セキュリティ管理の方法として、SIEMというシステムを耳にしたことがある方もいるでしょう。SIEMを導入すると、情報ログの管理・分析がスムーズになり、システム上の脅威にいち早く気づけるようになります。
当記事では、SIEMの機能と導入のメリットについて詳しく解説します。SIEMは内部不正への対応もできる他、リスク分析にかかる手間を減らすこともできるため、簡単にセキュリティ対策をしたい方はぜひ当記事を参考にしてください。
目次
SIEMとは?
SIEMにはどのような機能がある?
- ログの収集
- ログの監視
- ログの分析
- 脅威の検知・対策
SIEMを導入するメリット
- ログの統合管理ができる
- 早期に脅威を発見できる
- 内部不正に対応できる
- リスク分析に必要な手間を減らせる
まとめ
1.SIEMとは?
SIEMとは、Security Information and Event Managementの略称で、シームと呼びます。セキュリティ管理システムの1種として、2005年にアメリカのガートナー社により提唱されました。ファイアウォールやプロキシサーバーから出力されるログを集約し、各通信の流れを詳細に把握できるのが特徴です。
SIEMは、SIMとSEMという、2つの仕組みにより成立しています。SIMはSecurity Information Managementの略称で、セキュリティ情報管理を意味します。セキュリティ関連データを記録保存し、管理するものです。
SEMはSecurity Event Managementの略称で、セキュリティイベント管理を指します。ログをリアルタイムで分析し、セキュリティ脅威を検出するだけではなく、アラートの発出や脅威への対応も担います。
SIEMの使用により、企業などの組織ネットワークのアクティビティを可視化し、セキュリティ脅威に素早く対応できる点がメリットです。わずか数秒のうちに大量のデータを取り込んで解析できるため、脅威となりうる対象に先手を打ち、高度なセキュリティ運用が行えます。
2.SIEMにはどのような機能がある?
サイバー攻撃が巧妙化する中で、セキュリティ脅威への有効な対抗手段として注目されているのがSIEMです。では、SIEMは具体的にどのようにセキュリティ対策に役立つのでしょうか。
ここでは、SIEMの4つの機能について解説します。
2-1.ログの収集
SIEMは利用者が設定したIT機器やサーバ、複数のセキュリティ製品などからログを集め、1つに統合する機能を備えています。通常それぞれのソフトウェアで保存管理されるログを一元管理できるのが特徴です。
取得できるログの具体例は以下の通りです。
[blog_borderbox]
- アンチウイルスソフト
- ファイアウォール
- クラウド
- データベース
- プロキシサーバーなど
[/blog_borderbox]
2-2.ログの監視
ログの観察対象は多数存在し、チェックだけでも大きな負担になる場合もあります。SIEMでは収集したログを統合することで、それぞれのソフトウェアなどから確認する手間を省きながら、集中的に監視できる点がメリットです。
集約したログはダッシュボードを通して簡単にチェックでき、収集方法や頻度によっては、リアルタイムで状況を把握することも可能です。
2-3.ログの分析
SIEMは、集約したログデータに問題がないかどうかを判断するための分析機能を持ちます。ログ分析には、時系列やイベントごとなど、複数データ間の関連性を考慮して数値化する相関分析が使われるのが特徴です。
さまざまなデータから総合的に判断でき、巧妙化する攻撃に対しても高精度の分析が見込めます。
また、システム規模が大きい程ログの量は膨大になりますが、SIEMはルールに従い機械的に効率よく処理可能です。手作業では発見しにくいサイバー攻撃や不正行為を素早く検知し、対処できる点がメリットです。
さらに、SIEMのセキュリティ対策精度を維持するために、UBAと呼ばれるユーザー行動分析も活用されています。UBAはユーザーの行動を機械学習させた上で、異常な行動を検知する仕組みで、内部の人間を装った悪意ある第三者を見つける際などに役立ちます。
2-4.脅威の検知・対策
SIEMは、人の代わりにログを自動調査し、リアルタイムでセキュリティリスクを検出します。脅威や脅威になりそうな問題が発生した場合でも、数秒で検知でき、具体的な対応へと移行可能です。
高速かつ横断的にログを分析し、脅威を判定してくれるため、早期対策が見込めます。SIEMがセキュリティインシデントを発見した場合は、警告機能などによって通知され、情報部門の管理者も状況をスムーズに把握できます。
3.SIEMを導入するメリット
SIEMを活用することにより、サイバー攻撃などの脅威に迅速に対応し、コンプライアンス基準を順守できるのが利点です。ほかにも、社内にSIEMを導入するメリットとして、以下の4つを紹介します。
3-1.ログの統合管理ができる
SIEMによる管理システムを導入することで、さまざまな種類のログを自動取得し、まとめて保管できる点がメリットです。端末やソフトウェア、アプリケーションごとのログ管理が不要で手間が省けるだけではなく、作業の機械化によってミスを削減する効果も期待できます。
中には、収集したログを正規化する機能や、環境全体を可視化して網羅的な管理をサポートする機能を持つSIEM製品も存在します。自社に最適なSIEMソリューションを選び、情報を一元管理することは、早期状況把握や管理運用の効率化にもつながるでしょう。
3-2.早期に脅威を発見できる
SIEMのメリットは、今何が起きているかを素早く把握し、迅速な対応に役立てられる点です。サーバーやデータベースなどのシステムが生成する膨大なログを統合し、常時のモニタリングを可能にする役割を担います。
通常では分かりにくい変化を顕在化し、リスクを早期発見できれば、被害を最小限に食い止められる可能性があります。日頃から情報収集と分析の仕組みを整え、有事の際に適切な対応が取れるよう社内システムの安定化を進めておくことが大切です。
3-3.内部不正に対応できる
セキュリティ対策においては、外部からのサイバー攻撃だけではなく、従業員による不正が脅威となるケースもあります。自社セキュリティを向上させるには、内部の不正行為を未然に防ぐ対策が欠かせません。
従業員などの関係者は、外部の人間よりも機密情報にアクセスしやすく、内部不正を許すと重大な被害につながる可能性があります。具体的な内部不正の手口は、次の通りです。
- 内部情報の不正持ち出し
- アクセス権限の悪用
- アカウントの悪用など
例えば、USBメモリーやクラウドストレージへ重要情報をコピーして持ち出す方法や、業務目的で与えられた権限を使って機密情報を盗み出す方法が挙げられます。また、退職後に元職員がアカウントを悪用するケースも見られるため、アクセス権限の変更や削除は迅速に行いましょう。
また、悪意はなくても、人為的ミスによって情報漏洩が発生するリスクもあります。SIEMによって従業員による不審なアクセスやミスによる誤動作を検知でき、内部不正の抑制・被害軽減にも役立ちます。
3-4.リスク分析に必要な手間を減らせる
SIEMソリューションは、人の手では管理しきれない膨大な攻撃データ調査も可能で、従来のリスク分析にかかる時間や労力が大幅に削減できます。
リスク分析の手間を減らせる分、情報部門の担当者が脅威への対策といった、より重要な業務に注力できる点もメリットです。脅威に対する高度な判断もSIEMによるデータを参考にできるため、人材不足をカバーしながら、自社セキュリティの安定化が実現できます。
まとめ
SIEMとはログの集約・分析・管理を行って通信の流れを把握してセキュリティ対策に役立てるシステムのことです。ネットワーク上の脅威を短時間で検知できるため、対策も早期に行えます。また、内部不正にも効果的で、情報セキュリティ対策の1つとして注目を集めています。
セキュリティの導入を考えている方は、ぜひメンロセキュリティのアイソレーション技術もご検討ください。ランサムウェアによる攻撃も防ぐことができる、高度なセキュリティを導入できます。