎年発表している「情報セキュリティ10大脅威」でも「内部不正」は初登場から最新の2025年まで15年連続でランクインしております。また、世界経済フォーラムの調査によれば、情報漏えいの原因の43%は「内部不正」「内部脅威」によるものだと言います。SIEM導入後の運用ハードルと解決策『次世代SIEM』いざSIEMを導入したものの「活用できる人材の不足」「設計/ルール設定の複雑さ」「膨大な量のデータの統合・分析の難しさ」などから、実際には使いこなせていない企業も多くあるのが現実です。このような課題を解消できるのが『次世代SIEM』です。具体的には下記のような機能が搭載されています。(1)UEBA(User and Entity Behavior Analytics)の機能も有し、各ユーザーの行動が正常か否かの基準を確立。それにより、そこから外れた「悪意を示す可能性」のある不審なイベントを検出できる。(2)機械学習によって知識やスキルを持たないユーザーでも使いこなせる。(3)SaaSとして提供されるためデータ量(必要なログの量)が多くなっても、ハードウェア上のスケーラビリティを気にする必要がない。(4)ログを従業員ごとにタイムライン化し、「誰がいつどの様な行動を行ったのか?」を簡単に把握できる。まとめSIEMの導入により、ログ情報の収集・管理~ログ同士の相関的な分析が可能になります。また、それにより社内不正や不正アクセスなど、内部・外部からの脅威を検知し、原因の把握などにも役立てることが可能です。一方で導入・運用のハードルから、十分に活用するには高い技術や知見が必要なのも事実です。『次世代SIEM』では、振る舞い検知や機械学習、従業員単位の分析などにより、従来よりも簡単に、かつ高い精度でサイバー攻撃や内部脅威を検出することができます。一方、SIEMはあくまで脅威を検知・分析するツールであり、防御を行うことはできません。SIEMの情報をもとにFirewallやSWG、IDaaSなど防御を担うセキュリティ機器・ツールのチューニングを行い、日々防御力を高めることも大変重要です。防御手段であるFirewallやSWGなどによって構成されたSASE製品は、逆にSIEM(UEBA)機能を持っておらず3rd party製品であるSIEMにログを転送をする必要があり、相乗効果の恩恵を受けるには大きな手間とコストがかかります。一方で、スカイゲートテクノロジズが開発したゼロトラストフレームワークである『Cygiene(サイジーン)』は、防御を担う次世代SASE(UEBA)の「Cygiene SecureAccess」と次世代SIEM「Cygiene Analytics」をワンパッケージで提供することにより、強力な相乗効果を生み出すことができます。Cygieneについて、ぜひお問い合わせください。