SIEMの進化:コンプライアンスからセキュリティへ

5月 09, 2018 セキュリティとコンプライアンス, MOVEit

SIEM(Security Information and Event Management、セキュリティ情報およびイベント管理)ソフトウェアは、アプリケーションとネットワーク・ハードウェアから生成される大量のログデータを追跡、統合、分析する方法を提供します。当初はコンプライアンスのためのレポートとして利用されていましたが、最近はセキュリティのためのツールとして重要視されるようになりました。

遍在するログファイル

どの組織においても、エンドユーザーのデバイス、サーバー、ネットワーク機器、ファイアウォール、その他のコンポーネントのホストが、ログファイルやソフトウェアアクションとイベントのタイムスタンプ付きのリストを絶え間なく生成しています。すべてのイベントがレコードされますが、どのイベントが異常または悪意ある動きを示すものなのかは、なかなかはっきりとはわからないのが普通です。

SIEMシステムは、問題の指標となり得るような傾向やパターンを特定できるようにするため、多数の場所からデータを収集します。SIEMは、SIM(セキュリティ情報管理)とSEM(セキュリティイベント管理)と呼ばれるソフトウェアから発展したもので、その第1世代は1990年代まで遡ります。

SIEMの起源はコンプライアンスが目的

SIEMソリューションが推進された当初の目的は、セキュリティ自体ではなく、コンプライアンスでした。多くの企業で、HIPAA、サーベンス・オクスリー法、PCI DSS(Payment Card Industry Data Security Standard)などの義務要件を満たすために、アクテビティを監視し報告する方法を必要としていました。ログファイルに記録されたイベント情報を収集して分析することで、コンプライアントでないアクティビティ、ポリシー違反、コンプライアンス監査のための期間指定のイベントデータ、脅威予防への取り組みの証拠などに関するレポートが作成されました。

脅威への対処のためにSIEMを使うことは近年より注目を集めていますが、コンプライアンスのためのレポート機能は依然として重要です。

ログファイルのソースとフォーマット、ログファイルの統合

ログファイルは、ケースバイケースで、かつシステムごとに異なるフォーマットで作成され、共通の標準が存在しません。ほとんどの場合プレーンテキストであり、通常はコンピュータ処理のためではなく人間に読めるように書かれています。ところが、収集されるファイル量の膨大さは人間が読んで効果的に活用できるレベルとはかけ離れたレベルに到達します。

したがって、すべてのログファイルを共通のコンポーネントに分割し、それらをデータベース・テーブルに正規化することがSIEM の重要なプロセスとなります。SIEMベンダーは通常、自動的に組み込むことができるように何百ものログファイル・フォーマットをリストしており、さらにそのリストも定期的に更新します。管理者が事前に多くの作業をしなければなりませんが、すべてのログソースを統合化できるシステムもあります。

セキュリティ・ツールとしてのSIEM利用の増大

多くのSIEM製品には、脅威インテリジェンスフィード(多くの場合、サードパーティーが提供)が組み込まれており、ネットワークやユーザーの動作を追跡して悪質なものとそうでないものを識別するセキュリティ分析機能も追加されてきています。SIEMパッケージに含まれる分析は、機械学習や統計分析など、ビッグデータ利用技術を駆使してより洗練化されています。

SIEMには、たいていの場合、悪質なアクティビティをリアルタイムでブロックする自動応答機能がありますが、これらは、利用する組織が独自の環境と状況に合わせて設定する必要があります。

SIEMを利用する人間側の課題

SIEMソフトウェアは、たとえ洗練されたソフトウェアであっても、追跡、サポート、レポートなどを実施する、下支え的なプロセスに過ぎません。一般に、このようなソフトウェアは、スタッフが分析、対応、計画に集中できるよう、状況を監視したり単純なプロセスを自動化したりするのに利用するべきです。ソフトウェアは、意思決定者に対し、全体として何が起こっているかを迅速、明確に説明できるようにするための効率化手段です。

したがって、SIEMを実装する立場にある人は、組織が何を達成しようと目指しているのかを正確に把握する必要があります。組織としての目標を達成するのにSIEMがどのように役立つかを明確化することで、取得したソフトウェアを最大限に生かすことが可能になります。小規模な組織ではリソースが限られているので、ビジネスを継続させるために不可欠なインフラストラクチャを特定して、限定されたログファイルだけを監視するといった必要があるかもしれません。

SIEMを使うと、インシデントに効果的に対処することができます。SIEMには、インシデント対処をサポートするデータ視覚化や検索機能があり、既存のセキュリティ・システムを管理するツールになります。ネットワークのアクティビティを単一ビューからひと目でチェックでき、使い慣れた熟練者はシステムの状況を直感的に判断できます。

SIEMソフトウェアの位置づけ

SIEMソフトウェアは、コストが高く、機能を最大限に使いこなせるような熟練者への人件費も高額になるため、典型的には大企業が使ってきました。しかし、コスト効果比が高い実装が可能でビジネス継続に重要な機能に特化すれば、SIEMの機能は中小規模の組織でも検討に値します。

Alex Jablokow

Alex Jablokow is a freelance writer who specializes in technical and healthcare business. He blogs about the Internet of Things, software, inertial guidance systems, and other topics for business clients. Sturdy Words, his freelance content business, is at www.sturdywords.com.