2024年セキュリティの現状:競争が激化するAIの活用
先進的なサイバーセキュリティ対策を推進する組織がどのように課題を克服し、AIを活用してイノベーションを推進し、デジタルレジリエンスを強化しているかをご確認ください。
セキュリティの脅威を効果的に検出して調査し、対応するのは容易ではありません。このプロセスに大いに役立つのがSIEMです。SIEMは、1カ所に統合された効率的なデータ表示、セキュリティ業務に関するインサイト、セキュリティ運用に必要な機能を提供するサイバーセキュリティテクノロジーです。SIEMを利用すれば、サイバー脅威に先手を打つことができます。
SIEMは「Security Information and Event Management (セキュリティ情報/イベント管理)」の略で、分散環境全体をリアルタイムで包括的に可視化し、履歴分析機能を提供して、サイバーセキュリティ態勢を強化するソリューションです。SIEMテクノロジーは組織のレジリエンス向上にも貢献します。
SIEMは、脅威やその他の異常を検出するために大量のデータを数秒で取り込み、くまなく調査して、異常な挙動が見つかった場合はアラートを生成します。この規模とスピードを手作業で実現するのは不可能です。SIEMツールを使えば、任意の時点でのITインフラの状態を確認できます。このように、ネットワーク、アプリケーション、ハードウェア、クラウド、SaaSソリューションなどのあらゆるソースからデータをリアルタイムで収集および分析する能力は、内外の脅威に先手を打つために非常に重要です。
この記事では、SIEMの意味や機能、最適なSIEMソリューションの選び方について説明します。
技術面について見る前に、今日のセキュリティの状況を確認しておきましょう。「SIEM」という言葉は、2005年にガートナー社によって提唱されました。その後約20年の間に、SIEMは脅威の検出、調査、対応(TDIR:Threat Detection, Investigation and Response)のための重要なソリューションとしての地位を確立しました。当初はセキュリティ情報管理(SIM)とセキュリティイベント管理(SEM)のプロセスを統合しただけのツールでしたが、今日では、包括的なエンドツーエンドのサイバーセキュリティ管理、統制、コンプライアンスソリューションへと進化しています。
SIEMテクノロジーソリューション市場は堅調に成長を続け、2021年~2026年の年平均成長率(CAGR)は14.5%にのぼると見込まれています。2021年時点での市場価値は48億ドルで、2026年には113億ドルに達すると予測されています。この急速な成長の背景にはいくつかの要因が考えられます。
企業がサイバーセキュリティに割り当てるコストは、サイバーインシデントによる損失の大きさと密接に関連しています。データ侵害の平均コストは世界的に増加し続けており、最新の調査では520万ドルに達しています。
米国に拠点を置く企業ではデータ侵害の平均コストがさらに高く、2023年には1,010万ドルにのぼっています。
サイバーセキュリティに関するコストが増える一方で、技術スキル不足は依然として喫緊の課題です。2023年時点でサイバーセキュリティ職の欠員は世界全体で数百万にのぼり、この業界の深刻な人材不足を浮き彫りにしています。セキュリティ人材が不足していると、セキュリティ侵害の防止やデジタル防御の強化も手薄になります。
こうした背景を踏まえると、組織がSIEMのインテリジェントな自動化機能に期待するのも当然と言えるでしょう。増大するセキュリティの脅威に先手を打つには、大量のイベントログデータを分析する必要があるからです。
それでは、大量のITイベント、インシデント、ログデータを処理するSIEMの仕組みについて見ていきましょう。SIEMソリューションには、社内ネットワークインフラの境界からエンドユーザーまで、さまざまなソース(サーバー、システム、デバイス、アプリケーションなど)から収集されたイベントデータが集約されます。
(発音について:SIEMは一般的に「シーム」と読みます。「SEIM」と表記したり「シム」と読むこともありますが、指しているものは同じです)
集約されたデータは、ユーザーや資産などに関するコンテキスト情報を付加したインサイトとともに1つの画面に表示されます。SIEMソリューションでは、データを統合して分析し、組織が定義した挙動のルールからの逸脱を調べることで、潜在的な脅威が特定されます。データソースには以下のものが含まれます。
分析対象となる属性には、ユーザー、イベントタイプ、IPアドレス、メモリー、プロセスなどがあります。
SIEMソリューションで検出された逸脱は、ログインの失敗、アカウントの変更、潜在的なマルウェアなどのカテゴリに分類されます。逸脱が検出されると、セキュリティアナリストにアラートが通知されるか、異常なアクティビティが一時停止されます。SIEM管理者は、アラートを発する状況についてガイドラインを設定し、悪質なアクティビティが一時停止されたときの対応手順を決めます。
SIEMソリューションではパターンや異常な挙動も検出されます。そのため、単一のイベントではアラート対象にならない異常も、複数のイベントの相関付けによって検出され、アラートが生成されます。
さらに、これらのログがデータベースに保管されるため、ログを使ってより詳細なフォレンジック調査を行ったり、組織に適用される規制に準拠していることを証明したりできます。
SIEMソリューションにはネットワークインフラ内のさまざまなソースからのデータが集約されます。
SIEMテクノロジーは、セキュリティアナリストが組織のIT環境全体の状況を把握し、他の検出手段を回避する脅威を特定するのに役立ちます。優れたSIEMソリューションを導入すれば、セキュリティアナリストの業務を改善し、多くの組織が抱える以下の3つのセキュリティ課題を解決できます。
総括すると、SIEMのメリットは、大きな被害をもたらす侵害を防止するとともに、多額の罰金と組織の信頼低下につながるコンプライアンス違反を回避できることです。
サイバー空間には脅威だけでなく、さまざまなテクノロジー、ソリューション、アプローチを示す頭字語が溢れています。皆様の中にも「SIEM」と聞いて他のものを連想した方もいらっしゃるでしょう。ここではその違いについて説明します。
近年、SIEMの領域に他のツールが進出しています。その1つがUBA (ユーザー行動分析)です。UBAは、UEBA (ユーザーとエンティティの行動分析)とも呼ばれ、内外の脅威を検出して修復するのに使用されます。
UBAは、高度なセキュリティツールと見なされることもよくありますが、SIEMのカテゴリに徐々に組み込まれ始めています。たとえば、ガートナー社によるSIEM部門のマジック・クアドラントには、UBA/UEBA製品に関する情報が含まれています。
UBAの主な機能は2つあります。
これらの機能は、組織のネットワーク内の行動パターンを明らかにし、以前は取得できなかったコンテキストを提供する点で、SIEMソリューションにおいて重要な役割を果たします。また、SOC (セキュリティオペレーションセンター)チームへの通知前にアラートをフィルタリングすることで過剰なアラートの発生を抑制できるため、アナリストはより複雑な脅威や緊急の脅威への対応に時間を確保できます。
SIEMソリューションは、SOCが脅威の検出と防止を強化し、プロアクティブな対応を実現するのに役立ちます。
SOARは「Security Orchestration, Automation and Response (セキュリティのオーケストレーションと自動化によるレスポンス)」の頭字語で、SIEMとは異なるサイバーテクノロジーです。どちらも組織の環境内のすべてのデータをすばやく処理および分析し、手動では不可能な作業を実行する点は同じです。SIEMとSOARの違いに関するSplunkのブログ記事の要点をまとめると以下のようになります。
多くの組織がSIEMソリューションとSOARソリューションを併用しています。
XDRは「eXtended Detection and Response (拡張検出/対応)」の略で、エンドポイントでの脅威の検出、調査、対応を支援するテクノロジーです。トリアージ、検証、対応プロセスを合理化する単一のプラットフォームを提供し、SOCアナリストの業務効率を向上させます。
SIEMとXDRの主な違いは2つあります。1つ目の違いは、SIEMではあらゆるソースからデータが取り込まれるのに対して、XDRツールでは取り込むデータが制限される点です。取り込むデータを絞り込むことで、エンドポイント脅威検出の範囲を拡大し、精度を向上させます。ただし、調査が複数のシステムやソリューションにまたがることが多い不正行為などの調査では、XDRがあまり役に立たないことがあります。
2つ目の違いは、SIEMとは異なり、XDRソリューションには十分なキャパシティがなく、データを長期間保存できないことです。そのため、コンプライアンスや監査の要件によっては、データを別の場所に保存する必要があります。一方で、一般的には、XDRシステムの方がSIEMプラットフォームよりも導入と運用が簡単です。
(関連記事:XDRとは?XDRの仕組みと必要とされる背景を解説)
SIEMツールは基本的に分析主導型のセキュリティコマンドセンターとしての役割を果たします。特に、機能が集中しているSOCでは中心的な存在です。SIEMツールでは、集中管理する1つの場所にすべてのイベントデータが集められ、そのイベントが解析および分類されます。さらに、セキュリティイベントについてインフラ全体でのコンテキストが提供されます。
SIEMで利用できる機能は、基本的なログ管理や警告機能から、リアルタイムでデータを表示する充実したダッシュボード、機械学習、履歴データの詳細分析まで、ソリューションによってさまざまです。主要なソリューションでは、以下のような情報を表示する多くのダッシュボードが用意されています。
エンドツーエンドのSIEMプロセスは、データ収集で始まり、自動化された問題解決とコンプライアンスレポートの作成で終わります。SIEMシステムでは、SIEMプロセスワークフローの個々の機能を実現するためにインテリジェンスと自動化が重要な役割を果たします。
市場には多くのSIEMソリューションがあり、包括性に優れているものもあれば、最新のアーキテクチャを備えたものもあります。ソリューションを評価するときは、最新のSIEMに不可欠な以下の重要な機能を備えているかどうかを確認することが大切です。
攻撃や既知の脅威への対応が遅れると被害が拡大します。そのためSIEMでは、以下のアクティビティを含め、ネットワーク内の状況をリアルタイムで俯瞰できることが重要です。
必要なのは、データソースに関係なくすべてのデータセットに対応する監視機能です。また、単に監視するだけでなく、情報が統合され有用な形で表示されることも重要です。SIEMの選定時は以下の機能を備えているかどうかをチェックしましょう。
最も重要な要件として、分析主導型SIEMは進行中のサイバー攻撃を阻止できる自動対応機能を搭載している必要があります。また、以下の機能も必須です。
SIEMでは基本的なユーザー監視機能も重要です。具体的には、アクセスデータと認証データの分析、ユーザーコンテキストの確立、疑わしい行動や組織のポリシーおよび規制ポリシーの違反に関連するアラートの発信などです。
コンプライアンスレポート作成の担当者にとっては、特権ユーザーの監視機能も重要でしょう。攻撃の標的になりやすい特権ユーザーの監視は、規制の対象となる多くの業界でコンプライアンスレポート要件として求められています。
SIEMでは、既知のゼロデイ攻撃やAPT (Advanced Persistent Threat)などの外部からの主要な脅威を識別できる必要があります。脅威インテリジェンスは、異常なアクティビティを発見するだけでなく、セキュリティ態勢の弱点が悪用される前に突き止めるのにも役立ちます。これにより、適切な対応策と修復方法を計画できます。
どのようなデータでも、そこから明確なインサイトを引き出せなければ役に立ちません。高度な分析では、統計、記述的および予測データマイニング、シミュレーション、最適化などの洗練された定量的手法を導入することで、さらに多くの重要なインサイトを引き出すことができます。
機械学習を組み込んだSIEMツールなら、正常な挙動や真の問題を示す逸脱を時間をかけて学習することで検出精度を向上させることができます。こうした機能は、テクノロジーの進化、攻撃ベクトルの高度化、攻撃の巧妙化がかつてないほど急速に進んでいる今日、特に重要です。
ほとんどのファイアウォールや侵入防止システムは、新たに出現した高度な脅威やAPTに適応できていません。そのためSIEMでは、ネットワークセキュリティの監視、エンドポイントでの検出と対応のサンドボックス化、行動分析を組み合わせることで新しい潜在的な脅威を検出して隔離できる必要があります。
脅威を検出するだけでなく、脅威の重大度、検出後の拡散状況、封じ込め方法について情報が提供されるかどうかもチェックしましょう。
SIEMでは、何百、さらには何千ものソースからデータを収集できるかどうかに加えて、ログデータの管理と取得に役立つ、使いやすくて直感的なインターフェイスを備えているかどうかも重要なポイントです。このログデータは以下のようなSIEMのさまざまな領域で利用されます。
SIEMソリューションの価値を最大限に引き出す最善の方法は、自社のニーズと業界固有のリスクを理解し、自社に適したソリューションを時間をかけて選定して、継続的に改善することです。SIEMツールの価値を実現するために必要な強固な基盤を築くには、以下のベストプラクティスを実践します。
SIEMで何をしたいかをよく考え、具体的な目標を設定します。目標を設定することは、適切なSIEMツールを選ぶ上で重要です。SIEMは複雑で、導入に時間がかかることもあるため、初期の調査を怠ってはいけません。
SIEM導入の第一歩は、ビジネスのユースケースの優先順位を決めることです。設定した目標と照らし合わせて考えましょう。SIEMの実装方法を決めるときは、以下の点を検討します。
また、将来についても考えておく必要があります。当面のニーズに対応するだけでなく、予測される成長速度とセキュリティの成熟度の向上を勘案して、セキュリティ機能を将来どのように拡張していくかを検討します。たとえば、中小企業や成熟度の低いセキュリティチームであれば、基本的なイベント収集から始めて、UEBAやSOARなど、より高度な機能を徐々に取り入れていくことができます。
ユースケースとセキュリティロードマップが定まったら、SOCチームやITチームは、それに基づいてイベントデータの各種ソースを調査し、適切で完全かつ有用なデータがツールに取り込まれるように設定します。質の良いデータを取り込めば、その分SIEMは効果を発揮します。
ツールを導入した後に適切に機能させるには、メンテナンスが欠かせません。どんなに直感的に使えるツールでも、システムを継続的に評価し、ビジネスの変化に合わせて調整する必要があります。
アラートを生成する条件を定義し、悪質と疑われるアクティビティが検出されたときのSIEMでの対応方法を決めます。この作業を怠ると、セキュリティチームのもとに優先度の高いアラートと誤検知のアラートが大量に届くことになります。継続的に調整を行うことで、誤検知のアラートを減らし、真の脅威に集中して対応することができます。
SIEMを導入すればIT運用チームやセキュリティチームの負担が軽減されますが、だからといって高いスキルを持つ人材が不要になるわけではありません。ITとセキュリティ環境の変化に対応するには、ソリューションの実装、保守、継続的な調整に関するスタッフのトレーニングが欠かせません。
SIEMの基本が理解できたら、次に考えるのは当然、自社が属している業界、脅威プロファイル、組織、および予算に最適なSIEMソリューションをどう選ぶかという点でしょう。
それは、自社の目標によって決まります。今日も増え続けるデータの処理、高度化する攻撃への対応、リアルタイムのスマートなインシデント対応の実現など、何を優先するかを考えましょう。
SIEMについてはさまざまなアナリストレポートが公開されており、いずれも、顧客、ベンダー、プロバイダー自身が、必要な機能やソリューションの選択肢を理解するのに役立ちます。レポートを提供している調査会社は、特定の業界を調査して、長所と短所、位置付け、将来の成長や展望を分析しています。その代表的な調査会社が、ガートナー社、Forrester社、IDC社です。SIEMの領域でよく参照されるアナリストレポートには以下のものがあります。
各レポートの最新版におけるSplunk Enterprise Securityの評価については、以下のブログ記事をご覧ください。
組織のセキュリティは、問題をいかに迅速に特定して修復できるかにかかっています。そのため、セキュリティチームは、さまざまなSIEMシステムの機能を調べて、組織のニーズに最も適したシステムを見つけることが非常に重要です。
SplunkのSIEM製品は、セキュリティ監視、高度な脅威検出、インシデント調査とフォレンジック、インシデント対応、SOCの自動化、幅広いセキュリティ分析と運用でのユースケースに役立つSIEMとして、世界中の数多くの企業や組織で利用されています。
Splunk SIEM製品の詳しい情報はこちらをご覧ください。
このブログはこちらの英語ブログの翻訳です。
Splunkは、ガートナー社による2024年マジック・クアドラントのSIEM (セキュリティ情報/イベント管理)部門で今年もリーダーに認定されました。その理由をレポートでお確かめください。
レポートを入手する
この記事について誤りがある場合やご提案がございましたら、ssg-blogs@splunk.comまでメールでお知らせください。
この記事は必ずしもSplunkの姿勢、戦略、見解を代弁するものではなく、いただいたご連絡に必ず返信をさせていただくものではございません。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。