0
会員になると、いいね!でマイページに保存できます。
共有する
高度な標的型攻撃や内部犯行──これらはネットワークやエンドポイント向けの従来のセキュリティ対策製品では防ぐことが難しい一方で、いざ問題が発生すると大規模な情報漏えい事件やシステム障害につながる可能性がある。こうしたリスクを最小化する製品、あるいはSOC(セキュリティオペレーションセンター)構築になくてはならない存在が「SIEM(Security Information and Event Management)」だ。そこで、IDC Japan ソフトウェア&セキュリティ リサーチ マネージャー 登坂 恒夫 氏にSIEM製品の概要と導入・運用、製品選定方法などについて話を聞いた。
執筆:西山 毅 企画・構成:ビジネス+IT編集部 松尾 慎司
執筆:西山 毅 企画・構成:ビジネス+IT編集部 松尾 慎司
SIEMが必要とされている背景
これまで、企業における情報セキュリティ対策は、外からの攻撃をいかに遮断するかに主眼が置かれてきた。実際、ファイアウォールの設置やウイルス対策といったセキュリティ対策については、日本でも多くの企業が対策済みの分野と言える。
しかし、相応のセキュリティ対策を実施していても、標的型攻撃をはじめ、高度化、複雑化する昨今のサイバー攻撃をすべて防ぐことは難しく、知らない間に侵入され、機密情報を持ち去られるというインシデントも増えてきている。
また、従業員をはじめとするステークホルダーによる内部犯行も大きな問題になっている。内部犯行の場合、いざ問題が発生すると大規模な情報漏えいを伴うケースが多く、ビジネスに大きなインパクトを与えることになりかねない。
これらの問題に対応するために、社内に侵入された痕跡や社内の不正な操作にいち早く気づき、その対応策を迅速に実施する内部対策が今、重要になってきているのである。
ただし、現在の日本企業におけるセキュリティ投資は、依然として内部対策よりも外部対策に多くの投資が割り振られているのが実情だ。IDC Japanが実施したという以下の調査結果を見ていただきたい。
投資計画のレベルでは、日本ではまだ外部からの脅威対策に目が向いていることがわかる。もちろん外部対策も疎かにはできないが、今ではそれと同等以上に内部対策が求められるようになっている。
こうした内部対策のための切り札ともいえるのが「SIEM」である。従来、SIEMは社内におけるセキュリティインシデントのログ管理という用途で使われてきた。ログを収集し、保存、管理するためのツールで、何か事故が起こった場合に備えての証拠保全を行うのである。
それが現在では、単にログを貯めるだけでなく、インシデントが起きている事態をリアルタイムに捕捉し、分析して、被害の有無を調べるという一連のセキュリティ状況を把握するための製品として活用されるようになっている。
SIEM製品市場も拡大する見通しだ。IDC Japanの調査によれば、2015年から2020年にかけて、国内SIEM市場は年率5.6%で成長していくという。
ただし、これは世界と比較すると決して高い成長率とは言えず、先にも述べた日本の外部対策偏重は以下のグラフからも見て取ることができる。
SIEMとはいかなるものか
では、SIEMとはいかなるものなのか。一般的にSIEMは、Security Information and Event Managementの略語だが、IDCではSecurity “Intelligence” and Event Management、つまり脆弱性管理におけるインテリジェンスを提供してくれるツールだと定義しているという。
収集、蓄積したログを分析することで、表面上、問題は起きていないが、実は社内にマルウェアが侵入していてデータを持ち出そうとしているような挙動があるといったことや、セキュリティポリシー上の違反がどこかで起きていることなどを察知し、セキュリティ担当者にアラートを出すことで、迅速な対応を可能にしてくれるものだ。
単にインシデントのインフォメーション=情報を貯めて管理し、必要に応じてログを見るというレベルがインフォメーション管理だとすれば、そのインシデントがどれほど重大なのか、そしてどんな脅威をもたらすものなのか、社内システムのどこで起こっているのかなどの重要情報にしぼりこんで提供することで取るべき対策までを示してくれるのがインテリジェンス管理である。
従来のSIEMは、万一の事故発生時に被害状況を調査し、報告するために用いられ、主な利用場面は事後対応だった。それが今では、外部からのセキュリティ侵害をいち早く把握し、被害を最小限に抑えるという目的で使われるようになってきた。そのために必要となるのは、単なる情報ではなく、膨大なインフォメーションから抽出されたインテリジェンスなのである。
インシデントをいち早く発見して、被害を最小限に食いとどめるか。脆弱性管理のためには、こうした認識を持ってSIEMを利用する必要がある。
SIEMの導入方法
それでは日本企業はどのようにSIEM製品を導入していけばいいのか。
まず単純にログを集めて分析するというだけなら、SIEMでなくても、各種機器からログを集める機能を提供する製品と、データ分析ツールを組み合わせればいいだろう。
しかし、さまざまな機器から自分たちでログを収集し、それを適切に管理してくことは至難の技だ。各種製品からデータを収集することはもちろん、そのデータを価値あるものに適切に加工しなければならないからである。
もちろん、SIEM製品をただ導入すればそれでよいというわけではない。どのインシデントに重大な問題があり、どのアラートは無視してよいのかは企業ごとに異なるはずで、その設計を適切に行わなければならない。
したがって、SIEMによるインテリジェンス管理のプロセスをより効果的に回していくためには、導入時にインシデントの優先順位付け、即ちリスク管理との連携を図っておくことが重要になる。たとえば、もし自社の機密情報を保管しているサーバの近辺で発生したインシデントは、一刻も早く対応に当たらなければならないだろう。
こうした事前準備をしておいてこそ、SIEMは有効に機能することになる。そしてSIEM導入を成功に導くための最大のポイントは、導入後も継続的に運用していくことのできる体制作りだ。次にこの点について、考えてみたい。
【次ページ】主要SIEM製品、その特徴とは?
関連タグ
