コンテンツへスキップ

仕事の未来を守る:Google Cloudによるエージェントの行動分析ブログを読む

デモを見る

現代の脅威環境におけるSIEMの10の使用例

  • 10分で読む

目次

    セキュリティ情報・イベント管理(SIEM)システムは、企業全体のセキュリティ・データを集約し、セキュリティ・チームがセキュリティ・インシデントを検出して対応するのを支援し、セキュリティ関連のイベントに関するコンプライアンスや規制に関するレポートを作成します。SIEM は企業全体のデータにアクセスできる中核的なセキュリティ・インフラストラクチャであるため、SIEM には多種多様な使用事例があります。

    以下は、コンプライアンスなどの伝統的な用途から、内部脅威の検出やIoTセキュリティなどの最先端の用途まで、一般的なSIEMの使用例です。

    この用語解説について:

    このコンテンツは、SIEMのセキュリティに関するシリーズの一部です。

    SIEMの使用例コンプライアンス

    PCIコンプライアンス向けSIEM

    Payment Card Industry Data Security Standard(PCI DSS)は、クレジットカード会員のデータを盗難や悪用から保護するために策定されました。PCI DSSは、企業がこの種のデータの保護を強化すべき12のセキュリティ分野を定義しています。この要件は、加盟店、プロセッサー、サードパーティ・サービス・プロバイダーなど、クレジットカード処理に関わるすべての人に適用されます。

    SIEMがPCIコンプライアンスに役立つ5つの方法:

    1. 周辺セキュリティ不正なネットワーク接続を検出し、変更管理と関連付け、安全でないプロトコルやサービスを検索し、DMZを通過するトラフィックの流れをチェックする。
    2. ユーザーIDユーザー認証情報の変更につながるあらゆるイベント、および終了したユーザーによるアクティビティを監視する。
    3. リアルタイム脅威検知-アンチウイルスのログを監視し、安全でないポートやサービスを監視し、脅威インテリジェンスと関連付ける。
    4. 生産およびデータシステム本番システムのdev/testまたはデフォルトの認証情報、レプリカなどを検索する。
    5. 監査と報告特定の PCI ログ要件を含むシステムおよびセキュリティ・ログの収集、PCI レポートに適した形式での監査、コンプライアンス・レポートの作成。

    GDPRコンプライアンスのためのSIEM

    一般データ保護規則(GDPR)は、個人情報(PII)のセキュリティとプライバシーを保護するための欧州の新しい枠組みであり、2018年5月に施行された。GDPRは、EU市民の個人データを保存、管理、処理するあらゆる法人に適用され、IPアドレスやユーザー名などの個人データと、生体データや遺伝子データなどの機微(センシティブ)個人データの2つのカテゴリーに焦点を当てている。

    SIEMがGDPRコンプライアンスに役立つ5つの方法

    1. デザインによるデータ保護ユーザーデータが適切に処理されたことを示すために、セキュリティ管理を検証および監査すること。
    2. ログデータの可視性ログ情報への構造化されたアクセスを提供し、個々のデータ所有者への報告を可能にする。
    3. GDPRのロギングと監査認証情報、セキュリティグループなどへの重要な変更を監視し、PIIを保存するデータベースやサーバーを監査し、機密データを保存する資産を自動的に追跡する。
    4. 違反通知データ漏えいを検知し、セキュリティスタッフに警告を発し、インシデントを分析して影響を完全に明らかにし、GDPRが要求する詳細なレポートを迅速に作成する。
    5. データ処理-個人データに関連するイベントを特定し、データへの変更を監査し、GDPRの要求に従ってレポートを作成します。

    警告ログデータには個人情報が含まれる可能性があるため、SIEM自体がGDPR上のリスクになり得る。GDPRは「正当な利益」のためにデータを保持することを認めており(第6条)、セキュリティ目的でログファイルを保持することを認めている場合があります。GDPRの規定に基づいてSIEMに保持できるデータ、または保持できないデータを理解するために、法律顧問に相談してください。

    HIPAAコンプライアンスのためのSIEM

    HIPAAは、健康情報を電子形式で送信する組織に関する米国の基準である。一人の医師から全国規模の医療機関まで、あらゆる規模の組織に適用される。HIPAAのSecurity Managementプロセス標準は、組織に対し、リスク分析、リスク管理、データ漏洩に対する制裁方針、情報システム活動レビューの実施を要求している。

    SIEMがHIPAAコンプライアンスに役立つ9つの方法

    1. Security Managementプロセス新たなIT資産の発見、リスクのあるシステムの特定、システムファイルへのアクセス、重要なシステムにおけるユーザーアクティビティと権限の監視
    2. 従業員アクセス重要なファイルやデータへのアクセスを監視し、ログインの試行や終了したユーザーからのログインをキャプチャします。
    3. 情報アクセス管理ログオンの成功と失敗、権限の昇格、ユーザーアカウントの変更を特定する。
    4. セキュリティ教育脆弱性やマルウェアの検出、アンチウイルスのないシステムの検出、セキュリティ機器や重要システムへのログオンの監視。
    5. セキュリティ事件脅威を自動的に検出し、アラートを生成して優先順位を付け、脅威の調査を可能にし、インシデントへの自動応答を編成する。
    6. アクセス・コントロール認証情報と権限の変更、セッションのタイムアウト、暗号化設定の変更を監視する。
    7. 監査統制ポリシーの変更、データ漏洩Protection (DLP) イベント、ファイルの整合性、保護されたデータのログ分析を監視します。
    8. データ整合性-健康情報の変更およびデータポリシーの変更を監視する。
    9. トランスミッション・セキュリティー健康情報を含むアプリケーションやストレージに対する不正な通信や変更の試みを特定する。

    SOX法準拠のためのSIEM

    2002年サーベンス・オクスリー法(SOX法)は、米国の公開企業の取締役会、経営陣、会計事務所に対する要件を定めた規制である。エンロンやワールドコムなど、いくつかの企業会計スキャンダルの反動として制定された。SOX法を遵守するためにIT組織が一般的に使用するフレームワークは、次の2つである。COSOそしてコビット.

    SOX法は、組織がSOX法報告手続きを通じて経営陣に情報を提供し、それを証明できるようにすることに重点を置いている:

    • どこ機密データが保存されている
    • 誰がアクセスできるか
    • 何が起こったのか

    SIEMは、このようなデータを収集し、SOX法監査のために記録するのに役立つ。

    SIEMがSOXコンプライアンスと監査に役立つ5つの方法

    1. セキュリティ方針と基準情報セキュリティポリシー(例えば、電子メールセキュリティポリシー)や標準(例えば、Windowsデスクトップマシンのセキュリティの標準的な方法)を追跡する。SIEMは、どのITシステムがポリシーや標準に準拠しているかを特定し、違反についてリアルタイムで警告することができる。
    2. アクセスと認証アカウントの作成、変更要求、および解雇された従業員による活動の監視。
    3. ネットワーク・セキュリティファイアウォールやその他のエッジ・セキュリティ・デバイスからのアラートを監視し、ネットワーク・トラフィックにおける既知の攻撃パターンを特定する。
    4. ログ監視セキュリティイベントを集約し、無効なログイン試行、ポートスキャン、権限昇格などのアラートを出す。
    5. 職務分掌 -SOX法では、一人の担当者が最初から最後までデータプロセス全体を管理しないことを求めている。SIEMは、例えば、データ入力担当者が作成中のデータにのみアクセスし、他のデータを閲覧したり修正したりしないようにすることができます。

    エキスパートからのアドバイス

    Steve Moore

    スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech CouncilのメンバーExabeamのTEN18の共同創設者でもあります。

    私の経験から、コンプライアンス、内部脅威の検知、高度な脅威の探索など、SIEMシステムの多様なユースケースを効果的に導入し、最大限に活用するためのヒントを紹介する:

    コンプライアンスと調査のためのデータ保持の最適化
    階層型ストレージ戦略を使用し、コンプライアンス監査用の重要なログをホットストレージに保持する一方で、重要度の低いデータをアーカイブします。保持ポリシーがGDPRのデータ保護義務などの規制要件を満たすようにする。

    SIEM 構成をコンプライアンスフレームワークにマッピングする
    コンプライアンス基準(PCI DSS、GDPR、HIPAA など)ごとに、特定のロギング要件とレポート要件を特定します。たとえば、HIPAA の場合は終了したアカウントを監視する、GDPR の場合はデータ処理ログを取得するなど、これらのニーズに合わせて SIEM を構成します。

    インサイダー脅威に対するリスクベースのアラートの実装
    UEBA(User and Entity Behavior Analytics)を使用して、ユーザの行動にリスクスコアを割り当てます。権限の昇格や横移動など、リスクの高い行動に焦点を当てることで、ノイズを最小限に抑え、悪意のある内部関係者をより効果的に検出します。

    IoT デバイスに合わせたベースラインを確立する
    IoT デバイスは予測可能な挙動を示すため、SIEM を使用してデバイス固有のベースラインを作成します。予期しないネットワークトラフィックパターンや不正な通信の試行などの逸脱にフラグを立てる。

    外部の脅威インテリジェンスフィードを統合してコンテキストを作成
    SIEMアラートをリアルタイムの脅威インテリジェンスで強化します。フィードを使用して、IPやドメインなどの既知の侵害指標(IOC)をセキュリティデータと関連付け、より迅速な検証と対応を実現します。

    SIEMの使用例:信頼できるエンティティからの保護にSIEMを活用する

    内部脅威

    Verizon Data Breach Investigation Reportに掲載された内部脅威の統計によると、セキュリティ侵害の原因トップ5のうち3つが内部脅威と関連しており、内部脅威は数カ月(42%)、あるいは数年(38%)にわたって発見されない。

    インサイダー脅威の検知は困難です。脅威の主体が正当なユーザーに見えるため、ほとんどのセキュリティツールではアラートが鳴りません。しかし、SIEMは行動分析によって内部脅威の指標を発見し、セキュリティチームが攻撃を特定して緩和するのに役立ちます。

    内部セキュリティの脅威、とりわけインサイダーの脅威に対する認識は高まっている:

    • 悪意のある内部者-組織の従業員、元従業員、請負業者、関係者から発生するセキュリティ上の脅威。
    • 侵害された内部関係者-内部関係者の認証情報を入手した外部組織

    SIEMがインサイダーの脅威を阻止する6つの方法

    1. 危殆化したユーザ資格情報の検出 - SIEM は行動分析を使用して、危殆化を示すユーザの異常な行動を検出できる。例えば、通常とは異なる時間帯や頻度でのログイン、通常とは異なるデータやシステムへのアクセスなどです。
    2. Anomalous権限昇格-SIEMは、重要なシステムの権限を変更したり、エスカレートしたりするユーザーを検出することができる。
    3. コマンド・アンド・コントロール通信 -SIEMは、ネットワーク・トラフィックと脅威インテリジェンスを相関させ、外部の攻撃者と通信しているマルウェアを発見することができます。これは侵害されたユーザー・アカウントの兆候です。
    4. データ流出 - SIEMは行動分析を使って、USBメモリーの挿入、個人的な電子メールサービスの使用、不正なクラウドストレージ、過剰な印刷など、一見無関係に見える事象を組み合わせて分析することができる。
    5. 迅速な暗号化 - SIEMは大量のデータの暗号化を検知し、停止させることができる。これは、しばしば侵害された内部関係者から発生するランサムウェア攻撃を示している可能性があります。
    6. 横方向の動き攻撃を行うインサイダーは、ターゲットに向かう途中でアカウント、マシン、IPアドレスを切り替えようとする可能性がある。SIEMは複数のITシステムを幅広く把握しているため、このような挙動を検知できる。

    次世代SIEM

    このセクションと次のセクションにある機能のほとんどは、User Entity行動分析(UEBA)を組み合わせた次世代SIEMによって実現されている。UEBAテクノロジーは、機械学習と行動プロファイリングを使用して、ITユーザーとシステムのベースラインを確立し、従来のSIEMで使用されていたルールや統計的相関関係を超えて、インテリジェントに異常を特定します。

    高度な特権アクセス濫用

    特権アクセスの乱用は、組織におけるアクセス制御のギャップに起因する複雑な問題である。ITシステムにアクセスできるユーザーは、業務に必要な以上のアクセス権限を持っているため、望ましくない行為を行うことができる。Verizon 2017 Data Breach Investigation Reportによると、特権アクセス乱用はデータ漏洩の第3位、セキュリティインシデントの第2位の原因となっている。

    SIEMが特権アクセスの不正使用を阻止する5つの方法

    1. 不要な活動機密データへの不審なアクセスを監視し、報告する。
    2. 第三者による違反組織のシステムにアクセスできる外部のベンダーやパートナーによる活動を監視し、異常な行動や権限の昇格を特定する。
    3. 退社した従業員終了したユーザーアカウントによる活動や、通常は非アクティブであるアカウントでの予期せぬ活動を警告する。
    4. ヒューマンエラー大量のデータの削除など、人為的なミスによる災害の可能性がある異常なアクティビティに対して警告を発する。
    5. 露出過多通常の利用プロファイルに含まれないシステムやデータにアクセスしているユーザーに関するレポート。

    信頼されたホストとエンティティの侵害

    攻撃者が組織ネットワーク内のユーザー認証情報やホストをコントロールし、数カ月から数年にわたってこっそりと攻撃を実行することは非常によくあることです。Ponemon 2017 Cost of Data Breachesreportによると、米国企業がデータ侵害を検知するのに要した平均時間は206日だった。そのため、セキュリティ・チームの主要な目標は、攻撃を迅速に検知し、阻止することである。

    SIEMが信頼されたエンティティの侵害の検出と阻止に役立つ4つの方法

    1. ユーザーアカウント異常なアクティビティを特定し、それについて警告を発し、特権ユーザーアカウントが侵害されたかどうかを理解するために必要なデータを調査官に提供する。
    2. サーバーサーバ活動の信頼できるベースラインを作成し、このベースラインからの逸脱を検出してセキュリティ担当者に警告する。
    3. ネットワーク機器トラフィックを長期にわたって監視し、異常なスパイク、信頼できない通信ソース、安全でないプロトコル、その他の悪意のある動作の兆候を検出する。
    4. アンチウイルスの監視 - マルウェアはホスト侵害の一般的な入口です。SIEMはアンチウイルスのデプロイメントを幅広く監視し、保護機能の無効化、アンチウイルスの削除、脅威アップデートのステータスなどのイベントをレポートします。

    SIEMの使用例:高度なセキュリティ脅威の検知にSIEMを活用する

    脅威ハンティング

    脅威ハンティングとは、組織やネットワーク内のサイバー脅威を積極的に探し出すことである。脅威ハンティングは、セキュリティ・インシデントが発生した際に実施されるだけでなく、新たな未知の攻撃や侵害を発見するためにプロアクティブに実施されることもある。TheSANS Instituteの2017年の調査によると、45%の組織がアドホックまたは定期的に脅威ハントを行っている。脅威ハンティングには、組織全体からのセキュリティ・データへの広範なアクセスが必要であり、これはSIEMによって提供することができる。

    SIEMが脅威ハンティングに役立つ7つの方法

    1. セキュリティ・システムからの警告潜在的なインシデントの調査に役立つコンテキストとデータを提供する実用的なアラートを配信します。
    2. 環境の異常相関分析と行動分析を使ってITシステムの異常を特定する
    3. 新たな脆弱性新たな脆弱性をめぐるデータの整理-タイムライン、影響を受けるシステム、データ、ユーザー。
    4. 同業者やメディアからの情報既知の攻撃に類似した攻撃パターンやシグネチャを過去のデータから検索する。
    5. 脅威インテリジェンス–脅威インテリジェンスとセキュリティデータを組み合わせて、ITシステムへの攻撃をインテリジェントに検出します。
    6. 既知のリスクに基づく仮説アナリストが仮説を立て、SIEMのセキュリティデータを調査して検証するのを支援する。
    7. 類似事件以前にもこのようなことがあったかどうか」を確認する-現在または過去のセキュリティインシデントに類似したパターンがないか、セキュリティデータを検索する。

    データ流出の検出

    データ流出は、機密データが組織の外部に不正に転送されることで発生する。これは、ユーザーがインターネット経由でデータを転送したり、物理デバイスにコピーして社外に移動したりする際に手動で発生する場合と、マルウェアがローカルシステムに感染した結果として自動的に発生する場合があります。

    SIEMがデータ流出の防止に役立つ6つの方法

    1. バックドア、ルートキット、ボットネットコマンド・コントロール・センターへのネットワーク・トラフィックを検出し、不正な関係者にデータを送信している感染したシステムを特定する。
    2. FTPとクラウドストレージ大容量のデータ転送を容易にするプロトコルでネットワーク・トラフィックを監視し、異常な量やファイル・タイプが転送されている場合、またはターゲットが不明な場合や悪意のある場合に警告を発する。
    3. ウェブアプリケーション部外者による組織のウェブ・アプリケーションの使用、または機密データへのダウンロードやブラウザ・アクセスを伴う可能性のある外部ウェブ・アプリケーションの内部使用を監視する。
    4. 電子メールの転送指定された受信者以外のエンティティに転送または送信された電子メールを検出する。
    5. 横方向への移動 - データ流出には通常、攻撃者が特権の昇格を試みたり、他のITシステムにアクセスしたりして、有利なターゲットに向かうことが含まれます。SIEMは、複数のITシステムからのデータを相関させることで、横方向の動きを検出することができます。
    6. モバイル・データ・セキュリティ -SIEMは、モバイル従業員からのデータを監視し、モバイル・デバイス経由の情報漏洩を示す可能性のある異常を特定することができる。

    IoTセキュリティ

    多くの組織が、重要な業務を管理するためにコネクテッド・デバイスを使用している。例えば、ネットワークに接続された医療機器、産業用機械やセンサー、電力網のインフラなどである。モノのインターネット(IoT)デバイスはセキュリティを考慮して設計されておらず、その多くが脆弱性に悩まされている。これらの脆弱性は、デバイスがすでにフィールドに配備されると、修正するのが難しくなります。

    SIEMがIoT脅威の軽減に役立つ6つの方法

    1. サービス拒否(DoS)攻撃-。組織が所有するIoTデバイスからの異常なトラフィックを特定し、攻撃者が攻撃を実行するために活用する可能性がある。
    2. IoT脆弱性管理IoTデバイス上の古いOS、パッチ未適用の脆弱性、安全でないプロトコルを検出する。
    3. アクセス・コントロール誰がIoTデバイスにアクセスしているのか、どこに接続しているのかを監視し、接続元や接続先が不明または疑わしい場合に警告を発する。
    4. データフローの監視 - 多くのIoT デバイスは暗号化されていないプロトコルで通信しており、機密データを転送する手段として使用される可能性があります。SIEMは、IoTデバイスとの間の異常なデータフローを監視し、セキュリティ担当者に警告することができます。
    5. 危険にさらされている機器セキュリティの脆弱性、機密データへのアクセス、または重要な機能により危険にさらされているデバイスを特定する。
    6. 侵害されたデバイスIoTデバイスの異常な動作や不審な動作を特定し、デバイスまたはデバイス群が侵害されたことをセキュリティスタッフに警告する。

    次世代SIEM技術と先進ユースケース

    次世代セキュリティ情報・イベント管理(SIEM)ソリューションは、高度な分析および自動化ツールと統合されたSIEMプラットフォームというガートナーのビジョンに沿って構築されており、これらの高度なユースケースの多くを可能にします。具体的には、User Entity行動分析(UEBA)テクノロジーは、従来のセキュリティツールがアラートを1つも発しない場合でも、内部脅威の検出、より高度な脅威ハンティングの実行、データ流出の防止、IoT脅威の緩和を可能にします。

    ExabeamのSecurity Intelligence Platformは、次のような機能を統合した次世代SIEMの一例です。Advanced Analytics UEBAテクノロジーに基づく-従来の相関ルールでは捕捉できなかった内部脅威の自動検知や異常行動の緩和を可能にする。

    その他のSIEMセキュリティ解説

    SIEMセキュリティ入門:進化と次世代機能

    SOCとSIEM:SOCにおけるSIEMソリューションの役割

    インシデント対応の自動化と SOAR によるセキュリティ・オーケストレーション

    次世代SIEMを活用したサイバー脅威との戦い脅威インテリジェンス

    SecOps 成功のための5つの機能とベストプラクティス

    SIEMとSOC:4つの主な違いと連携方法

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamプラットフォームについて学び、情報セキュリティに関する知識を深めてください。

    • ホワイトペーパー

      脅威検知、調査、対応 (TDIR)のアーキテクチャ設計

      今すぐ読む
    • ブログ

      最近のランサムウェアキャンペーンを紐解く:分析と検知戦略

      今すぐ読む
    • ウェビナー

      New-Scale Security Operations Platform:2025年7月 四季報創刊

      今すぐ登録
    • ウェビナー

      LogRhythm SIEM:2025年7月 四季報創刊

      今すぐ登録
    • もっと見る