デジタルワークプレイスを構築する際によく聞く「SIEM」。SIEMはログ管理から、リスク分析・検知するためのソリューションです。標的型攻撃対策としてセキュリティ業界で注目を集めています。そこで、SIEMの仕組みや機能、また導入メリットや注意点について詳しく解説していきます。
SIEMとは
SIEMとは、Security Information and Event Managementの略で、「シーム」と発音します。
SIEMは情報機器等の動作状況を管理するもので、特徴的なのは動作状況の記録を一元的に管理および蓄積した上で、異常を検知・分析できる点です。多様なデータを分析して脅威となり得る事象を自動で検知し、管理者に通知します。
このシステムによって脅威が可視化でき、ログの取得もリアルタイムで行われるためインシデントが発生した場合でも迅速な対応ができるようになります。
このような一連の流れは、SIEMを使わずとも専門的な知識を持った従業員がログを分析すれば不可能ではありません。しかし、このようなマニュアルでの手法は、分析にかなりの時間がかかります。さらに、巧妙化が進む攻撃に対しては複数の機器から取得したログを総合的に判断するといった、複雑な分析を行うことが求められます。作業量は膨大となり、現実的にはマニュアルで分析を行うことは困難でしょう。そのため、近年は特にSIEMを用いた管理が注目されています。
SIEMの仕組み
SIEMは複数機器から集めたログを時系列で相関分析し、異常を検知します。インシデントの予兆あるいは痕跡を見つけ出すことが可能で、それらの発見をアラートする仕組みも備えています。
具体的には、ネットワーク、サーバー、PC等の関連デバイス、そしてそれらで使われているアプリケーションなどからデータを取得しています。デバイスには例えば、ルーターやスイッチ、ブリッジ、ハブ等があります。サーバーにはWebサーバーやプロキシサーバー、またファイアウォールやIDP/IPSなども対象です。このように収集対象となる機器の幅はとても広いので、社内に限らずエンドユーザーまで含めた多様なターゲットから情報を集めます。もちろん、Boxのファイルへのアクセスログも対象にできます。
SIEMの機能
異常検知のためにSIEMに備えられている機能を紹介します。
ログの監視
ログの監視は最も基本的な機能です。監視対象は上述の通り多岐にわたりますが、そのことがかえって問題になることもあります。無限に情報が処理できるわけではないため、監視対象を広げ過ぎてしまうと過度な負荷がかかってしまい、適切な分析が行えなくなる恐れもあります。ディスク容量を加味した上で分析範囲は選定しておかなければなりません。
ログの収集と統合
複数のセキュリティソフトウェアが監視で得たログファイルを集め、統合管理する機能を備えています。これはそれぞれのソフトウェアに保存されるものですが、ばらばらに保存されている状態だと問題が生じた際に情報を集めて確認するだけでも手間がかかり大きな負担となることがあります。統合管理されることで、すぐに全端末に関して確認ができるようになり、ログ同士の分析も実施しやすくなるでしょう。
情報の統合に関連してもう1点重要な機能があります。それがデータの正規化です。機器やソフトウェアごとに出力フォーマットが異なっていると適切な分析ができません。人が手作業でフォーマットを成形するとこれもまた非常に多くの時間を要してしまいます。そこで、相関分析を行うために欠かせない正規化を自動で実行します。効率的な検知のために重要な機能といえます。
ログの分析
ログの監視・データ収集、およびそれらの統合ができれば、次に問題が生じていないかどうか判断するための分析を行います。分析まで行う機能があると管理者は具体的な対策を講じることが可能です。
ログの分析には相関分析という方法が使われます。これは複数のデータ間の関連性も考慮して数値化する分析手法のことです。例えば単一データを分析するだけでは脅威と判断することが難しい攻撃でも、様々な要因から総合的に脅威と判断できるようになります。そのため、不正行為と評価するのが難しい長期的な攻撃や内部で起こる行為なども、相関分析によって発見しやすくなります。
また、その精度を維持する上では、ユーザー行動分析(UBA)が行われています。これは機械学習を活用し、ユーザーの普段の行動を理解した上で、いつもと異なる問題ある行動を発見するというものです。これにより例えば内部の人間を装った、悪意ある部外者を見つけやすくなります。
SIEM導入によるメリット
SIEMの導入には主に以下の4つのメリットがあります。
- ログの統合管理ができる
- 相関分析によってセキュリティインシデントの発見ができる
- リアルタイム分析でリスクを早期に発見できる
- リスク分析にかかる手間と時間が大幅に減少できる
ログの統合管理によってリアルタイムでの相関分析を実行することで、分析にかかる時間を大幅に短縮できます。上記で説明した通り、人間がこの作業を行うと莫大な時間がかかるため、多くのサンプルを用いて分析することが困難です。
また、SIEMの分析が優れているのは、第三者による侵入や何か異常が生じた際にいち早く知らせるだけでなく、複数データを照らし合わせることで、脅威の源となるものかどうかの評価もしてくれる点にあります。セキュリティログをビッグデータ化し分析するのです。未だ脅威として顕在化していないものに関しても、分析を行うことで脅威となり得る行動があったことを判別できます。
例えば、ユーザーが社内ネットワーク等へのログインに失敗したとき、それをもって脅威と評価することは難しいでしょう。しかし、同様の失敗が同時に複数箇所で起こっているのであれば、脅威になり得る可能性があると評価しやすくなります。多様なデータを統合管理、分析しているからこそ、異常を迅速に把握できます。
迅速に異常に気づくことができれば、重大なインシデントの発生を防ぐだけでなく、すでに発生してしまったインシデントに対する被害も最小限に抑えられるでしょう。特に近年は攻撃方法も巧妙化しているだけでなく、社員が社外からアクセスを行う機会も増えているため、インシデントや脅威を完全に防ぐことは困難です。そのため、脅威を侵入させないことに加え、侵入されてもすぐに対応できる準備をしておくことが重要視されています。このように、リスクの最小化を図り、社内システムの安定化を実現します。
SIEM導入の注意点
SIEMの導入にあたっては注意しておくべき点がいくつかあります。まず1つはログ取得によるディスク容量への圧迫を考慮した設定が必要だという点です。インシデントの調査を行っているときなどは特に多くのデバイスを管理対象にしたくなるものですが、常に情報を十分に処理できる状態でなければなりません。必要な情報のみが取得されるように設定、もしくは適切な保管期間等の設定が必要です。
また、導入すれば問題が解決するわけではないため、実際に自社で分析のリソースが確保できるかの確認も必要です。内部のスタッフの誰かがその仕組みや使い方を理解し、チューニングやその他の管理作業を行わなくてはなりません。このような運用にかかる人的リソースを考慮した上で、継続的な運用が可能かどうかを判断しましょう。
[SMART_CONTENT]
まとめ
セキュリティ上の課題を抱えている場合には、ここで説明したSIEMの導入も一つの解決手段として検討してみると良いでしょう。ログ管理や、リスク分析・検知が効率的に実施できるようになります。あらゆる種類の問題を解決するものではありませんが、標的型攻撃等への対策としては特に有用とされています。自社の環境や人的リソースの問題も考慮しつつ、適切な形で導入を行うようにしましょう。
