目次
セキュリティ情報・イベント管理(SIEM)とは?
セキュリティ情報・イベント管理(SIEM)は、ネットワーク、デバイス、アプリケーションなど、組織のITインフラ内のさまざまなソースからログ・データを収集・集約するサイバーセキュリティ・ソリューションです。このデータを分析して異常なパターンや潜在的なセキュリティ脅威を特定し、リアルタイムのセキュリティ監視とインシデント対応を支援します。
SIEM ソリューションは、組織の情報セキュリティを全体的に把握できるように設計されています。データ分析、イベント相関、および集約技術を活用してセキュリティ・インシデントに対する洞察を提供し、IT チームがサイバーセキュリティの脅威を検出、調査、対応できるようにします。SIEM システムには通常、コンプライアンスとセキュリティ・ガバナンスをサポートするためのダッシュボード、アラートメカニズム、レポートツールが含まれています。
侵入検知システム(IDS)とは?
侵入検知システム(IDS)は、悪意のある活動やポリシー違反がないか、ネットワークやシステムの活動を監視するために特別に設計されたデバイスやソフトウェア・アプリケーションです。検出されると、アクティビティや違反は管理者に報告されるか、SIEMシステムを使用して一元的に収集されます。
IDS 技術は、潜在的な脆弱性や侵入を検出するために、ネットワーク・トラフィックやシステム構成のリアルタイム分析を提供し、サイバーセキュリティ防衛戦略において重要な役割を果たします。パターンを分析し、既知の脅威のデータベースと比較することで、IDS はマルウェア感染、不正なシステム・アクセス、その他のセキュリティ・ポリシー違反などの疑わしい活動を特定し、タイムリーな介入と緩和を促進します。
このコンテンツは、SIEM (Security Information and Event Management)に関するシリーズの一部です。
関連するセキュリティシステムを理解するIPSとHIPS
侵入防御システム(IPS)とは?
IPS(Intrusion Protection System)は、特定された脅威をリアルタイムで検知・防御するために設計されたネットワーク・セキュリティ・テクノロジーです。IPS は多くの場合、潜在的なセキュリティ侵害を検出して警告する侵入検知システム(IDS)を補完します。IPS は、人手を介さずに脅威をブロックまたは軽減するためのアクションを自動的に実行します。
IPS は、ネットワーク・トラフィックを検査し、事前に定義されたセキュリティ・ルールまたはシグネチャのセットに基づいて不審なアクティビティやパターンを探すことで動作する。潜在的な脅威が検出されると、IPS は悪意のある IP アドレスからのトラフィックをブロックしたり、有害なパケットをドロップしたり、影響を受けるネットワーク接続を切断したりするなど、さまざまなアクションを実行します。さらに、IPS システムは多くの場合、ファイアウォールや SIEM システムなど、他のセキュリティ・テクノロジーと統合され、重層的な防御を提供します。
ホストベース侵入検知/防御(HIPS)とは?
ホストベースの侵入検知/保護システム(HIPS)は、個々のホストまたはコンピュータを監視し、悪意のある活動や脆弱性から保護するように設計されたセキュリティ・ソリューションである。境界で保護するネットワークベースのシステムとは異なり、HIPSはホストレベルでセキュリティを提供し、システムコール、ファイルシステムへのアクセス、ネットワークトラフィックなど、ホスト自体で発生するアクティビティを深く可視化します。
HIPS は、侵入検知と侵入防御の機能を組み合わせることで、疑わしい活動を検知するだけでなく、脅威をブロックまたは軽減するためのプロアクティブな対策を講じることができる。この二重の機能は、異常検知、挙動分析、シグネチャベースの検知など、さまざまな検知テクニックの使用によって実現される。ホスト自体で動作することにより、HIPS は境界防御をバイパスする脅威からの保護を提供することができる。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、SIEM、IDS/IPS、その他のセキュリティ・ツールを強固なサイバーセキュリティ戦略に統合するための実用的なヒントを紹介する:
脅威インテリジェンスをIDSとSIEMのルールに統合
リアルタイムの脅威インテリジェンス(IoCなど)をIDSシグネチャとSIEM相関ルールの両方にフィードします。これにより、ネットワーク・レベルと広範なセキュリティ・レベルの両方で最新の脅威を確実に検出できます。
重要な資産に基づく IDS チューニングの優先順位付け
価値の高いネットワークセグメントまたはホストの IDS ルールのチューニングから始めます。これにより、重要度の低い領域からの誤検出を減らしながら、最も重要な領域を詳細に監視することができます。
SOARを活用したIDS主導の自動化
IDSアラートをSOARプラットフォームと統合することで、侵害されたシステムの隔離や疑わしいIPのブロックなどの封じ込めアクションを自動化し、最小限の手動介入で迅速な対応を実現します。
IDSデータをSIEM UEBAと関連付け、高度な洞察を得る
SIEMのUser and Entity Behavior Analytics(UEBA)を使用してIDSアラートを分析します。これにより、パケットレベルのデータをユーザーやデバイスの異常な行動に関連付けることで、内部脅威や高度な永続的脅威(APT)を特定できます。
きめ細かなホストレベルの検知のためのHIPSの導入
ネットワークに特化した IDS を補完するために、ホストベースの侵入検知/保護システム (HIPS) を使用する。HIPS はエンドポイントの活動を深く可視化し、IDS が脅威を見逃す可能性のあるギャップを埋める。
SIEMとIDSの比較:統合、範囲、機能
SIEM システムは、IDS を含むさまざまなソースからのデータを集約して分析することにより、組織のセキュリティ状況を包括的に把握することができます。これにより、SIEM はより広範なセキュリティ・イベントに関する洞察を提供できるようになり、インシデント対応やコンプライアンス・レポート作成に役立ちます。
IDS は、ネットワーク・トラフィック内またはホスト・システム上の特定の種類の悪意のあるアクティビティやポリシー違反を監視し、レポートすることに重点を置いています。IDSは脅威を即座に検知するために不可欠ですが、SIEMはIDSやその他のソースからのデータを活用して、より全体的な分析を行います。
IDSの主な機能は、ネットワークやシステムに対する不正アクセスや攻撃を検知することである。IDSは、既知の脅威や異常についてトラフィックやシステムの動作を分析することで動作し、セキュリティ担当者に潜在的な問題を警告します。一方、SIEM は、IDS だけでなく、ファイアウォール、アンチウイルス・ツール、その他のセキュリティ・テクノロジーからもデータを収集して分析します。これにより、SIEMは複雑な脅威パターンを特定し、効果的な対応を調整することができる。
SIEMとIDS:レスポンスとミティゲーションをどうサポートするか?
IPSはファイアウォール/アクセス・コントロール・システムと統合する
侵入防御システム(IPS)は、ファイアウォールやアクセス・コントロール・システムと統合することで、組織のネットワークのセキュリティ態勢を強化します。事前に設定されたセキュリティ・ルールに基づいてネットワーク・トラフィックの送受信を制御し、防御の第一線として機能するファイアウォールと連携することで、IPSはセキュリティのレイヤーを追加します。
IPS を統合すると、ファイアウォールによって許可されたトラフィックをリアルタイムで分析し、 ネットワークの内部リソースに到達する前に脅威を特定して緩和することができます。これにより、ファイアウォール・ルールを通過する可能性のある高度な攻撃の検出が向上するだけでなく、悪意のあるトラフィックのブロックや感染したシステムの隔離など、自動化されたレスポンス・アクションも可能になります。
SIEMがSOARを統合
SIEMシステムは、一般的にSecurity Orchestration, Automation, and Response(SOAR)プラットフォームと統合されています。SIEM は組織全体のセキュリティ・イベントを可視化しますが、SOAR はワークフローとレスポンス・アクションを自動化することによって、これらの機能を強化します。
SIEMとSOARの統合により、脅威インテリジェンスの自動収集と、セキュリティインシデントに対する事前定義された対応プロトコルの実行が可能になり、対応時間が大幅に短縮されます。SOARにより、セキュリティチームは、重大性に基づいてインシデントに自動的に優先順位を付け、コンテキスト情報を収集し、感染したエンドポイントの隔離やIPアドレスのブロックなどの対応アクションを実行できる複雑なワークフローを実装できます。
SIEMとIDSの比較:複雑さとリソース要件
IDSの設定は簡単だがチューニングは難しい
侵入検知システム(IDS)の設定は比較的簡単であるため、さまざまな規模の組織がサイバーセキュリティ防御の一環として導入しやすくなっている。初期設定には通常、監視するネットワーク・セグメントを定義し、事前に設定された検出ルールまたはシグネチャを適用することが含まれる。しかし、IDS の課題は、感度と特異性のバランスを取るための継続的なチューニングにある。
チューニングには、偽陽性(脅威としてフラグを立てられた良性の活動)と偽陰性(システムによって見落とされた実際の脅威)を最小限に抑えるようにシステムを調整することが含まれます。これには、ネットワークの通常のトラフィック・パターン、組織のセキュリティ・ポリシー、および進化する脅威の状況を深く理解する必要がある。効果的なチューニングは、IDS がアラート疲れを起こすことなく、本物の脅威を検出する効率的なツールであり続けるために非常に重要です。
SIEMは設定しにくいがチューニングしやすい
セキュリティ情報・イベント管理(SIEM)システムのセットアップは、複数のデータソースを統合し、イベント相関、分析、アラートのルールを構成する必要があるため、IDSの構成よりも本質的に複雑です。この複雑さは、ファイアウォール、IDS、アンチウイルス・ソリューション、その他の様々なネットワーク・デバイスやセキュリティ・デバイスなど、異なるシステムによって生成されるデータ・フォーマットやセキュリティ・ログを理解する必要性から生じる。
SIEMシステムは、その初期の複雑さにもかかわらず、一般的にIDSと比較してチューニングが容易です。システムが稼動すれば、SIEM の高度な分析と相関機能により、組織固有のセキュリティ要件と脅威環境に基づいて、より正確な調整が可能になります。SIEMのチューニングには、相関ルールと分析を改良して実際の脅威を特定する精度を高め、誤検知を減らすことが含まれます。
SIEMのメリットについての詳しい説明をお読みください。
SIEMとIDS/IPSの選択
コア・ニーズ閉域網または分散環境の保護
SIEMとIDS/IPSのどちらを採用するかを決める際には、コアネットワーク環境が重要な役割を果たします。すべてのデバイスとユーザが制御された物理的およびネットワーク境界内で動作するクローズドネットワークでは、内部および境界の脅威を監視し保護するには IDS/IPS ソリューションで十分な場合があります。これらのシステムは、ネットワーク・トラフィックがより予測可能で抑制されている環境において、不正アクセスの試みを効果的に検出し、侵入を防止することができる。
対照的に、遠隔地、クラウドサービス、モバイルアクセスを特徴とする分散環境では、セキュリティに対するより包括的なアプローチが必要となります。SIEM ソリューションは、さまざまな場所にあるさまざまなソースからのデータを集約して分析できるため、このような環境に適しています。SIEMの一元的な監視と分析により、クラウド、オンプレミス、リモートのインフラにまたがる複雑な脅威パターンに関する洞察が得られます。
既存のセキュリティ・インフラ、リソース、場所、能力
SIEMとIDS/IPSのどちらを選択するかは、組織の既存のセキュリティ・インフラ、リソース、物理的な場所、技術的な能力にも左右される。ITセキュリティ・リソースが限られている組織では、SIEMに比べてセットアップが簡単でメンテナンスが少ないという理由でIDS/IPSに傾くかもしれません。しかし、クラウドベースの資産を含む複数の拠点を持ち、複雑なシステムを管理できる企業にとっては、SIEM の方がセキュリティイベントをより統合的かつ包括的に把握できます。
組織は、技術スタッフの専門知識と、複雑なセキュリティ・システムを管理・調整する能力も考慮する必要がある。IDS/IPS の導入と管理は比較的簡単ですが、SIEM システムは、その複雑さと、異種ソースからのセキュリティ・データを正確に関連付け、分析するための継続的なチューニングの必要性から、より高度な専門知識を必要とします。
特定のセキュリティニーズとコンプライアンス要件
特定のセキュリティ・ニーズとコンプライアンス要件は、SIEM と IDS/IPS のどちらを選択するかの重要な要因である。すべてのネットワークおよびシステムアクティビティにわたってリアルタイムの分析、インシデントの検出、およびレポーティングを義務付ける特定の規制コンプライアンスを満たすことが最大の関心事である場合、SIEM ソリューションは不可欠です。SIEM システムは、GDPR、HIPAA、SOX、PCI-DSS などの標準に準拠するために必要な包括的なロギング、監視、レポート機能を提供できます。
ネットワーク・インフラストラクチャへの不正アクセスや脅威の検出と防止に重点を置き、コンプ ライアンス主導の要件を満たさない組織では、IDS/IPS で十分な場合がある。これらのシステムは、ネットワークまたはホスト・レベルで潜在的なセキュリティ脅威を効果的に識別およびブロックし、侵入検知および防止に焦点を絞ったアプローチを提供します。
SIEMとIDSの連携
IDSイベントがSIEMの検出を強化
IDS を SIEM システムと統合することで、組織の全体的なセキュリティ監視および脅威検出能力が強化される。IDS は、潜在的なセキュリティ・インシデントに関する詳細なイベント・ログとアラートを SIEM システムに直接フィードすることができます。この統合により、SIEM は IDS の詳細なパケットレベルの分析を活用し、SIEM の広範なデータセットを特定の検出イベントで充実させることができます。
IDSイベント・トリガー・オートメーション
IDSとSIEMを組み合わせることで、自動化によってインシデントレスポンス時間を大幅に改善することができます。IDS による検出をトリガーとして、SIEM 内でアラート、インシデントチケットの作成、あるいは IP アドレスのブロックや影響を受けたシステムの隔離といった直接的な対応など、自動化されたワークフローを実行することができます。この自動化されたレスポンス機能により、潜在的な脅威への迅速な対処が保証され、攻撃者の攻撃機会を減らし、セキュリティ・インシデントの影響を最小限に抑えることができます。
IDSのパケットレベルインスペクションがSIEMの信頼性を高める
IDSのパケットレベル・インスペクション機能は、ネットワーク・トラフィックと潜在的脅威に関する詳細な情報を提供します。このデータが SIEM システムに統合されると、脅威の検出と分析の信頼性が大幅に向上します。SIEM はこの詳細な情報を使用して、複雑な攻撃をよりよく理解し、誤検出を減らし、本物の脅威をより正確に特定することができます。
Exabeamプラットフォームの機能:SIEM、UEBA、SOAR、内部脅威、コンプライアンス、TDIR
Exabeam Fusion Enterprise Edition Incident Responderは、AIと自動化をセキュリティ・オペレーション・ワークフローに適用することで、サイバー脅威と戦うための総合的なアプローチを実現し、最も効果的な脅威の検知、調査、対応(TDIR)を提供します:
- AIによる検知は、ユーザーやエンティティの正常な行動を学習し、コンテキストを考慮したリスクスコアリングで脅威の優先順位をつけることで、リスクの高い脅威をピンポイントで検知します。
- 自動化された調査により、セキュリティ・オペレーションが簡素化され、異種データを相関させて脅威のタイムラインを作成することができます。
- プレイブックは、ワークフローを文書化し、アクティビティを標準化することで、調査と対応を迅速化します。
- 可視化は、最も戦略的な成果とデータおよび検出のギャップを埋めるためのフレームワークに対してカバレッジをマッピングします。
これらの機能により、Exabeamはセキュリティ・オペレーション・チームがより迅速、正確かつ一貫性のあるTDIRを実現できるよう支援します。
について読むExabeam Fusion SIEM.