SIEMとは？ SIEMの意味・メリットをわかりやすく解説

セキュリティの脅威を効果的に検出して調査し、対応するのは容易ではありません。このプロセスに大いに役立つのがSIEMです。SIEMは、1カ所に統合された効率的なデータ表示、セキュリティ業務に関するインサイト、セキュリティ運用に必要な機能を提供するサイバーセキュリティテクノロジーです。SIEMを利用すれば、サイバー脅威に先手を打つことができます。

SIEMとは？

SIEMは「Security Information and Event Management (セキュリティ情報/イベント管理)」の略で、分散環境全体をリアルタイムで包括的に可視化し、履歴分析機能を提供して、サイバーセキュリティ態勢を強化するソリューションです。SIEMテクノロジーは組織のレジリエンス向上にも貢献します。

SIEMは、脅威やその他の異常を検出するために大量のデータを数秒で取り込み、くまなく調査して、異常な挙動が見つかった場合はアラートを生成します。この規模とスピードを手作業で実現するのは不可能です。SIEMツールを使えば、任意の時点でのITインフラの状態を確認できます。このように、ネットワーク、アプリケーション、ハードウェア、クラウド、SaaSソリューションなどのあらゆるソースからデータをリアルタイムで収集および分析する能力は、内外の脅威に先手を打つために非常に重要です。

この記事では、SIEMの意味や機能、最適なSIEMソリューションの選び方について説明します。

SIEMの現状：2024年～2025年の成長の動向

技術面について見る前に、今日のセキュリティの状況を確認しておきましょう。「SIEM」という言葉は、2005年にガートナー社によって提唱されました。その後約20年の間に、SIEMは脅威の検出、調査、対応(TDIR：Threat Detection, Investigation and Response)のための重要なソリューションとしての地位を確立しました。当初はセキュリティ情報管理(SIM)とセキュリティイベント管理(SEM)のプロセスを統合しただけのツールでしたが、今日では、包括的なエンドツーエンドのサイバーセキュリティ管理、統制、コンプライアンスソリューションへと進化しています。

SIEMテクノロジーソリューション市場は堅調に成長を続け、2021年～2026年の年平均成長率(CAGR)は14.5%にのぼると見込まれています。2021年時点での市場価値は48億ドルで、2026年には113億ドルに達すると予測されています。この急速な成長の背景にはいくつかの要因が考えられます。

• サイバー犯罪インシデントが規模と被害の両方において急拡大している
• 大量に生成される機密性の高いリアルタイムデータストリームを利用するITサービスの導入が進んでいる
• クラウドのデータ資産やアプリケーションを管理するためのITプラットフォームやデータプラットフォームが複雑化している

企業がサイバーセキュリティに割り当てるコストは、サイバーインシデントによる損失の大きさと密接に関連しています。データ侵害の平均コストは世界的に増加し続けており、最新の調査では520万ドルに達しています。

米国に拠点を置く企業ではデータ侵害の平均コストがさらに高く、2023年には1,010万ドルにのぼっています。

サイバーセキュリティに関するコストが増える一方で、技術スキル不足は依然として喫緊の課題です。2023年時点でサイバーセキュリティ職の欠員は世界全体で数百万にのぼり、この業界の深刻な人材不足を浮き彫りにしています。セキュリティ人材が不足していると、セキュリティ侵害の防止やデジタル防御の強化も手薄になります。

こうした背景を踏まえると、組織がSIEMのインテリジェントな自動化機能に期待するのも当然と言えるでしょう。増大するセキュリティの脅威に先手を打つには、大量のイベントログデータを分析する必要があるからです。

SIEMの仕組み

それでは、大量のITイベント、インシデント、ログデータを処理するSIEMの仕組みについて見ていきましょう。SIEMソリューションには、社内ネットワークインフラの境界からエンドユーザーまで、さまざまなソース(サーバー、システム、デバイス、アプリケーションなど)から収集されたイベントデータが集約されます。

(発音について：SIEMは一般的に「シーム」と読みます。「SEIM」と表記したり「シム」と読むこともありますが、指しているものは同じです)

集約されたデータは、ユーザーや資産などに関するコンテキスト情報を付加したインサイトとともに1つの画面に表示されます。SIEMソリューションでは、データを統合して分析し、組織が定義した挙動のルールからの逸脱を調べることで、潜在的な脅威が特定されます。データソースには以下のものが含まれます。

• ネットワークデバイス：ルーター、スイッチ、ブリッジ、ワイヤレスアクセスポイント、モデム、ラインドライバー、ハブなど
• サーバー：Webサーバー、プロキシサーバー、メールサーバー、FTPサーバーなど
• セキュリティデバイス：IPS (侵入防止システム)、ファイアウォール、ウイルス対策ソフトウェア、コンテンツフィルター装置、IDS (侵入検知システム)など
• アプリケーション：上記のデバイスで使用されているソフトウェア
• クラウド、SaaSソリューション：オンプレミスで運用している以外のソフトウェアやサービス

分析対象となる属性には、ユーザー、イベントタイプ、IPアドレス、メモリー、プロセスなどがあります。

SIEMソリューションで検出された逸脱は、ログインの失敗、アカウントの変更、潜在的なマルウェアなどのカテゴリに分類されます。逸脱が検出されると、セキュリティアナリストにアラートが通知されるか、異常なアクティビティが一時停止されます。SIEM管理者は、アラートを発する状況についてガイドラインを設定し、悪質なアクティビティが一時停止されたときの対応手順を決めます。

SIEMソリューションではパターンや異常な挙動も検出されます。そのため、単一のイベントではアラート対象にならない異常も、複数のイベントの相関付けによって検出され、アラートが生成されます。

さらに、これらのログがデータベースに保管されるため、ログを使ってより詳細なフォレンジック調査を行ったり、組織に適用される規制に準拠していることを証明したりできます。 

SIEMソリューションにはネットワークインフラ内のさまざまなソースからのデータが集約されます。

SIEMのメリット

SIEMテクノロジーは、セキュリティアナリストが組織のIT環境全体の状況を把握し、他の検出手段を回避する脅威を特定するのに役立ちます。優れたSIEMソリューションを導入すれば、セキュリティアナリストの業務を改善し、多くの組織が抱える以下の3つのセキュリティ課題を解決できます。

• 可視化：最新のSIEMでは、組織のセキュリティ態勢の最新状況をリアルタイムで可視化できます。オンプレミス、クラウド、マルチクラウド、ハイブリッドを含むすべての環境から、ユーザー、デバイス、アプリケーションに関するコンテキストデータが収集され、保持されます。これらの情報に基づいて、セキュリティアナリストは脅威のアクターを容易に特定し、対処すべき脅威を絞り込むことができます。
• 誤検知：SIEMソリューションは誤検知の数を減らすのに役立ちます。これにより、セキュリティアナリストは、誤検知のアラートへの対応に時間を無駄にすることなく、実際の脅威をすばやく検出して調査できます。潜在的な脅威が特定、分類され、ダッシュボードで通知された後、調査のためにアナリストに送信されます。
  
• 柔軟性と拡張性：多くのSIEMソリューションはさまざまな環境やテクノロジーをサポートしており、それらを統合して社内外のチームと容易に連携できます。最新のSIEMなら、現在だけでなく、ITフットプリントの拡大などの将来のニーズにも対応します。

総括すると、SIEMのメリットは、大きな被害をもたらす侵害を防止するとともに、多額の罰金と組織の信頼低下につながるコンプライアンス違反を回避できることです。

SIEMと他のサイバーセキュリティソリューションとの比較

サイバー空間には脅威だけでなく、さまざまなテクノロジー、ソリューション、アプローチを示す頭字語が溢れています。皆様の中にも「SIEM」と聞いて他のものを連想した方もいらっしゃるでしょう。ここではその違いについて説明します。

SIEMにおけるUBAの役割

近年、SIEMの領域に他のツールが進出しています。その1つがUBA (ユーザー行動分析)です。UBAは、UEBA (ユーザーとエンティティの行動分析)とも呼ばれ、内外の脅威を検出して修復するのに使用されます。

UBAは、高度なセキュリティツールと見なされることもよくありますが、SIEMのカテゴリに徐々に組み込まれ始めています。たとえば、ガートナー社によるSIEM部門のマジック・クアドラントには、UBA/UEBA製品に関する情報が含まれています。

UBAの主な機能は2つあります。

• ユーザーやアプリケーションのデータのベースラインを設定し、その基準からの逸脱を検出して、脅威の可能性があるとして報告します。
  
• 悪意のある行動を監視して、セキュリティの問題に対して予防措置を講じます。
  

これらの機能は、組織のネットワーク内の行動パターンを明らかにし、以前は取得できなかったコンテキストを提供する点で、SIEMソリューションにおいて重要な役割を果たします。また、SOC (セキュリティオペレーションセンター)チームへの通知前にアラートをフィルタリングすることで過剰なアラートの発生を抑制できるため、アナリストはより複雑な脅威や緊急の脅威への対応に時間を確保できます。

SIEMソリューションは、SOCが脅威の検出と防止を強化し、プロアクティブな対応を実現するのに役立ちます。

SIEMとSOARの違い

SOARは「Security Orchestration, Automation and Response (セキュリティのオーケストレーションと自動化によるレスポンス)」の頭字語で、SIEMとは異なるサイバーテクノロジーです。どちらも組織の環境内のすべてのデータをすばやく処理および分析し、手動では不可能な作業を実行する点は同じです。SIEMとSOARの違いに関するSplunkのブログ記事の要点をまとめると以下のようになります。 

• SIEMはサイバー脅威に関する有用なインサイトを提供する：さまざまなソースから収集したセキュリティデータを集約して分析します。
  
• SOARはセキュリティインシデントの優先度を判断し、効果的な対応を可能にする：機械学習を活用した自動化とオーケストレーション機能を提供します。
  

多くの組織がSIEMソリューションとSOARソリューションを併用しています。

SIEMとXDR

XDRは「eXtended Detection and Response (拡張検出/対応)」の略で、エンドポイントでの脅威の検出、調査、対応を支援するテクノロジーです。トリアージ、検証、対応プロセスを合理化する単一のプラットフォームを提供し、SOCアナリストの業務効率を向上させます。

SIEMとXDRの主な違いは2つあります。1つ目の違いは、SIEMではあらゆるソースからデータが取り込まれるのに対して、XDRツールでは取り込むデータが制限される点です。取り込むデータを絞り込むことで、エンドポイント脅威検出の範囲を拡大し、精度を向上させます。ただし、調査が複数のシステムやソリューションにまたがることが多い不正行為などの調査では、XDRがあまり役に立たないことがあります。

2つ目の違いは、SIEMとは異なり、XDRソリューションには十分なキャパシティがなく、データを長期間保存できないことです。そのため、コンプライアンスや監査の要件によっては、データを別の場所に保存する必要があります。一方で、一般的には、XDRシステムの方がSIEMプラットフォームよりも導入と運用が簡単です。

(関連記事：XDRとは？XDRの仕組みと必要とされる背景を解説)

SIEMツールの役割

SIEMツールは基本的に分析主導型のセキュリティコマンドセンターとしての役割を果たします。特に、機能が集中しているSOCでは中心的な存在です。SIEMツールでは、集中管理する1つの場所にすべてのイベントデータが集められ、そのイベントが解析および分類されます。さらに、セキュリティイベントについてインフラ全体でのコンテキストが提供されます。

SIEMで利用できる機能は、基本的なログ管理や警告機能から、リアルタイムでデータを表示する充実したダッシュボード、機械学習、履歴データの詳細分析まで、ソリューションによってさまざまです。主要なソリューションでは、以下のような情報を表示する多くのダッシュボードが用意されています。

• 重要イベントの概要と詳細
  
• 進行中の全調査のワークブック
  
• リスクの分析結果とスコア
  
• 追加のコンテキストとしての脅威インテリジェンス、ユーザーインテリジェンス、Webインテリジェンス、プロトコルインテリジェンス
  

エンドツーエンドのSIEMプロセスは、データ収集で始まり、自動化された問題解決とコンプライアンスレポートの作成で終わります。SIEMシステムでは、SIEMプロセスワークフローの個々の機能を実現するためにインテリジェンスと自動化が重要な役割を果たします。

SIEMソリューションの重要な機能

市場には多くのSIEMソリューションがあり、包括性に優れているものもあれば、最新のアーキテクチャを備えたものもあります。ソリューションを評価するときは、最新のSIEMに不可欠な以下の重要な機能を備えているかどうかを確認することが大切です。

リアルタイム監視

攻撃や既知の脅威への対応が遅れると被害が拡大します。そのためSIEMでは、以下のアクティビティを含め、ネットワーク内の状況をリアルタイムで俯瞰できることが重要です。

• ユーザー、デバイス、アプリケーションに関連付けられたアクティビティ
  
• IDと紐付けられていないアクティビティ
  

必要なのは、データソースに関係なくすべてのデータセットに対応する監視機能です。また、単に監視するだけでなく、情報が統合され有用な形で表示されることも重要です。SIEMの選定時は以下の機能を備えているかどうかをチェックしましょう。

• カスタマイズ可能で事前定義された相関ルールのライブラリ
  
• セキュリティインシデントとイベントをリアルタイムで表示するセキュリティイベントコンソール
  
• 脅威のアクティビティをリアルタイムで可視化するダッシュボード
  

インシデント対応

最も重要な要件として、分析主導型SIEMは進行中のサイバー攻撃を阻止できる自動対応機能を搭載している必要があります。また、以下の機能も必須です。

• 重要イベントとその状態の特定
  
• イベントの重大度の識別
  
• 修復プロセスの開始指示
  
• 対応中のインシデントに関するプロセス全体の監査
  

ユーザー監視

SIEMでは基本的なユーザー監視機能も重要です。具体的には、アクセスデータと認証データの分析、ユーザーコンテキストの確立、疑わしい行動や組織のポリシーおよび規制ポリシーの違反に関連するアラートの発信などです。

コンプライアンスレポート作成の担当者にとっては、特権ユーザーの監視機能も重要でしょう。攻撃の標的になりやすい特権ユーザーの監視は、規制の対象となる多くの業界でコンプライアンスレポート要件として求められています。

脅威インテリジェンス

SIEMでは、既知のゼロデイ攻撃やAPT (Advanced Persistent Threat)などの外部からの主要な脅威を識別できる必要があります。脅威インテリジェンスは、異常なアクティビティを発見するだけでなく、セキュリティ態勢の弱点が悪用される前に突き止めるのにも役立ちます。これにより、適切な対応策と修復方法を計画できます。

高度な分析と機械学習

どのようなデータでも、そこから明確なインサイトを引き出せなければ役に立ちません。高度な分析では、統計、記述的および予測データマイニング、シミュレーション、最適化などの洗練された定量的手法を導入することで、さらに多くの重要なインサイトを引き出すことができます。

機械学習を組み込んだSIEMツールなら、正常な挙動や真の問題を示す逸脱を時間をかけて学習することで検出精度を向上させることができます。こうした機能は、テクノロジーの進化、攻撃ベクトルの高度化、攻撃の巧妙化がかつてないほど急速に進んでいる今日、特に重要です。

高度な脅威検出

ほとんどのファイアウォールや侵入防止システムは、新たに出現した高度な脅威やAPTに適応できていません。そのためSIEMでは、ネットワークセキュリティの監視、エンドポイントでの検出と対応のサンドボックス化、行動分析を組み合わせることで新しい潜在的な脅威を検出して隔離できる必要があります。

脅威を検出するだけでなく、脅威の重大度、検出後の拡散状況、封じ込め方法について情報が提供されるかどうかもチェックしましょう。

シームレスなログ管理

SIEMでは、何百、さらには何千ものソースからデータを収集できるかどうかに加えて、ログデータの管理と取得に役立つ、使いやすくて直感的なインターフェイスを備えているかどうかも重要なポイントです。このログデータは以下のようなSIEMのさまざまな領域で利用されます。

• データのオーケストレーションと管理：データクレンジング、正規化、変換、エンリッチメント、標準化、データプラットフォーム内での移動
• フォレンジックと調査：リアルタイム監視、データ分析、アノマリ検出、イベントの相関付け
• 脅威の自動修復
  
• コンプライアンス管理とレポートの作成

SIEMの導入：ベストプラクティス

SIEMソリューションの価値を最大限に引き出す最善の方法は、自社のニーズと業界固有のリスクを理解し、自社に適したソリューションを時間をかけて選定して、継続的に改善することです。SIEMツールの価値を実現するために必要な強固な基盤を築くには、以下のベストプラクティスを実践します。

時間をかけて計画とレビューを行う

SIEMで何をしたいかをよく考え、具体的な目標を設定します。目標を設定することは、適切なSIEMツールを選ぶ上で重要です。SIEMは複雑で、導入に時間がかかることもあるため、初期の調査を怠ってはいけません。

SIEM導入の第一歩は、ビジネスのユースケースの優先順位を決めることです。設定した目標と照らし合わせて考えましょう。SIEMの実装方法を決めるときは、以下の点を検討します。

• システム内で利用できるデータのタイプと量
  
• ネットワークの規模、分散状況、地理的要件
  
• コンプライアンス上の義務
  
• 予算と組織の方針
  
• 従業員に十分な知識があるか、またはSIEMの実装、管理、保守担当者の育成が可能か
  

また、将来についても考えておく必要があります。当面のニーズに対応するだけでなく、予測される成長速度とセキュリティの成熟度の向上を勘案して、セキュリティ機能を将来どのように拡張していくかを検討します。たとえば、中小企業や成熟度の低いセキュリティチームであれば、基本的なイベント収集から始めて、UEBAやSOARなど、より高度な機能を徐々に取り入れていくことができます。

ユースケースとセキュリティロードマップが定まったら、SOCチームやITチームは、それに基づいてイベントデータの各種ソースを調査し、適切で完全かつ有用なデータがツールに取り込まれるように設定します。質の良いデータを取り込めば、その分SIEMは効果を発揮します。

導入後も継続的にメンテナンスをする

ツールを導入した後に適切に機能させるには、メンテナンスが欠かせません。どんなに直感的に使えるツールでも、システムを継続的に評価し、ビジネスの変化に合わせて調整する必要があります。

手順を定め、注意深く監視し、継続的に調整する

アラートを生成する条件を定義し、悪質と疑われるアクティビティが検出されたときのSIEMでの対応方法を決めます。この作業を怠ると、セキュリティチームのもとに優先度の高いアラートと誤検知のアラートが大量に届くことになります。継続的に調整を行うことで、誤検知のアラートを減らし、真の脅威に集中して対応することができます。

経験豊富な人材を雇う

SIEMを導入すればIT運用チームやセキュリティチームの負担が軽減されますが、だからといって高いスキルを持つ人材が不要になるわけではありません。ITとセキュリティ環境の変化に対応するには、ソリューションの実装、保守、継続的な調整に関するスタッフのトレーニングが欠かせません。

ソリューションの選定：最適なSIEMの選び方

SIEMの基本が理解できたら、次に考えるのは当然、自社が属している業界、脅威プロファイル、組織、および予算に最適なSIEMソリューションをどう選ぶかという点でしょう。

それは、自社の目標によって決まります。今日も増え続けるデータの処理、高度化する攻撃への対応、リアルタイムのスマートなインシデント対応の実現など、何を優先するかを考えましょう。

SIEMに関するアナリストの評価

SIEMについてはさまざまなアナリストレポートが公開されており、いずれも、顧客、ベンダー、プロバイダー自身が、必要な機能やソリューションの選択肢を理解するのに役立ちます。レポートを提供している調査会社は、特定の業界を調査して、長所と短所、位置付け、将来の成長や展望を分析しています。その代表的な調査会社が、ガートナー社、Forrester社、IDC社です。SIEMの領域でよく参照されるアナリストレポートには以下のものがあります。

• ガートナー社 SIEM部門のマジック・クアドラント
• ガートナー社 SIEM部門のクリティカル・ケイパビリティ
• IDC MarketScape
  

各レポートの最新版におけるSplunk Enterprise Securityの評価については、以下のブログ記事をご覧ください。

• ガートナー社 SIEM部門のマジック・クアドラント
• ガートナー社 SIEM部門のクリティカル・ケイパビリティ
• Forrester Wave™のセキュリティアナリティクスプラットフォーム部門
• 2022年IDC MarketScapeのSIEM部門

SIEMで複雑なサイバー脅威に先手を打つ

組織のセキュリティは、問題をいかに迅速に特定して修復できるかにかかっています。そのため、セキュリティチームは、さまざまなSIEMシステムの機能を調べて、組織のニーズに最も適したシステムを見つけることが非常に重要です。

SplunkのSIEM製品は、セキュリティ監視、高度な脅威検出、インシデント調査とフォレンジック、インシデント対応、SOCの自動化、幅広いセキュリティ分析と運用でのユースケースに役立つSIEMとして、世界中の数多くの企業や組織で利用されています。

Splunk SIEM製品の詳しい情報はこちらをご覧ください。

このブログはこちらの英語ブログの翻訳です。