SIEM連携による効果とは?セキュリティの要となり得るSIEMの基礎知識について詳しく解説
企業のセキュリティ対策として、近年注目を集めるソリューションの一つに「SIEM」があります。
SIEMとは、セキュリティ情報イベント管理のことですが、具体的には何ができるのか、導入するメリットが何かなどがわからない方は多いのではないでしょうか。
この記事では、SIEMの概要や仕組み、必要とされる背景、導入するメリットについて解説します。
■SIEMとは?
SIEM(シーム)はSecurity Information and Event Managementの略称で、日本語にすると「セキュリティ情報イベント管理」となります。システムを構成する機器などからログを収集・分析することで、セキュリティインシデントを自動的に発見するソリューションです。
SIEMはSIMと SEMを統合したものですが、それぞれの違いと併せて、仕組みや必要とされる背景について見ていきましょう。
◇「SIM」と「SEM」について
SIMはSecurity Information Managementの略称で、セキュリティ情報管理を意味します。セキュリティの情報を管理することで、新たにインシデントが発生した際に、その原因や攻撃経路の特定、被害想定などを行なうソリューションです。
対して、Security Event Management(セキュリティイベント管理)の略称であるSEMは、ログをリアルタイムに分析するソリューションです。脅威や兆候を発見してアラートを出したり、脅威への対応を行なったりします。
SIEMはSIMとSEMの両方の機能を備えており、セキュリティ上の脅威や攻撃の兆候などを監視し、インシデントが発生した際には解決に向けての行動を促します。
◇SIEMの仕組み
SIEMは、自動的に大量のログを一箇所で集中管理し、相関関係を分析することで、サイバー攻撃やマルウェアの兆候を発見する仕組みです。
前述のとおり、SIEMではシステムを構成するあらゆる機器類からログを収集します。例えば、ネットワーク機器やサーバー、ファイアウォール、IDS/IPS、ウイルス対策ソフトなどが挙げられるでしょう。
これらの機器が出力するログには、アプリケーションの稼働状況やユーザーの利用履歴、IPアドレス、ID情報といったさまざまな情報が含まれています。システムの規模が大きく利用者数が多いほど、ログの量も膨大になるため、収集や分析は非常に困難です。
そのため、ログを一元管理し、効率的な分析を行なえる仕組みにしたのです。異なる機器から収集したログを組み合わせて分析すれば、それぞれのログだけでは発見できない攻撃や兆候も、発見できるようになります。
◇SIEMが必要とされる背景
近年、テクノロジーの進歩によって、サイバー攻撃も巧妙化・多様化が進んでいます。サイバー攻撃は水面下で行なわれることが多く、「気付いたらサイバー攻撃を受けていた」ということも珍しくありません。特に、単一的な視点では気付けない攻撃手法が、いくつも生み出されているのが現状です。
そのため、システムを構成する機器類からログを収集し、統合的に管理・分析できるSIEMが必要とされています。SIEMの活用により、個別の対応が難しいサイバー攻撃にも対処できるため、巧妙化するサイバー攻撃への対策手段として有効と考えられているのです。
■SIEMのおもな機能
SIEMにはさまざまな製品が存在しますが、そのなかでも主軸となる機能は次の3つです。
◇シームレスなログ管理
SIEMを活用すると、シームレスなログ管理が可能です。
通常、ネットワーク機器やサーバーはそれぞれにログを保管します。システムの規模が大きくなるほど機器の数は多くなり、ログの量も大量になります。大量のログを手動で収集・分析することは、非常に労力がかかる作業です。
しかし、SIEMでは自動的に各種機器からログを収集するため、スムーズに一元管理ができます。ログを一箇所にまとめて管理すること自体は昔から行なわれてきましたが、SIEMでの一元管理は、次で解説する機能と合わせてさらなる効果を生み出します。
◇機械学習を用いた相関分析
一元的に管理するログは、SIEM上で相関分析が行なわれます。相関分析とは、2つの要素間の関係性を明らかにし、データの特徴を把握する手法です。例えば、ファイアウォールにログが残っていないにも関わらず、サーバー上で外部と通信しているログが残っていた場合、この2つの関係性から異常が疑われます。
それぞれのログを単一的な視点で確認するだけでは気付けない事象も、相関分析を行なえば気付けることから、巧妙化するサイバー攻撃に対しても有効です。
相関分析に機械学習を用いたSIEMを活用すれば、分析を続けることで精度も上がり続けます。
◇リアルタイムな監視とインシデント対応
SIEMは、日々大量に生成されるログを自動的に収集・分析するだけでなく、異常を早期に検知することもできます。異常を検知したらアラートなどで通知するため、人間が常時監視をしていなくともリアルタイムな監視が可能です。
また、アラートを発するだけでなく、その後の対応まで自動的に行なえるものもあります。SIEMは、さまざまなセキュリティ製品との組み合わせも可能なため、セキュリティ対策や運用体制の自動化にも用いられています。
■SIEMを導入するメリット
セキュリティ強化のために導入されることが多いSIEMには、いくつかのメリットがあります。ここでは、SIEMを導入する3つのメリットについて解説します。
◇強固なセキュリティ環境の実現
SIEMは、システムを構成するあらゆる機器からログを収集し、常時監視・分析を行ない、異常時にはアラートなどで通知をします。これだけでも、サイバー攻撃やマルウェア感染の兆候をいち早く発見することが可能です。
加えて、相関分析を行なうことで、ファイアウォールやIDS/IPSで対応しきれない攻撃であっても異常を検知できます。外部からの攻撃だけでなく、内部での不正も発見しやすくなるため、ネットワークの内外を問わない強固なセキュリティ環境の構築が可能です。
◇自動化による効率化
ログの収集だけでも、人の手で行なうには多大な労力を要します。SIEMを導入すれば、ログの収集・分析・通知までの流れを自動化できるため、効率的なシステム監視体制の構築が可能です。
サイバー攻撃などのセキュリティインシデントが発生した際には、被害の拡大を防ぐために素早い対応が欠かせません。システム監視体制が効率的であれば検知スピードも早くなり、即座に対応できます。
このように、SIEMであればシステム監視に必要なプロセスを自動化し、効率的かつ強固なセキュリティを実現できます。
◇高い拡張性
SIEMを導入するメリットの一つとして、近年のSIEM製品における拡張性の高さが挙げられます。
セキュリティの監視・運用業務では、OODAループを回すことが重要です。OODAとはObserve(観察)、Orient(方向付け)、Decide(判断)、Action(行動)の頭文字を取ったもので、1970年代に行なわれたアメリカ空軍戦術を発祥としています。
OODAループの特徴は、素早く何度も動くことです。従来のSIEMでは、OODAの「OO」までしか対応できませんでしたが、近年のSIEM製品には、UBA/UEBA、SOAR機能を有するものも増えてきています。
・UBA/UBEA:ユーザーとエンティティの行動分析や振る舞いを検知する機能
・SOAR:意思決定までの流れを自動化し、対策を自動的に実施する機能
特に、SOARとの連携により、OODAループを自動で回せるようになりました。SIEMはシステムに対するセキュリティの要として、ログの収集・検知を行なうだけでなく、対応の自動化も実現できるようになっています。
■トラスト・ログインから新機能「SIEM連携」がリリース!
トラスト・ログインは、簡単最速のSSO(シングルサインオン)やアクセス制限を実現するIDaaS(クラウド型のID管理サービス)です。クラウドサービスの業務利用などが増えてきた昨今では、SIEMと並んでIDaaSの重要性も高まっています。
◇トラスト・ログインの新機能「SIEM連携」とは
近年では、クラウドサービスの利用も増えているため、クラウドサービスを利用するログの収集も重要になっています。そのため、トラスト・ログインでは、「SIEM連携機能」を新しくリリースする予定です。
この機能により、SIEM製品によるログ分析や、インシデントの検知などが行なえるようになります。その結果、クラウドサービスを含めたセキュリティの向上や、管理工数の軽減が期待できるでしょう。
◇トラスト・ログインの特徴
トラスト・ログインのSSOでは、1つのID・パスワードでさまざまなシステム・サービスへのログインが可能です。業務で複数のシステム・サービスを利用することが多い昨今、SSOは業務効率だけでなく、セキュリティの向上も期待できます。
また、トラスト・ログインは「ITReview SSO(シングルサインオン)カテゴリーレポート2022 Spring」のSSO部門にて、サポート品質・導入のしやすさ・満足度でNo.1を獲得しました。
IDaaSを選択する際には稼働率が高く、安心できる運営元を選択することが重要です。トラスト・ログインの稼働率は過去12ヵ月で99.99%、運営元であるグローバルサインには SSL認証局として20年以上の実績があり、多くのお客様に安心してご利用いただいています。
機能の制限はあるものの、月額基本料金0円で利用できる点も大きな特徴です。全機能を利用できるプロプランも、ユーザー1人あたり月額基本料金300円(税抜)で利用できます。
■まとめ
SIEM(セキュリティ情報イベント管理)は、システムを構成する機器から自動的にログを収集・分析したり、異常時に通知したりできるソリューションです。収集したログを相関分析することで、単一的な視点では発見が難しいサイバー攻撃やマルウェアの兆候を検出できます。
近年のSIEMは、さまざまなセキュリティ製品との連携が可能な場合が多く、SOARとの連携によるOODAループの自動化は、特に注目を集めています。
トラスト・ログインのSSO(シングルサインオン)は月額基本料金0円で利用できるため、この機会に導入を検討してみてはいかがでしょうか。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。
