SIEM(Security Information and Event Management)とは、サイバーセキュリティの監視・検出・調査を行うためのソリューションです。SIEMはネットワークやシステムにおいて発生するイベントログを収集し、管理・分析をすることで、セキュリティインシデントの早期発見や、迅速な対応に寄与します。
SIEMで提供される機能は以下の通りです。
SIEMは、主に組織内のセキュリティ監視、サイバー攻撃やインシデントの発生を把握する組織であるSOC(Security Operations Center)において使用されます。SOCはSIEMを活用してセキュリティイベントの監視、脅威検知、インシデント対応、コンプライアンス遵守状況の把握などを行います。SIEMは、セキュリティ担当者にとって重要なツールであり、下記のような形で効率的なセキュリティ運用を支援します。
1. ログの統合管理によるアラート通知:さまざまなログを統合管理するとともに、異常なアクティビティや攻撃の兆候を検知し、セキュリティ担当者にアラートを通知します。例えば、マルウェアの検出など不正な挙動に加えて、重要な情報が保存されているサーバへの複数回のログイン試行や、自社が認めていないクラウドサービスの利用など、不審なイベントが検知されると、SIEMはアラートを出します。
2. インシデント調査と対応:不正や不審なイベントをもとに、サイバー攻撃か否か(通常の挙動、アクセスミスなど)の調査を行います。サイバー攻撃と断定した場合、外部からのサイバー攻撃か内部犯行かなど含め、攻撃の経路や影響範囲を追跡し、インシデント対応の手がかりを得ることができます。以下のような措置を行います。
3. レポート作成:中長期的な視点で、自社のセキュリティポリシーの違反状況やサイバー攻撃による影響などを可視化し、レポートを作成します。どのようなサイバー攻撃を受けているのか、1か月、3カ月、半年、1年などの期間で可視化し、自社が次に行うべきセキュリティ対策を検討できます。
SIEMの主なユースケースを上記に挙げましたが、SIEMのメリットとしては、複数の異なる製品のイベントやログ情報を迅速に可視化でき、次のアクションに繋げられることが、セキュリティ担当者の最大のメリットと言えるでしょう。
SIEMはSOCをはじめ組織のセキュリティ向上と業務効率化にメリットをもたらす一方で、下記のような課題があります。
複雑な導入と設定:SIEMは複雑なシステムであり、導入と設定には時間と専門知識が必要です。セキュリティ担当者はデバイスのログやデータソースの統合、ルールの設定、アラートのチューニングなどに継続的に取り組む必要があります。
セキュリティレベルと効率を向上させるためのツールとして、SIEMと類似したものにXDR(Extended Detection and Response)があります。SIEMとXDRの違いは下記の通りです。
1. データ収集対象とコンテキスト化
2. 分析と検出
3. インシデント対応と自動化
図:「Trend Vision One」のXDR機能における脅威への対応自動化の画面例(Playbook)