リモートワークの普及に伴い、社内ネットワークの構築が境界型セキュリティからゼロトラスト・セキュリティに変化する中、新たなセキュリティ対策としてSIEMが注目されています。SIEMは、近年急増する標的型攻撃の対抗手段として効果的で、セキュリティインシデントの防止・早期発見に役立ちます。今回は、SIEMの機能や注目されるようになった背景、メリットと課題について解説します。

SIEMとは

SIEM（Security Information and Event Management）とは、ファイアウォールやIDS、IPS、プロキシなどの機器やソフトウェアから出力されるログを一元的に収集・解析し、セキュリティインシデントを素早く検知することを目的としたソリューションです。SIEMは複数の機器やソフトウェアを横断してログを収集できるため、インシデントに繋がる些細な脅威も見逃しません。

SIEMの機能

SIEMは主に3つの機能を持っており、それぞれがセキュリティインシデント対策に役立っています。

ログ収集・蓄積

SIEMは複数の機器・ソフトウェアが得たログデータを収集し蓄積する機能があります。通信ログやアクセスログ、端末情報、マルウェア検知情報など、セキュリティに関するログを収集できます。従来であれば、ログはそれぞれのソリューション内でのみ収集することが一般的で、出力時のフォーマットもソリューション毎に異なります。そのため、システム規模が大きい場合や複数のソリューションを導入している場合は、人の手でログを確認することが煩雑になり手間がかかります。SIEMはセキュリティに関する膨大なログを一元的に収集・蓄積するため、ログの確認にかかる手間を削減できます。

相関分析

SIEMの最大の特徴とも言えるのが相関分析の機能です。これは、複数のログから関連性見つけ出し、アクセス先への行動を分析する手法です。複数の機器・ソフトウェアから収集したログを相関分析に使うことでセキュリティインシデントの予兆や痕跡を特定できます。
例えば、ある端末のログにサーバへのアクセス履歴が残っていたとします。この端末は日頃から対象のサーバへアクセスしているため、一見すると特に問題がないように見えます。しかし、入退室管理ログや勤怠管理ログなどと合わせて確認すると、ユーザが操作していない時間帯にアクセスされていることが分かりました。
このように、一見すると問題がなく、普段の行動と全く同じログが検出されたとしても、他のログを組み合わせることで、埋もれているインシデントの脅威や痕跡を検知できるようになります。

脅威検出

分析結果から予兆や痕跡が発見された場合、インシデント脅威の優先順位をつけてアラートを生成します。ログの相関分析からアラートの生成までをリアルタイムで行うため、早期の脅威検出ができ、早期対策・解決のきっかけになります。人の手による調査では、原因特定だけでなく、対策を練ることにも時間がかかります。SIEMは、リアルタイムで脅威の分析・検出を行うため、原因特定の手間を省き、対策を練ることに注力できるようになります。

SIEMが必要とされる背景

DX（デジタルトランスフォーメーション）や働き方改革、新型コロナウィルスの蔓延に伴いリモートワークが普及しました。従来のオフィスワークからリモートワークに移行したことで、境界型セキュリティからゼロトラスト・セキュリティの考え方に移行しつつあります。セキュリティ攻撃が複雑化し、人（ユーザ）をターゲットにした攻撃方法に変化したことで、従来のセキュリティ対策では防ぎきれない攻撃が増えています。
この状況に対応するためには、些細な脅威にも対応できる体制であることが重要です。特にリモートワークでは、情報システム部による手助けが受けられにくく、ある程度自力で対処する必要があります。リモートワークでは、ひとりひとりが「どのサーバにアクセスしているのか」「何をしているのか」の把握が難しくなります。オフィスワーク時に比べ、問題発生時の原因特定に手間がかかるのも事実です。SIEMは、リモートワーク下でも一元的にログを収集し、リアルタイムで脅威を検知・通知できるため、働き方の変化や攻撃方法の多彩化に対応したセキュリティ対策を行えます。

リモートワーク推進企業におすすめのセキュリティとは？
「【最新版】SASE製品徹底比較！おすすめ3選紹介」

SIEMのメリット

SIEMを導入することでリアルタイムで脅威を検知・通知できることが最大のメリットです。加えて、適切なログ管理によってインシデントの発生を抑えたり、すでに発生しているインシデントの被害を最小限に抑えられることもメリットです。
もしもログを手動管理している場合、ログの管理が煩雑化してしまうと、リアルタイムで発生している脅威の発見ができなくなり、インシデントの把握が難しくなります。万が一インシデントに発展した場合、対応の遅れや重大なインシデントに発展してしまうケースもあります。SIEMは、ログを一元的に管理することで、一目見て状況を把握しやすくなります。また、相関分析により、顕在化していない脅威に対しても効果的に作用するため、インシデントに繋がる可能性や既に発生してしまったインシデントの被害を最小限に抑えることができるのです。

SIEMの注意点

SIEMを導入する際に、注意点がいくつかあります。どれもSIEMを扱う上で忘れてはいけません。

ディスク容量の逼迫

１つ目はログの収集・管理に伴うディスク容量の逼迫です。SIEMはセキュリティに関係する様々なログを取得できますが、その分容量を逼迫しやすくなります。不要な情報は収集しない設定にしたり、保管期間を設けて運用するなど、自社の状況に合わせて工夫しましょう。　

SIEM単体では機能しない

SIEMは他のソリューションが収集したログを使用する性質上、SIEM単体では機能しません。SIEMを導入する際は、SaaSやIaaSなどからログを収集できるように設計しましょう。

まとめ

今回は、SIEMの機能や注目されるようになった背景、メリットと課題について解説しました。SIEMは複数の機器・ソフトウェアから自動でログを収集し、相関分析を行うことでセキュリティインシデントの防止・早期発見するソリューションです。膨大なログを対処できるため、人による作業の手間を大きく削減できますが、ディスク容量を逼迫しやすく、SIEM単体では機能しないことは覚えておきましょう。

▼業務効率化やDX推進に関するお困りごとを解消！