⇒【東証プライム企業も多数利用!】最先端のSNSマーケティングツール「Tofu Analytics」、「InstantWin」とは?
年々、巧妙化するサイバー攻撃。企業のセキュリティ担当者は、毎日のようにセキュリティ対策に頭を悩ませているでしょう。
そこで本記事では、セキュリティ対策の1つの方法として、SIEM製品をご紹介します。製品の選び方やおすすめ製品も取り上げていますので、ぜひ参考にしてください。
SIEMとは
SIEMとは、「Security Information and Event Management」の略称であり、「シーム」と呼びます。和訳すると、「セキュリティ情報とイベント管理」です。SIEM製品を導入すると、ソフトウェアやデバイスのログを一元管理が可能となり、不審な挙動をいち早く検知します。
SIEMの大きな特徴は、非常に大量のデータを解析するだけではなく、複数のログにまたがって相関分析を自動的に行うことです。また、セキュリティに特化したログ管理や解析を行うのがSIEMです。
SIEMが必要な理由
そもそも、なぜSIEMが必要なのでしょうか。SIEMが必要な理由は、近年のサイバー攻撃の複雑化が挙げられます。ファイヤーウォールなどをすり抜ける脅威は日々、増していると言えるでしょう。
そのため、巧妙化するサイバー攻撃を防御するだけではなく、侵入されることを前提とした対策が求められるわけです。
SIEMの仕組み
SIEMは単体のシステム情報を処理するだけではなく、ファイヤーウォールやIDS/IPSなどの複数の情報を横断、さらに相関分析を行うことで真価を発揮します。
とはいえ、SIEMに全てを任せていいかというとそうではありません。SIEMはシグネチャを適用させるものの、どのシグネチャを適用させるかの判断は担当者によります。1つのイベントに対しても数多くのアラートを吐き出すため、時には正常ではないものもご認知されます。
最終的な以上検知の判断はSIEMを扱う担当者に委ねられるわけです。
SIEM製品の主な機能
ここではSIEM製品の主な機能をご紹介します。
ログ監視
ログ監視はSIEM製品の基本的な機能です。ファイヤーウォールやIDS/IPS、データベース、クラウドなど非常に多岐にわたる監視範囲が特徴となります。
ただし、監視範囲を広範囲にしすぎると、適切な分析ができなくなるため、解析範囲の事前決定がポイントです。
ログの収集や統合
SIEMはログの収集と統合も行うことができます。これまでのセキュリティ製品ごとに管理画面を開いてチェックしていたのが一括管理できるわけです。また、SIEM製品を使うと自動的にログの正規化を実行してくれるため、効率的な相関分析につながります。
ログの相関分析
相関分析とは、複数のデータの関連性を見つけて数値化することです。ログの相関分析ができると、さまざまな要因から総合的に判断して脅威を即座に見つけることができます。
SIEM製品の選び方
SIEM製品を選ぶときは、以下の4点に着目してみてください。
料金
SIEM製品は、数十万円から数百万円まで製品によってひらきがあります。分析の処理スピード、レポート機能など優劣で料金プランが異なります。
なかには、ログのデータ量について従量課金される場合もあり、ライセンス課金なども含めて複数の製品を比較することが重要です。
分析速度
SIEM製品を選ぶ際は、分析速度も重視したいポイントです。分析スピードが優れていれば、セキュリティアクシデントがあっても最小限の被害で済みます。
ただし、分析速度が速ければいいというものではなく、検知ルールの作成や設定を担当者が行うといい場合もあります。ちなみに、近年では機械学習によって検知ルールを自動作成する機能を持つSIEM製品も登場しています。
保管期間
ログの保管期間も考慮して製品を選びましょう。5年や10年など長期間の保管をする場合は、それに見合うストレージ容量を検討してください。
形式
多くの場合で正規化、統合化の機能が実装されていますが、全てのログ形式に対応しているわけではありません。どのログを対象とするのかも事前に精査しておきましょう。
SIEM製品・おすすめ3選
ここでは、SIEMでおすすめの3製品をご紹介します。導入の際の参考にしてください。
Splunk Enterprise
Splunk Enterpriseは、ITシステムやITインフラをリアルタイムかつ自動的に解析して、アラート生成をしてくれます。ビッグデータをリアルタイムに監視・分析、可視化することで、ビジネスの成果につなげていきます。
さまざまなデータソースに対応して、機械学習を活用した分析でビジネスの意思決定にも貢献します。
McAfee SIEM
McAfee SIEMは、クラウドかオンプレミスのいずれかの導入形態を選ぶことが可能です。アメリカで独自設計したデータベースの技術を使って、多様で大量のログデータをリアルタイムに分析します。
相関分析ルールのテンプレートが豊富であり、精度を高めて自社にあった設定ができるでしょう。
IBM QRadar SIEM
IBM QRadar SIEMは、ネットワーク上のデバイスやアプリケーションからログ・イベントを取得してインシデントを早期に発見します。ネットワークフローのデータと統合することで早期の発見が可能となっています。
オンプレミスやSaaS、laaSなどの複数の環境を跨いで一括管理ができて、レポート・テンプレート機能によってコンプライアンス管理もできます。
SIEM製品を使ってみよう
セキュリティの脅威を早期発見できるのがSIEM製品です。年々、巧妙化するサイバー攻撃に備えるためにも、SIEM製品の導入を検討してみてはどうでしょうか。
本記事では製品の選び方やおすすめの製品をご紹介しました。今後、SIEM製品を導入する際の参考になれば幸いです。
⇒【東証プライム企業も多数利用!】最先端のSNSマーケティングツール「Tofu Analytics」、「InstantWin」とは?
