SIEMソフトウェア：基本、次世代機能、選び方

セキュリティ情報・イベント管理（SIEM）ソフトウェアとは？

セキュリティ情報・イベント管理（SIEM）ソフトウェアは、一元化されたプラットフォームを通じて提供される一連のセキュリティ機能を提供する。SIEMは、脅威検知、調査、レスポンス（TDIR）の取り組みを、ログ集約とイベント閲覧の一箇所に集中させることを可能にします。SIEMは、セキュリティチームとIT運用チームが同じ情報やアラートにアクセスできるようにし、より効果的な計画とコミュニケーションを可能にします。

SIEM ソフトウェアは、インフラストラクチャとユーザーを監視し、異常を特定して関係者に警告するために必要な機能を提供します。異常は、新たに発見された脆弱性、新しいマルウェア、または承認されていないアクセスを示す可能性がある。

SIEMツールは、アラートに加えて、組織のセキュリティ態勢のライブ分析を提供する。また、レポーティングや分析の目的で記録やログを保存する。チームは過去のログを活用し、フォレンジック分析機能を使用して傾向を特定することができます。許可された関係者だけが機密システムにアクセスできるようにするため、SIEM ソフトウェアはアイデンティティ・アクセス管理（IAM）ツールと統合されています。

SIEMソフトウェアの基本機能

以下は、従来の（レガシーな）SIEMソフトウェアの中核機能である：

• ログ集約 -SIEMは、複数のITおよびセキュリティ・システムからログを取り込み、ログ集約を実行して、すべてのセキュリティ・データの単一の真実のソースを作成し、ログ・データを一元化されたリポジトリに保存します。詳細については、ログ集約に関する詳細な説明をご覧ください。
• ログの正規化 -SIEM は、複数のソースからのログやイベントを標準化されたフォーマットに変換する正規化アルゴリズムを採用しています。データは、分析、検索、およびセキュリティ調査に関連する共通の特徴の識別を可能にするフィールドに分割されます。
• ログの相関 -SIEM は統計分析と相関ルールを使用して、セキュリティ上重要な異常やイベントを特定します。SIEMはまた、ログ、ディレクトリ、セキュリティ・システムからのデータを脅威インテリジェンス・フィードと組み合わせることで、データを充実させ、攻撃や脅威行為に関するより詳細なコンテキストを提供することができます。詳しくは、SIEM脅威インテリジェンスの詳細ガイドをご覧ください。
• アラート -SIEM はログデータをリアルタイムで分析し、実用的なアラートを生成します。従来のSIEMは、大量のアラートを生成する傾向があり、セキュリティ・チームのアラート疲労につながる可能性があります。この問題は、次世代SIEMの機能によって解決されます。
• トリアージと調査 -SIEMシステムは、便利で検索可能な形式にパッケージ化された複数の関連ソースからのデータへのアクセスをアナリストに提供することで、インシデントの迅速な調査をサポートします。しかし、それでもなお、綿密な分析とデータソースの手作業による相関関係が必要です。次世代SIEMシステムは、自動化されたインシデント・タイムラインを作成することで、さらに一歩進んでいます（次のセクションを参照）。
• フォレンジック -SIEM システムは詳細なフォレンジック調査をサポートします。これは、セキュリティイベントの根本原因を特定するため、法律や警察の調査のためのデータを提供するため、またはコンプライアンス目的のために必要となる場合があります。フォレンジックをサポートするために、SIEM は不変性を保証し、データが改ざんされていないことを保証します。
• コンプライアンスと監査-SIEMの中核的な機能は、GDPR、PCI DSS、SOX、HIPAAなどの特定のコンプライアンス基準で要求される形式でレポートを生成することである。これは内部監査や、外部監査や認証のフォーマット要件に準拠するために役立ちます。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

ここでは、次世代SIEMソリューションに関する考慮事項を含め、SIEMソフトウェアの価値を最大化するための高度な戦略を紹介する：

クラウドネイティブSIEMでスケーラビリティを計画する
データ量の増加やハイブリッド環境を抱える組織にとって、クラウドネイティブSIEMは物理インフラのオーバーヘッドなしにスケーラビリティを提供する。また、Exabeam Fusionのようなプラットフォームは、費用対効果の高い長期的なログ保存のための弾力的なデータレイクを提供します。

ユースケースを重視した導入
SIEMの導入は、組織のセキュリティ上の優先事項に合わせて調整する。例えば、内部脅威が懸念される場合は、セットアップ時にUser and Entity Behavioral Analytics (UEBA) を重視する。コンプライアンスを重視する業界では、堅牢なレポート機能を優先する。

脅威インテリジェンスを統合して分析を強化
SIEMを外部の脅威インテリジェンスフィードに接続します。これにより、イベントを文脈化してIoC（侵害の兆候）を特定する機能が強化され、脅威の検出精度が向上します。

自動化されたインシデント・タイムラインの活用
Exabeam Fusionなど、インシデントの視覚的なタイムラインを作成する SIEM ソリューションを選択します。これらのタイムラインは、攻撃のエンドツーエンドの可視性を提供し、若手アナリストの調査時間を短縮します。

アダプティブ・アラート・チューニングの導入
誤検知や脅威の進化に基づいて、アラートのしきい値を継続的に見直し、改善します。アラートトリアージのような次世代 SIEM 機能を使用して、重大度別にアラートをグループ化し、優先順位を付けることで、重要な問題に直ちに対処できるようにします。

次世代SIEMの機能

Gartner社や業界関係者は、次世代SIEMプラットフォームの機能を定義するものとして、以下の機能を挙げている。

クラウド・デリバリー

SIEMプラットフォームは、構内に導入するのではなく、クラウドをベースとし、サービスとして提供されるケースが増えている。クラウドベースのSIEMは、運用コストを削減し、導入の複雑さを軽減することができる。さらに、分散したIT環境に適しており、従来のネットワーク境界の外側にある物理リソースや仮想リソースを監視するのに適している。

クラウドベースのSIEMは、弾力性のあるストレージを備えたクラウドベースのデータレイクを採用しているため、拡張性も高い。オンプレミスのストレージ機器をベースとした従来のSIEMでは、現代の企業が生成する大量のログデータに対応できないことが多いが、クラウドベースのデータレイクは、あらゆるデータ量と保存期間を保存できるようにオンデマンドで拡張できる。

あらゆる情報源からデータを収集し管理する

次世代SIEMは、統合を容易にするコネクターを内蔵し、より多様なデータソースを扱うことができる。これらのデータソースには以下のものが含まれる：

• クラウドサービスおよびクラウドリソースからのデータ
• モバイル機器などの外部機器からのデータ
• 従来のオンプレミスのログデータとネットワークデータ

User and Entity Behavioral Analytics

次世代SIEMは、ネットワーク上のユーザーとエンティティのベースラインまたは通常のアクティビティを確立し、行動分析、機械学習アルゴリズムに基づくプロファイリングを使用して異常を検出します。UEBAとしても知られるこの手法は、悪意のある内部関係者、漏洩した認証情報、既知の攻撃シグネチャに一致しないゼロデイ脅威を検出するのに極めて効果的です。

自動化された攻撃のタイムライン

従来のSIEMでは、アナリストは攻撃のタイムラインを理解するために複数のソースからデータをつなぎ合わせる必要がありました。これには時間がかかり、多くの場合、専門的な専門知識や、より高度な分析やエンジニアリング、あるいは外部のコンサルタントの関与が必要でした。次世代SIEMはこれを自動的に行い、攻撃のすべての要素をつなぎ合わせ、視覚的なタイムライン上に表示することができます。これにより、インシデントのトリアージと調査がスピードアップし、ティア1のアナリストはより複雑な調査に対応できるようになります。

セキュリティ・オーケストレーション＆オートメーション・レスポンス（SOAR）

次世代SIEMは、ITシステムを監視してアラートを生成するだけでなく、インシデントが発生した場合の対応も支援します。SOARテクノロジーにより、SIEMは以下のことが可能になります：

• ITおよびセキュリティ・インフラと双方向で接続する。データを引き出すだけでなく、関連するセキュリティ・アクションの要求をプッシュする。
• IDアクセス管理、電子メールサーバー、ファイアウォールなどのセキュリティシステムを直接制御する。
• インシデント対応プレイブックを使用して、脅威への対応を自動化する。
• 複数のシステム間の連携が必要な脅威に対して、複数のツールのオーケストレーションを可能にする。

SIEMソフトウェアの選択に関する考察

SIEMソリューションを選択する際には、以下の機能を考慮に入れるべきである。

クラウドとオンプレミスの比較

最新のSIEMソリューションの大半はSaaSモデルに移行している。その理由は、迅速な機能追加と反復が可能だからだ。クラウドはまた、データストレージの容量を無限に増やすことができるため、ベンダーは異常な行動を特定するために大量の参照データを必要とする機械学習（ML）機能を簡単に統合できる。

SIEMをオンプレミスに置いている多くの組織は、通常、コンプライアンスを達成し維持するために、そうすることを要求されている。このような組織は、ログと関連データをローカルのインフラストラクチャに保管する必要があるため、SIEM を完全にオンプレミスに導入することを選択する。

アナリティクス

SIEMソリューションはデータを一元化し、有用な洞察を提供する。インフラからログやイベントデータを収集するだけでは十分ではありません。この情報は、問題を特定し、関心のあるイベントを分類した上で、賢明な意思決定を行うのに役立つものでなければなりません。

ほとんどの次世代SIEMソフトウェアは、機械学習による分析機能を提供し、異常な挙動をリアルタイムで特定するのに役立ちます。さらに、MLは正確な早期警告システムを提供し、潜在的な脅威、新しいアプリケーション、またはネットワークエラーを詳しく調べるよう人的チームに促します。

ソリューションを選択する際には、いくつかの側面を考慮することができる。まず、監視が必要なシステムを決定する。次に、ダッシュボードやレポートを作成し、調査を実行するために社内で利用可能なスキルセットを評価します。次に、既存の分析プラットフォームを活用するかどうかを判断します。社内で利用できないスキルセットや機能がある場合は、そのギャップを埋めるプラットフォームの利用を検討します。

コスト見積もり

ほとんどのクラウドSIEMプラットフォームはサブスクリプション・ベースでライセンスされ、使用量やストレージ要件に応じて規模が調整される。コストを見積もる際には、サブスクリプション、ストレージ、使用料など、蓄積される可能性のあるすべての料金を詳細に評価する。理想的には、SIEMベンダーが概念実証評価時にキャパシティプランニングを支援してくれることです。コンプライアンスとガバナンスのために必要なストレージを必ず指定してください。

アラート設定

最新のSIEMソフトウェアは、高度なリアルタイム監視機能を提供している。監視システムから価値を引き出すには、人的チームにアラートと通知を送信するアラートシステムが必要です。通常、SIEMプラットフォームでは、テキストメッセージ、電子メール、モバイルデバイスへのプッシュ通知の形でアラートとエスカレーションを設定できます。

生産性を確保するためには、アラートの量を管理しやすい状態に保つ必要があります。あまりに多くの通知を受け取ったユーザーは、通常、通知を無効にするか無視します。しかし、アラートの数が少なすぎると、チームは重要な脅威を見逃してしまう可能性があります。理想的なのは、SIEMプラットフォームが柔軟なアラート設定機能を提供し、ルール、しきい値、アラート方法を設定できることです。次世代製品はこれをさらに一歩進め、貴重なアナリストの時間と労力を節約するために、アラートトリアージ、分類を提供します。

コンプライアンス規制と監査

SIEM プラットフォームは、コンプライアンスとレポーティングの取り組みをサポートします。SIEM ソフトウェアは、すぐに使えるレポート・テンプレートだけでなく、カスタマイズやレポート・スケジューリングを可能にする機能も提供します。理想的には、このプラットフォームは、ネットワーク内で発見されたポリシー違反だけでなく、コンプライアンスに反する活動に関する詳細なレポートを提供します。

また、SIEM を使用して、コンプライアンス監査用のイベントデータを取得することもできます。このイベントデータには、各システムやユーザーごとの過去のイベントデータや、ネットワークレベルで発生したイベントが含まれます。攻撃を封じ込めたりブロックしたりするには、脅威への対応や緩和策に関する情報も必要です。理想的には、各イベントのケース管理がツールセットの一部となり、イベント後の根本原因分析やコンプライアンス・チェックのためのプロセス評価が可能になります。

紹介Exabeam Fusion

次世代SIEMとXDRをリードするExabeam Fusionは、脅威検知、調査、レスポンス（TDIR）の提供方法を変革するクラウド提供ソリューションです。

Exabeam Fusionに組み込まれた強力な行動分析により、アナリストは他のツールで見逃された脅威を検出できます。処方的なワークフローと事前にパッケージ化されたコンテンツは、SOC の成果を成功に導くための次の適切なアクションをガイドします。また、統合されたレスポンス自動化機能により、アナリストの効率と精度を高めることができます。Exabeam Fusion SIEM、最新のSIEMに求められるクラウドベースのログストレージ、迅速かつガイド付きの検索、包括的なコンプライアンスレポートも提供します。

Fusion SIEMでは、以下のことが可能です：

• 迅速な脅威の検知、調査、対応
• どこからでもデータを収集、検索、強化
• 行動分析により、他のツールで見逃された脅威を検出
• 規定的で脅威中心のユースケース・パッケージで成果を上げる
• 自動化による生産性の向上と応答時間の短縮
• 規制コンプライアンスと監査報告要件を満たし、独自のカスタム報告書を作成できる。