SIEMは、「Security Information and Event Management」の略で、「セキュリティ情報とイベント管理」という意味で、主にセキュリティチームやSOC(Security Operation Center、セキュリティオペレーションセンター)といった場所で利用されるソリューションです。社内やシステム全体のログを集約し、脅威を分析するための強力なプラットフォームであり、大規模な組織にとってなくてはならないセキュリティソリューションです。SIEMは、セキュリティチームでどのように使われるのか、その課題と機能に関して詳しく解説します!はじめに近年、新型コロナウイルス蔓延によるリモートワークの普及により、デジタル化やクラウドサービスの導入が急速に広まりました。デジタル化が進み、今までの作業やコミュニケーションが便利に行われるようになった反面、人間の手だけでは対応しきれないセキュリティ脅威も存在感を増してきました。不正アクセス、データ漏洩、マルウェア感染やフィッシング詐欺など、企業のデータを守るためには対策しなくてはならない脅威が数えきれないほどあります。これらの脅威に対抗するのが、セキュリティチームやSOCと呼ばれるセキュリティオペレーションを行うチームです。セキュリティチームでは、SIEMを活用することでこれらの脅威に効果的に対応します。SIEMとはSIEMは、システムから生成される、ログイン、アクセス、権限移動などのログやイベントデータを収集、保存、分析するためのソフトウェアソリューションです。多数のネットワーク機器、エンドポイント、そのほかのセキュリティソリューションのログやイベントを統合的に収集・集約して分析可能な状態にし、さらにセキュリティ脅威を解析・検出する機能を持つ、いわばセキュリティの司令塔のような役割を持ちます。SIEMは、次のような背景から、北米を中心に2000年代から導入が進み、国内の大企業でも徐々に普及していきました。セキュリティチームが抱える現代の課題①膨大な量のログ収集と管理デバイスの利用履歴、ネットワークの通信記録、システムのアラートなどあらゆる記録データのことを一般的に「ログ」と呼びます。多くのシステムにおいては、そのシステム上の操作や動作、問題はログとして記録・出力されます。サイバーセキュリティ上のインシデントを含む何らかの問題が発生した場合には、これらのログが調査の重要な手掛かりとなります。ログを適切に保存し、いつでも検索可能な状態としておくことが理想ですが、デジタル化が進んだ現代ではログを吐き出すシステムやデバイスの数は膨大であり、それらの収集や解析には多くの手間がかかってしまいます。大規模な企業ほど、ログの量は指数関数的に増大していくため、重要性を理解していても、その収集や解析可能な状況を構築することは容易なことではありません。また、近年ではクラウドサービスなどにその業務の中心が移っており、様々な場所からログを収集する必要があるため、既存のログ収集基盤では構築の手間がかかることもしばしばです。②進化するサイバー脅威への対策セキュリティソリューションを導入し、さらに十分にログを収集したとしても、セキュリティ脅威を常に事前に発見できるとは限りません。サイバー攻撃者側も日々進化を重ねており、新たなセキュリティ脅威や新型のマルウェアは、単独のセキュリティソリューションでは全く検出できないことも見られます。そのため、先進的なセキュリティチームでは、未知のサイバー脅威であるかどうかを判定するため、より積極的に社内の状況を監視し、脅威を発見するプロアクティブな活動を行いたいと考えることがあります。しかし、膨大な量のログデータから不審なイベントを検出するのは簡単なことではなく、大規模なログ基盤を有するようなチームであっても、サイバー脅威に対する適切な監視体制を構築するのが難しいケースは多く見られます。③求められる迅速なインシデントレスポンスあらゆるサイバー脅威においては、そのセキュリティ侵害への対応は時間との勝負になることが多くあります。現状の把握、被害状況の確認、インシデント封じ込めや侵入経路の調査など、インシデントレスポンスにおいてはセキュリティチームは膨大なタスクに対応する必要があり、迅速さをどのように維持することは重大な課題です。近年のITシステムは、極めて大規模かつ、社内とインターネットをまたぐ構成になっているものがほとんであるため、一つのイベントを追いかけるだけでは全体像の把握は不可能です。システムの規模や複雑さが拡大しても、迅速なインシデントレスポンスを提供するための強力な基盤が必要になります。威力を発揮するSIEMの機能①膨大なログデータの収集・管理・分析機能SIEMは、大量のセキュリティログを収集し、それらを管理し、一元的に分析する機能を備えています。多くのSIEMは、他システムと連携するためのコネクタが用意されており、比較的簡単なセットアップで多くの機器やデバイス、システムを接続し、ログを収集することが可能です。ログデータは、検索可能なようにデータベースに保管され、いつでも細かく分析ができるような状態となります。これにより、セキュリティチームは、いつでも細かく社内の状況を解析できるようになります。また、SIEMの多くには、条件などに応じて異常なイベントを検出することもできるようになっており、豊富なプリセットも用意されていることが多いです。これらによって、少ないマンパワーで社内やシステムの状況を継続的に監視し、いつでも対処可能な状態を維持することができるようになります。②リアルタイムアラートによるシステムの監視SIEMは、ほぼリアルタイムでログデータを分析し、異常なパターンなどを検出してアラートを出すことができるようになっている製品が多く存在します。特に高度なサイバー攻撃の場合、通常のセキュリティソリューションでは検知ができないような攻撃パターンを持つ脅威も存在します。SIEMでは、さまざまなアラートアルゴリズムやプリセットを駆使することで、膨大なログデータからシステム内の不審なイベントを検出し、アラートを出すことで未知の脅威に対応することができます。また、機械学習などのAIを用いたり、最新のサイバー脅威のパターンを常に備えるものなどもあり、セキュリティチームを強力に支えてくれます。これらの機能は、外部のサイバー脅威に留まらず、内部不正やシステムの異常の検知も使えるものもあり、総合的なセキュリティリスクに対して、SIEMにより広くシステム全体を監視する役割を持たせることもあります。③イベント相関分析機能による分析の迅速化SIEM製品の多くは、複数のデータソースから相関的にイベントを分析できるようになっています。あるログで検出された不審な行動に対して、それに紐づくIPアドレスをほかのデータソース上で絞り込むことで関連するイベントを抽出するなど、強力な分析機能を備えています。インシデントやセキュリティ侵害の痕跡をチームが発見した場合には、発端となったイベントから複数のログの分析を行っていくことで、事態の全体像を明らかにする必要があります。SIEMはこれらの作業において極めて威力を発揮します。時間との勝負になることの多いインシデントレスポンスでは、SIEMの相関分析機能がレスポンスの高速化に大きく寄与します。まとめ現代のビジネス環境は、リモートワークやクラウドサービスの普及により、かつてないほど複雑化しています。この結果、企業はサイバー攻撃や情報漏洩、不正なアクセス、未検出のシステム脆弱性といった多様なセキュリティリスクに対峙することとなりました。今日の複雑なビジネス環境において、企業の重要なデータとシステムを保護することは、企業の成長と存続に深く関わる重要な要素です。SIEMは、これらの機能によって企業が直面するセキュリティリスクを効果的に管理し、企業のセキュリティ体制を強化することを可能にします。