2023/11/29セキュリティソリューション

SIEMソリューション導入による企業のセキュリティ向上への期待

トップ
インサイト
SIEMソリューション導入による企業のセキュリティ向上への期待

SIEMソリューション導入による企業のセキュリティ向上への期待

執筆：CISO事業部　秋葉武瑠
監修：CISO事業部　吉田卓史

SIEMとはSecurity Information and Event Managementの略称で、ファイアウォールやIDS／IPS、プロキシ等から出力したログやデータの集約、相関分析を行うことによって早期にインシデントを検知する仕組みを指します。

SIEMを活用することで異常行動の早期検知、セキュリティ担当者の負荷軽減等が期待できるが、本格的な運用には十分な準備期間を要するため、
SIEMの導入目的や全体スケジュールを明確にした上で、計画に沿って導入を進めていくことが重要である。

1. SIEMとは？

SIEMはSecurity Information and Event Managementの略称で、ファイアウォールやIDS／IPS、プロキシサーバ等から出力したログやデータの集約、相関分析を行うことによって早期にインシデントを検知する仕組みを指します。

SIEMを活用することで異常な行動を早期に検知することが可能となる為、インシデントの未然防止や有事の被害を最小限に抑えることが期待できます。

2. 何故いまSIEMが注目を集めるのか？

何故いまSIEMが注目を集めるようになってきたのでしょうか。

①サイバー攻撃の高度化・複雑化

インターネットの普及に伴い、企業に対するサイバー攻撃が高度化・複雑化しており、従来のファイアウォールやIDS/IPS等のセキュリティ対策では必ずしも防ぎきれない攻撃が現れてきました。そこで、セキュリティ対策を強化するために、単一ログだけではなく複数ログを相関分析して、いち早く危険を検知するSIEMが注目を集めています。［1］

②多発する内部不正への対応

新型コロナウイルスの感染拡大によってテレワークが急激に普及したほか、雇用の流動化やグローバル化等の背景を受けて、内部不正が起こりやすい環境へと変化しています。IBMの調査レポート[2]は、近年、組織の内部関係者の不正行為に起因したセキュリティインシデントが増加していることを報告しています。

この様な環境においては、内部不正の予防も重要である一方、内部不正が起こることを想定した上で対策を施す必要があります。従業員の不審なアクセスを早期に察知するSIEMを取り入れることで内部不正の抑制を期待できる点もSIEMが注目を集めている理由と考えられます。

③企業のセキュリティ環境の変化

近年、BYODの普及に伴って企業のITコスト削減が可能になった一方で、有害サイトの閲覧や不正アプリ使用への対応が懸念事項となっています。[3]

企業のIT環境においては防ぐだけではなく侵入されることを前提に設計する必要があり、SIEMを用いたログの一括管理および分析の自動化がこの点でも注目を集めている理由と考えられます。

3. SIEMの機能

次にSIEMにはどの様な機能が備わっているかについてご紹介します。

SIEMでは主に次の2点の機能が備わっています。

①特定のルールに基づく異常通信の検知

DNS通信をSIEMで分析することで異常な通信を検知することが可能です。具体的には、管理者がSIEM上に全社員のDNSクエリを集約し、通信が多く一般的で正常な宛先をリスト化します。このリスト以外の異常な通信を検知した際には管理者に通知することができます。[4]

②ユーザー行動分析とレポーティング

ネットワーク機器、DNSサーバ、DHCPサーバ、ファイルサーバなどから通信とIPアドレスの情報をSIEMに集約、分析することで、「いつ、誰が、どの端末で、何をしているのか」を分析することができます。この分析結果はインシデントが発生した際の原因究明にも役立ちます。[5]

図 1　SIEMの仕組みの概要イメージ

４. SIEMのメリット／デメリット

SIEMを活用する際に気を付けるべき点は何でしょうか。

ここではSIEMのメリット／デメリットについてまとめています。

（１）SIEMを活用する際のメリット

異常行動の早期検知

SIEMではファイアウォールやIDS/IPSからの大量のイベントログを自動で分析することで、リアルタイムに異常を早期検知することができます。また、SIEMでは分析結果の可視化も行うため、IT管理者はインシデントの把握・管理がしやすくなります。

セキュリティ担当者の負担軽減

SIEMでは、人の手では追跡しきれない、長期かつ大量の攻撃データの相関分析を行うため、セキュリティ担当者はSIEMからの分析結果を基に脅威に対する対応策の検討および対応に注力することが出来ます。

（２）SIEMを活用する際のデメリット

トラフィックの圧迫

SIEMでは多様なネットワーク機器から膨大なログの収集を行い、社内ネットワークにおけるトラフィックを増加させるため、業務用通信のトラフィックを圧迫する可能性があり、管理系ネットワークセグメントを準備する必要があります。

セキュリティ以外のアラート検知

SIEMでは検知を行う際にシグネチャ（既知の不正な通信や攻撃パターンを識別するためのルール）を設定する必要があります。このシグネチャの設定次第ではセキュリティ以外のアラートを発報する場合があります。自社の業務を鑑みた上で常にバランスをとったシグネチャの設定・調整が必要となります。

本格運用に向けた十分な準備期間が必要

SIEMを導入する際には、機能検証やテストなどに基づき、情報セキュリティルールを変更したうえで、SIEMの運用状況を鑑みた定期的なチューニングやアップデートが必要となります。SIMEの本格的な運用には最低数か月、場合によっては1年以上かかる可能性もあり、十分な準備期間が必要といえます。

5.総括

今回は、サイバー攻撃の多様化や企業のセキュリティ環境の変化を背景に、昨今注目を浴びているSIEMについて概要および機能、メリット／デメリットをご紹介いたしました。

SIEMを活用することで、異常行動の早期検知、セキュリティ担当者の負担軽減を実現できれば、企業の更なるセキュリティ向上への期待ができます。

一方でSIEMを導入するには、トラフィックの圧迫やセキュリティ以外のアラート検知が発生する可能性があります。SIEM導入後も運用の状況を見たうえで通信環境やシグネチャの設定を見直すといった改善が常に必要になり、本格的な運用に向けては十分な準備期間が必要といえます。各企業においては、SIEMを導入する目的や全体スケジュールを明確にした上で、計画に沿って導入を進めていくことが重要です。

以上

【プロフィール】

文責：秋葉武瑠（あきばたける）

2023年IDRの前身であるDAC入社。学生時代は国際政治や公共政策を学ぶ。大学時代に学習した、誘導工作やフェイクニュース、そこに登場したハイブリッド戦争という概念に興味を持ち、日本の経済安保政策の一端を担えるような人材になりたいという思いから、IDRに2023年に新卒として入社。

現在は、国内企業のQMSプロジェクト案件に参画する。

監修：吉田卓史（よしだたくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。