SIEMセキュリティ入門：進化と次世代機能

セキュリティ・イベント・アンド・インフォメーション・マネジメント（SIEM）システムは、成熟したセキュリティ・チームの中核をなすものです。SIEMは、ネットワーク・トラフィックを監視し、アプリケーションによって生成されたセキュリティ・アラートのリアルタイム分析を可能にするツールです。SIEMは、ネットワーク・トラフィックを監視し、アプリケーションから生成されるセキュリティ・アラートをリアルタイムで分析できるツールです。SIEMで苦労することはよくあることですが、だからこそ私たちはこの入門書を作成し、SIEM製品が高度な攻撃検知に不可欠な理由を説明し、SIEMの用語に光を当て、トップクラスのSIEMツールとソリューションを探りました。SIEMが貴社の情報セキュリティ能力をどのように向上させるかをご覧ください。

---

SIEMセキュリティとは？

セキュリティ情報・イベント管理（SIEM）システムは、最新のセキュリティ・オペレーション・センター（SOC）におけるほとんどのセキュリティ・プロセスの基盤である。SIEM は、セキュリティ・アナリストがさまざまなシステムを監視する労力を軽減し、膨大な量のログ・データをまとめて首尾一貫した画像を形成します。

SIEMセキュリティとは、SIEMとセキュリティ・ツール、ネットワーク・モニタリング・ツール、パフォーマンス・モニタリング・ツール、重要なサーバーやエンドポイント、その他のITシステムとの統合を指す。SIEMはまた、インログやイベント・データを取得し、それらを分析し、セキュリティ・インシデントの可能性があるアクティビティを特定した場合にアラートを生成します。

---

SIEMとは何か、どのように機能するのか？

セキュリティ情報およびイベント管理（SIEM）ソリューションは、一元化されたアラート、ロギング、およびコンプライアンスに使用できるツールです。SIEM ツールは、収集したデータを関連付け、システム全体のアラートとイベントのコンテキストを提供します。

SIEMツールは、すべてのセキュリティ・ツールやソリューションからログ、レポート、アラートを収集し、集約することで機能します。これらのツールは、これらの情報を一元的に表示することで、可視性を向上させ、インシデントの分析と対応を迅速化します。

SIEMソリューションは、3段階のサイクルに従う：

1. データ収集-データログは、デバイス、アプリケーション、システム、および既存のセキュリティツールから収集される。
2. データの統合 -SIEMソリューションは、分析のためにデータを正規化し、分類します。分類には、ユーザーの出自、使用された認証情報、アクセスされたシステム、実行されたプロセスなどを含めることができます。
3. データ分析-分類されたデータは分析され、許容される動作を定義するルールと比較されます。イベントが疑わしいと判断された場合、セキュリティチームにアラートが送信されます。

---

SIEMセキュリティの進化

アナリストは、SIEMのセキュリティ機能とテクノロジーには3つの世代があると指摘している：

1. 2005年に登場した第一世代のSIEMは、それまで別々だったログ管理システムとイベント管理システムを統合したものだ。しかし、処理できるデータの規模や、生成されるアラートと可視化の精巧さには限界がある。
2. 第二世代のSIEMは、ビッグデータ、つまり大量の履歴ログを処理するのに適している。このようなSIEMは、履歴ログデータをリアルタイムのイベントや脅威インテリジェンスフィードからのデータと相関させることができる。
3. 2017年にガートナーが提唱した第3世代のSIEMは、従来のSIEM機能と2つの新技術を組み合わせたものだ。機械学習を利用してユーザーやITシステムの行動ベースラインを確立し、異常を特定するユーザー・エンティティ行動分析（UEBA）である。これには、アナリストがインシデントを迅速に調査し、セキュリティ・ツールを起動してインシデントに自動的に対応できるようにするセキュリティ自動化、オーケストレーション、レスポンス（SOAR）も含まれる。

過去20年間、SIEM はセキュリティ・チームにとって強力で効果的なインフラであることが証明されてきました。その一方で、SIEM は高価で、導入と利用が難しく、拡張が困難であることでも知られています。もともとSIEMは、大規模で成熟したセキュリティ組織だけの選択肢でした。

このような課題は、導入や利用が容易で、コンピューティング・リソースが少なくて済み、低コストのストレージを活用できる新世代のテクノロジーによって解決されている。SIEMセキュリティ・ソリューションは、クラウドやマネージド・セキュリティ・サービス・プロバイダー（MSSP）を介してサービスとして提供され、コストと導入の容易さのバランスを考慮した複数の導入オプションを提供しています。

---

SIEMの重要性

組織はSIEMテクノロジーを次のような目的で使用している：

• ログの管理と保持
• 継続的なセキュリティ監視とインシデント対応
• ケースマネジメント
• ポリシーの実施と違反
• HIPAA、PII、NERC、SOX、COBIT 5、PCI、FISMAなどの政府要件への準拠

SIEMを導入することが重要な理由は他にあるのだろうか？もしあなたが情報漏えいを受けた側になり、何が起こったのか説明するよう求められたら、答えを用意しておきたいものです。

多くの組織は、機密データを保護するためにSIEMを導入しており、監査に失敗すると、従業員やビジネスの損失、多額の罰金など、劇的な結果を招く可能性があるため、この保護プロセスを証明する必要がある。

---

SIEMの価値とは？

• セキュリティ・イベントの相関関係 -SIEMは、脅威の侵入やデータ侵害の兆候について、ログ管理機能からの全データの合計を分析する。例えば、ログインの失敗は一般的に懸念されません。しかし、あるユーザーがIT環境全体のアプリケーションでログインに失敗した場合、脅威の兆候を示す可能性があります。これらのアプリケーションのデータ間の関係を確認できるのは、SIEM機能だけです。
• 脅威インテリジェンス– SIEM施設には、脅威インテリジェンスフィード(サードパーティのフィードを含む)やソリューションプロバイダーへの接続が含まれます。通常、分離されたフィードは固有の脅威データを保持し、多くのフィードからの情報を使用すると、ソリューションを最適に活用するのに役立ちます。
• セキュリティアラート -SIEMは、ダッシュボードの更新、テキストアラート、または電子メールアラートなど、可能性のある脅威について継続的にチームを更新する必要があります。もしソリューションがチームをアップデートしなければ、脅威を見逃してしまい、サーバーに脅威が残ってしまう可能性があります。

---

次世代SIEMソリューションの価値

SIEMは今や確立された技術であり、次世代のSIEMは新たな能力を備えている：

ユーザーとエンティティの行動分析 -ユーザーとエンティティの行動分析（UEBA） - 最新のSIEMは、機械学習とAI手法を活用して、典型的な人間の行動と非典型的な人間の行動を特定し、探索することで、相関関係を凌駕します。この洞察は、組織が悪意のある活動、内部脅威、詐欺を発見するのに役立ちます。

セキュリティ・オーケストレーションと自動化（SOAR）- 次世代SIEMには、自動化されたインシデント・レスポンス・システムが搭載されている。例えば、SIEM はランサムウェアのアラートを識別し、ハッカーがデータを暗号化する前に、感染したシステムに封じ込め措置を自動的に実施して対応することができます。

---

最新のSIEMセキュリティにおけるUEBA

ユーザーとエンティティの行動分析（UEBA）は、行動ベースラインを特定し、セキュリティ・インシデントを示す可能性のある異常を発見することができるセキュリティ・ソリューションの新しいカテゴリーです。UEBAは、事前に定義されたパターンや静的な相関ルールに依存しているため、他のツールでは見えないセキュリティ・インシデントを検出することができます。第3世代のSIEMソリューションにはUEBA機能が組み込まれています。

UEBA技術を使ったSIEMの一般的な使用例をいくつか紹介しよう：

• 悪意のあるインサイダー -ITシステムへの特権的なアクセスを持つユーザー・アカウントで、アカウント所有者が個人的な利益のために悪用するもの。インサイダー攻撃は壊滅的な被害をもたらす可能性があり、ほとんどのセキュリティ・ツールでは見えない。UEBAは、各ユーザの行動のベースラインを確立し、悪意を示す可能性のある不審なイベントを検出することができます。
• 侵害された内部者-ユーザー・アカウントを制御できるようになった攻撃者が、そのアカウントを使用して組織のシステムを偵察、計画、または実際に攻撃すること。UEBAは、ユーザ・アカウントが通常とは異なる動作をしていることを特定し、セキュリティ・スタッフに警告することができる。
• インシデントとアラートの優先順位付け（アラートトリアージ）-SIEMのセキュリティアラートはセキュリティアナリストにとって大きな負担であり、アラート疲れが課題です。UEBAはアラートの優先順位付けの負担を軽減するのに役立ちます。多くのツールからのアラートとシグナルを組み合わせ、異常な動作の量（リスク・スコア）に基づいてアラートとインシデントをランク付けし、組織に関するコンテキスト・データ（例えば、機密データにアクセスするサービスやユーザー・アカウントなど）のレイヤーを追加することで、これを実現します。
• データ損失防止(DLP)–DLPツールは、従来のSIEMと同様に、組織の機密データに関連するすべての異常なイベントについて大量のアラートを作成します。UEBAツールは、複数のツールからのデータを使用してリスクスコアを計算し、どのイベントが異常な行動を表しているかを示すことで、DLPアラートに優先順位を付けて統合できます。UEBAは、インシデントのタイムラインにDLPアラートを配置することもでき、インシデントの検証と調査に役立ちます。

---

最新のSIEMセキュリティにおけるSOAR

第3世代のSIEMソリューションにバンドルされているもう1つの新しい技術である、セキュリティ・オーケストレーション、自動化、レスポンス（SOAR）システムは、次のような主要機能を備えている：

• オーケストレーション-SOARは他のセキュリティソリューションと統合し、データを取得したり、プロアクティブなアクションを実行することができる。例えば、DNSツールを使用してメッセージの発信元を確認することで、電子メールの送信者に悪い評判があるかどうかを調査することができます。
• 自動化-SOARでは、セキュリティ運用のワークフローを成文化したセキュリティプレイブックを定義することができる。既知のタイプのセキュリティ・インシデントが発生すると、プレイブックを起動し、マルウェアとして識別されたファイルをスキャンし、サンドボックス内で爆発させるなどの緩和措置を自動的に取ることができる。
• インシデント管理とコラボレーション -SIEM がセキュリティアラートを生成すると、SIEM の SOAR コンポーネントは、アナリストが問題を調査するのに役立つコンテキスト情報と証拠を追加し、この情報をインシデントタイムラインに整理して理解しやすくすることができます。また、アナリストが調査の一環として発見した洞察や追加データを共同で追加することもできます。

---

SIEMソフトウェアの評価

SIEMソリューションを評価する際には、以下の段階を踏むことをお勧めする：

1.次世代SIEMの機能

第3世代のSIEMセキュリティ・ソリューションは、最も価値が高く、導入コストと運用コストを削減します。ソリューションが以下を提供しているかどうかを確認してください：

• UEBA - 行動異常を判断するための高度な分析
• SOAR - インシデントレスポンスの自動化とオーケストレーション
• ダッシュボードとビジュアライゼーション
• 柔軟な検索、クエリ、データ探索
• 長期間のデータ保持と無制限の拡張性
• 脅威ハンティング・インターフェース

2.オープンソースと商用、インハウスとホスティングSIEM

どのタイプのSIEMセキュリティ・ソリューションが組織に最も適しているかを検討する：

• オープンソース vs 商用- オープンソースのツールは、初期コストは低いが、継続的なメンテナンスコストが高く、機能も限られている。
• 構築と購入の比較 -一部の組織では、ELKスタック（Elasticsearch、Logstash、Kibana）などのオープンソースツールを使用してSIEMソリューションを構築している。ELKは主にログ管理インフラであり、セキュリティシステムではないため、セキュリティコンテンツを実装、維持、調整、統合するために大規模な投資が必要になります。
• (1)自社でホストし、自社で管理する（従来のモデル）、(2)クラウド上でホストし、社内のセキュリティ担当者が管理する、(3)自社でホストし、社内のセキュリティ担当者とマネージド・セキュリティ・サービス・プロバイダー（MSSP）を組み合わせて管理する、(4)クラウド上のサービスとしてSIEMを提供し、ローカルでセキュリティ管理を行う。

3.総所有コスト（TCO）の評価

SIEMは、調達と運用にコストがかかる複雑なセキュリティ・インフラストラクチャです。一般的に、SIEMには以下の予算項目が含まれます：

• CAPEX予算項目 -ライセンス、開発、トレーニング、ハードウェア、ストレージ。
• OPEX予算項目 -SIEMアラートをレビューするセキュリティアナリスト、ITメンテナンス、新しいITシステムとの統合、ストレージコスト。

SIEM導入のTCOを正確に見積もるためのヒントをいくつか紹介しよう：

• ライセンス -利用可能な SIEM ソリューションが採用しているライセンスモデルを確認する。市場に新しく参入した企業の中には、ユーザーベースの価格設定を提供しているところもあり、ライセンスコストに上限を設けている場合もあります。
• ハードウェアのコストとサイズ -SIEM設備には、サードパーティやソリューションプロバイダのフィードを含む脅威インテリジェンスフィードへの接続が含まれます。通常、孤立したフィードは固有の脅威データを保持しているため、多くのフィードからの情報を利用することで、ソリューションを最適に活用することができます。
• ストレージコスト -クラウドやマネージドSIEMを導入する場合でも、通常、規模を拡大するにつれてストレージの費用が必要になり、過去のデータ保持のための追加費用が発生します。
• 社内アナリスト -SIEM の最大の運用コストはアナリストの時間です。SIEMのアラートをレビューして調査する熟練した人材がいるかどうかを判断し、いない場合はMSSPへのアウトソーシングを検討します。UEBA や SOAR テクノロジーを含む最新の SIEM は、運用コストが低い可能性があります。

---

SIEM導入のベストプラクティス

1.データとその活用法を知る

これには、導入前にログデータのサイズ、動作、頻度、種類を理解することが含まれる。どのようなデータが利用可能で、データはどこから来ているのか、システム、スイッチ、ルーターなど、どのように転送されているのかを知る必要があります。

また、SIEM システムを導入する理由とプロジェクトの目的も明確にしてください。SIEM 戦略は日常業務をサポートしますか？セキュリティと脅威検出目的のログ維持のためですか？それともコンプライアンス遵守のためですか？

2.コンプライアンスに必要なルールを確立する

どの業界標準や規制が適用され、SIEM がコンプライアンス監査やレポートでどのように役立つかを確立する。基本的なコンプライアンス要件を把握するために、ベースライン相関ルールを定義する。次世代SIEMテクノロジー、特にUEBAを活用し、より優れた脅威検知と継続的なメンテナンスを容易にする。

3.相関ルールをUEBAで補強する

従来のSIEMの相関ルールは、あなたが探すように指示したものしか探しません。基本的な攻撃シナリオを捕捉するルールを定義することは重要ですが、今日のセキュリティ環境では、関連する脅威をすべて捕捉するにはルールだけでは不十分です。さらに、相関ルールは多くの誤検出を引き起こし、セキュリティ・アナリストに負担をかけます。

相関ルールを定義し、そのルールが誤検知を多く発生させるかどうかを監視することを推奨する。誤検出が多い場合は、ルールを削除し、UEBA を使用して、関連するシス テム運用の行動ベースラインを確立し、そのベースラインから重大な異常を特定す ることを検討する。内部脅威など、ルールで簡単に説明できないセキュリティシナリオについては、まず UEBA を使用する。

---

UEBAとSOARを組み込んだ次世代SIEMの例

Exabeamは、導入と利用が容易な第3世代のSIEMプラットフォームです。ガートナー社のSIEMモデル改訂版に準拠した高度な機能を備えています：

• Advanced Analyticsおよびフォレンジック分析 -機械学習に基づく行動分析による脅威の特定、疑わしい個人を特定するためのピアおよびエンティティの動的なグループ化、および横方向の動きの検出。
• データ探索報告および保持- 最新のデータレイク・テクノロジーを活用し、セキュリティ・アナリストが必要なログをすばやく見つけられるよう、コンテキストを考慮したログ解析機能を備えています。
• 脅威ハンティング-ポイント・アンド・クリックの脅威ハンティング・インターフェイスを使用して、アナリストが積極的に脅威を探し出せるようにし、SQLやNLP処理なしで自然言語を使用してルールやクエリを構築できるようにします。
• インシデント・レスポンスとSOCの自動化 -インシデント・レスポンスへの一元的なアプローチにより、何百ものツールからデータを収集し、セキュリティ・プレイブックを介してさまざまなタイプのインシデントへの対応を編成します。Exabeamは、調査、封じ込め、緩和のワークフローを自動化します。