SaaS型SIEMが必要な理由と5つの注意点

SaaS SIEMとは？

SaaSベースのセキュリティ情報・イベント管理（SIEM）ソリューションは、リアルタイムのモニタリング、セキュリティ・イベントの分析、コンプライアンス、監査、追跡を目的としたセキュリティ・データのロギングを提供し、そのすべてがクラウドベースのマネージド・ソリューションとして提供される。

SaaS（Software as a Service）モデルで提供される SIEM プラットフォームの人気が高まっている。サービスとしてのSIEMは、導入を簡素化し、SIEMソリューションの実装、管理、保守、拡張にかかる時間を短縮する機会を提供します。また、オンプレミスのソリューションと比較して、ライセンスの複雑さも軽減されます。

SaaS SIEM ソリューションは、セキュリティ・データを単一のガラスペインに集約し、ツール・スタックと保護対象リソース全体のセキュリティ状態を包括的に表示します。SaaS SIEM ソリューションは、機械学習（ML）と人工知能（AI）を使用して、脅威の検出とインシデント対応プロセスを自動化することで、ユーザーの行動異常を明らかにすることができます。

企業は SaaS ソリューションを活用し、潜在的なセキュリティ脆弱性や脅威が業務に支障をきたす前に特定します。セキュリティ・オペレーション・センター（SOC）は、日々のセキュリティおよびコンプライアンス管理にSIEMを採用しています。

クラウドSIEMのメリットとは？

コスト削減

オンプレミスの SIEM 導入を維持するには、特に大規模な組織では非常にコストがかかります。これらのコストには4つの重要な要素がある：

1. SIEMソリューションはローカルデータセンターに展開する必要があるため、ハードウェア要件がある。
2. ソフトウェアのライセンス費用は、ユーザー数、保存または処理されるデータ量、あるいはその組み合わせによって異なる。
3. 複数の支店や遠隔地からデータを収集し、専用のWANリンクを経由して中央のSIEMソースに送り返す必要がある。これらのWANリンクはセットアップにコストがかかり、SIEMシステムは他のサービスに利用できる帯域幅を減少させる。
4. ハードウェアもソフトウェアも、初期投資が必要であり、時間の経過とともに古くなり、組織からの追加投資が必要になる可能性がある。その結果、何年にもわたるSIEMシステムの総所有コストを予測することは困難となる。

SIEMプラットフォームをクラウドに移行することで、企業はこれらのコストをすべて排除し、予測可能な月単位のサブスクリプション・コストに置き換えることができる。

機能性の向上

クラウドベースのSIEMは、オンプレミスのソリューションと比較して、いくつかの重要な利点を企業に提供する：

• より容易な導入 -​ クラウドベースのSIEMは、組織の迅速な立ち上げと運用を支援する。企業がオンサイトのSIEMソリューションを導入する場合、システムを完全に稼働させるために長いオンボーディングプロセスが必要になることがあります。クラウドベースのSIEMソリューションを選択することで、テクノロジーをカスタマイズし、より迅速に導入することができます。
• ハイブリッド環境のサポート -SaaSベースのSIEMにより、企業はオンプレミスインフラとクラウドネイティブ資産からのイベントデータをより適切に統合できる。アクティビティとイベントの統合ビューは、ハイブリッドクラウドの展開において特に重要です。
• よりスムーズな学習曲線 - SIEMソリューションは、ソリューションの専門家によって適切に設定され、保守される必要がある複雑で困難なソリューションです。クラウドベースの SIEM ソリューションは、ソリューションの実装と保守作業を簡素化し、必要な専門知識のレベルや管理に必要なスタッフの数を削減します。
• アップデートが容易 -SaaSベースのSIEMでは、オペレーターがソフトウェアのアップデートを行う必要はありません。新機能の追加やバグの修正は自動的にアップデートされます。
• 弾力的なスケーラビリティ -SaaSベースのSIEMソリューションの多くは、柔軟な方法でデータやユーザーを追加し、組織をスケールアップすることができます。これには通常、クラウド・サービス・プロバイダーから追加容量を購入する必要がある。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、SaaS SIEMソリューションのメリットを最大化するためのヒントを紹介しよう：

DevOpsパイプラインとの統合
SIEMでCI/CDパイプライン、Kubernetesクラスタ、サーバーレス機能を監視し、DevOpsワークフローにおける脆弱性や脅威を検出できるようにします。

マルチクラウドとの互換性の確認
組織がマルチクラウド環境で運用されている場合、SaaS SIEM がすべてのクラウドプロバイダーからログとイベントをシームレスに取り込み、統一されたセキュリティ体制を維持できることを確認します。

エージェントベースとエージェントレスのデータ収集を賢く使い分ける
より詳細なログの粒度を得るためにエージェントを導入するタイミングと、クラウド環境でより迅速に導入するためにエージェントレスを使用するタイミングを見極める。これらのバランスをとることで、パフォーマンスとカバレッジを最適化できます。

グローバルなデータ主権法への準拠を優先
特にGDPRやCCPAのような厳格な法律がある地域で運用する場合は、データレジデンシー要件へのコンプライアンスを明確にサポートしているSaaS型SIEMを選択する。

弾力的なスケーラビリティを活用してコストを最適化
SaaS SIEMのスケーラビリティ機能を活用し、ピーク時やテスト段階で規模を縮小することで、コストと需要を一致させ、不要なコストを削減します。

SaaS型SIEMソリューションの選び方とは？

地理的位置とデータの保存場所の決定

データがどこに保存されているかを知ることは重要です。これは、データ・セキュリティ、サービスの可用性、法的なデータ残存要件を満たす能力、ソリューションが既存および将来の環境にどのように統合できるかに影響します。重要な質問には以下が含まれます：

• ソリューションがパブリック・クラウド・プロバイダーに基づいているかどうか、またどのプロバイダーに基づいているか。
• お客様のデータがどの地域に保存されるかを管理できますか？
• オンプレミス・システムからクラウドへのデータ移行の選択肢は？

真のSaaSソリューションかどうかを見極める

多くのSIEMソリューション・ベンダーは、自社のソリューションがSaaSであると主張しているが、実際には同じオンプレミス・ソフトウェアのホスト版である可能性がある。例えば、ベンダーは自社のデータセンターやパブリッククラウドにソフトウェアのインスタンスを手動でインストールし、スタンドアロンインスタンスとして管理し、ネットワーク経由でユーザーに配信することができる。

このホスティング・モデルも有益ではあるが、ソリューションのスケーラビリティは単一インスタンスで可能な最大規模に制限される。価格設定もオンプレミスモデルと同様です。重要なのは、購入しようとしているソリューションがホスティング型なのか、それとも真のエラスティックSaaSサービスなのかを明確にすることです。

データの収集とSIEMへの転送方法を特定する

SIEMソリューションは、さまざまな技術的手法で顧客の環境からデータを収集し、クラウド環境に送信してログの収集、管理、分析、検索を行う。

ファイアウォール、エンドポイントプロテクションプラットフォーム（EPP）、ルーター、スイッチ、オンプレミスサーバーなどの監視対象資産は、プロバイダー環境で処理するために、ログイベントやその他のデータを収集、パッケージ化、圧縮、保護する必要がある。これは、オンプレミス環境に中央ログ集約コンポーネントを配備するか、特定のデバイスからログを収集するエージェントを配備するか、または何らかの組み合わせによって管理することができる。

SIEMがベンダーの他の製品とどのように相互作用するかを理解する

SIEMベンダーの中には、プラットフォーム・アプローチを採用し、SIEMをエンドポイント検知・対応（EDR）、ファイル整合性監視（FIM）、データ損失防止（DLP）、脆弱性評価などの他のソリューションとともに提供しているところもある。これらの追加テクノロジーは、顧客環境またはクラウドに導入されるかもしれない。これらは個別のコンポーネントとして、あるいはコアSIEMプラットフォームのアドオンモジュールとして導入される可能性がある。重要な質問には以下が含まれる：

• ベンダーが提供する追加的なセキュリティ・コンポーネントはあるか、ソリューションに含まれているか、そのコストは？
• SIEMはこれらのソリューションをどのようにサポートし、統合するのか？
• SIEMやその機能は、これらの追加ソリューションに依存していますか？

高可用性保証を理解する

SaaS ベースの SIEM は、インターネットを使用して配信されます（ネットワークに直接接続できる場合もあります）。SIEMベンダーが可用性の問題（SIEMサーバーやクラウドデータセンターの障害など）や接続の中断（SIEMとの間のデータフローが中断される）にどのように対処しているかを理解することが重要です。重要な質問には以下が含まれます：

• ベンダーが約束しているサービス・レベル・アグリーメント（SLA）とは何か？
• 計画的または非計画的な停電の連絡手順は？
• 大規模な停電が発生した場合のベンダーのコンティンジェンシープランは？
• 障害時にSIEMに転送する前に、ログデータをローカルにキャッシュするオプションは？
• SaaS ベースの SIEM が利用できない場合、セキュリティ・インシデントを検出して対応するための社内コンティンジェンシー・プランはどのようになっていますか。

ExabeamによるクラウドSIEM

New-Scale SIEM New-Scale SIEMは、セキュリティ・オペレーションが必要とする脅威の検知、調査、対応（TDIR）機能を画期的な組み合わせで提供する製品です。 は、SIEM の有効性のギャップを埋め、どこからでもペタバイト級のデータを取り込み、解析し、保存し、検索し、レポートするための無限のスケールを提供します。Exabeam Fusion SIEM

Exabeam Fusion SIEMは、549 のセキュリティ製品との統合があらかじめパッケージ化されており、新しいログソースを数分で 組み込むことができます。 は、100 万 EPS を超える処理速度と効率性を提供し、アナリストの有効性と安心感を向上させます。Exabeam Fusion SIEMには、Exabeam Security Log Managementのすべての機能に加えて、100 を超える事前構築済みの相関ルール、ルールビルダー、アラートおよびケース管理が含まれています。統合された脅威インテリジェンスは、検知の忠実度を高め、ルールに深いコンテキストを追加し、より正確で効率的な脅威管理を促進します。