SIEM 相関分析を使用したセキュリティ対策
- Pipeline Co. Ltd.
- 2022年3月15日
- 読了時間: 6分
■企業の情報システムから発生する多数・多様なセキュリティイベントを統合管理するには?
近年、企業や病院などがもつ重要な情報がランサムウェアによって攻撃される例がいくつか報道されているように、情報セキュリティに対する重要性は多くの人に認識されるようになりました。
こうした中、企業におけるセキュリティの現場では、日々増加している最新の脅威に対応するため、情報セキュリティ部門の担当者の負荷が増加しています。
企業では、様々なネットワーク機器・サーバが点在し、セキュリティ製品は高度になるとともに、様々なセキュリティアラートが多数発生します。さらに、複数のクラウドサービスを利用することが一般的になり、それらのセキュリティアラートも多数・多様になります。
一方、攻撃者は特定の目的をもって攻撃する場合もありますが、多くは侵入・悪用の対象を見つけるために、不特定多数のシステムに対して侵入可能か試みるアクセスを行います。企業ではこのような不審なアクセスを受けるポイントが多いことから、セキュリティアラートが増加することになります。
このような中、情報セキュリティ部門の担当者がアラート一つ一つに対応することは現実的ではありません。
一つ一つのアラートに対するセキュリティの優先順位(スコア)を判定すること、脅威インテリジェンスによる最新の脅威情報を反映した分析、そしてその結果を管理する仕組み、さらに分析結果を反映したセキュリティスコアの更新、といったことが企業におけるセキュリティ管理では必要ですが、これらを自動で行うことが現実的なプロセスです。
ここで問題となるのが、点在する機器から収集した情報をどのように統合的に分析するのかということです。
近年のサイバー攻撃は巧妙化している中、多くのデバイスやクラウドサービスを擁している企業では、セキュリティ対策として各々出力されるログ単体をそれぞれモニタリングして分析するだけでは、異常を検知することは困難となっています。複数ポイントにまたがる情報を関連付けて、一連の攻撃挙動として検出する必要があります。
そこで、SIEM(Security Information and Event Management)というソリューションが登場しました。
■SIEMとは
SIEMとは、複数システムから収集したログに異常があるかどうかを、相関分析を使用することによって検知する仕組みです。
ログを集約し、相関分析し、インシデント管理するといったことをリアルタイムに行い、セキュリティ的に重要なイベントを検知します。これにより、セキュリティ脅威を早期発見できるようになります。早期発見できれば、攻撃を未然に防いだり、最小限の被害に抑えたりすることにつながります。
また、製品の中には、攻撃イベントを一連の挙動として可視化したレポートを提供するものがあります。このようなレポートは従来、セキュリティ専門家が多くのログを収集して、独自のノウハウによって時間をかけて提供されていたものです。しかし、最新のセキュリティ脅威に対応するためには時間はかけていられません。
セキュリティ運用の高速対応と人件費の抑制を兼ね備えるためには、SIEMの導入が不可欠です。
■SIEMは企業の情報セキュリティ対策を進化させる
多くの企業の情報セキュリティ部門では一般的に以下のような問題に常に悩まされています。
・情報セキュリティ部門に多くの人員を配置できない
・働き方改革による長時間労働の抑制やリモートワークによるアクセス制約
・セキュリティ専門家を常駐させることが予算的にできない
情報セキュリティ部門の担当者としては、これらの問題を解消したいのですが、経営層の要望としては、それ自体利益を生み出さない、いわゆる管理費に属する情報セキュリティ対策費用は最小限であることであることは絶対であり、しかも、最新の脅威に対応でき、企業の情報資産を確実に守ることです。
では、こうした要望の中、経営層の承認を得るにはどう訴求すればよいでしょうか?
それは、属人化の排除、省力化(工数削減)、高速化、高度化がポイントとなります。
人員の追加は社員の異動や派遣社員、業務委託などで対応することが多いですが、それはできないということなので、人員を必要としない仕組みが必要です。
長時間労働を抑制するためには、人が直接手を動かす時間を減らす、自動化により労働時間の制約を無くす・高速処理することで解消できます。
リモートワークの方法は様々ありますが、分析対象となるデータを逐一リモート先に持ち出すのは問題です。できるかぎり安全な場所で処理されて、結果のみをリモート先で表示することが望ましいです。
予算が潤沢にあり、経営層の理解が得られれば、セキュリティ専門家を常駐させることができるかもしれませんが、近年はセキュリティ脅威情報が膨大で変化のスピードが早いこと、AIなどが発達して高度な自動化を構築しやすくなったことから、セキュリティ専門家を配置するよりも安価で高品質にセキュリティ対策が可能になりました。したがって、セキュリティ専門家を配置することは絶対では無くなりました。
SIEMは膨大なデータを集約、分析、可視化を自動化するため、人員・時間ともに抑制できます。しかも最新の脅威インテリジェンスが反映されます。従来は職人技だった仕事が自動化されることにより、人による対応品質のバラツキが無くなり、後任者へのノウハウの伝授が不要となります。最新の脅威インテリジェンスの反映と相関分析により、セキュリティ専門家を常駐させることと同じ効果を発揮します。
このように、SIEMの導入は、確実に企業の情報セキュリティ対策を進化させることにつながります。
パイプラインが提供するDatalaiQ(データレイク)は、企業における膨大なデータを持つITシステムにおいて、どのようなセキュリティインシデントが発生しているのかをリアルタイムに把握することができます。エンドポイントやサーバなどからのログを収集、分析し、ダッシュボードで情報を一元的に可視化します。様々な条件を組み合わせた相関分析を行い、リアルタイムにセキュリティインシデントを検知することができます。
この結果、企業の情報セキュリティ対策を進化させ、ビジネス戦略を大きく変えるものとなります。
是非、DatalaiQの無料トライアルをお試しください。
――――――――――――――――――――――――――――――――――――――
以下のようなイメージ(Microsoft製品)
イメージ2 東陽テクニカの紹介ページ
