サイバー攻撃を検知するSIEMとは?

 2021.05.27  Microsoft 365 チャンネル編集部

近年注目を集めているセキュリティ情報イベント管理システムに、SIEMがあります。導入により、セキュリティログから脅威や改善点を把握し、システムのセキュリティリスクを軽減できるメリットが得られます。

本記事では、サイバー攻撃を検知するSIEMの概要や仕組み、機能、導入時における注意点、おすすめのソリューションなどを解説します。

shutterstock_726866794 (1)

SIEMとは

SIEMは、「Security Information and Event Management」の頭文字をとって略して言葉です。日本語では、「セキュリティ情報イベント管理」と呼ばれ、巧妙化するサイバー攻撃へ対抗しうるサービスとして注目を集めています。

具体的な仕組みやメリットなどは後述するため、とりあえずはマルウェアへの感染や、サイバー攻撃を予防し、そのダメージを最小限に留めるためのシステム、との認識で問題ありません。

SIEMが注目を集めている理由としては、サイバー攻撃の手口が巧妙化していることが挙げられます。インターネットの世界は日進月歩の勢いで進化していますが、同時に悪意を伴う技術も進化を続けています。

情報社会である現代において、インターネットを利用しない企業は減少しつつあります。従業員数名程度の小規模な企業から、数千人の社員を抱える大企業までインターネット、ITシステムをビジネスに活用しています。

企業がサイバー攻撃を受け、情報が漏えいした、資金が流出したといった話は珍しくありません。このような被害は、どのような企業でも遭う可能性があります。このような時代だからこそ、SIEMが注目されているのではないでしょうか。

SIEMの仕組み

ネットワークの構築に必要な機器やデバイスなど、さまざまな機器から収集したログを時系列などで相関分析を行うのがSIEMです。詳細な分析により、オンラインを介した脅威を抽出し、管理者へ警告を促します。

SIEMは、ネットワークデバイスやサーバー、アプリケーション、セキュリティデバイスからインシデント発生要因となる実行プログラム・ジョブ、実行時間、各種パラメータなどのログを収集します。これらをデータソースとして、複合的にログの情報を組み合わせて分析、解析を行うことが特徴です。

近年のサイバー攻撃は、複雑化かつ巧妙化しており、サーバーやデバイス単体のログだけで脅威を見つけるのは困難です。そのため、WEBサーバーやメールサーバー、ルーター、ワイヤレスアクセスポイントなど、複数の経路からログを収集し、相関的に解析を行うのです。

なお、SIEMではこれら一連のプロセスを自動的に行ってくれます。従来では、ツールで集めたログを人の手により分析していたのですが、この方法では膨大な時間がかかってしまいます。ログの収集から分析まで行えることが、最大の利点であるといえるでしょう。

SIEMの機能

さまざまな企業が、セキュリティソリューションとしてSIEMをリリースしています。各社のサービスにより機能には多少の違いがありますが、一般的には以下のような機能が備わっています。

ログの統合管理機能

SIEMに実装されている機能として、ログの統合管理機能が挙げられます。通常、ログファイルはネットワーク機器やセキュリティ機器などデバイス内部にデータが保存されます。従来では、デバイスごとにログをチェックする必要があり、膨大な時間を費やしていました。

SIEMが登場したことにより、ログの一元管理が可能になりました。ネットワークデバイスやサーバーなどの関連するログを統合し、1つのシステムで管理できるようになったのです。

これにより、効率的なシステムログ監視が可能となりました。個別にチェックする必要がなくなり、作業者の手間や負担も大幅に軽減されるようになったのです。

ただ、ログの統合管理だけなら、以前からシステムは存在していました。では、従来のシステムとSIEMではいったい何が違うのでしょうか。

インシデント発見機能

以前から存在していた、ログ統合管理システムと大きく異なるのは、データの収集だけでなく分析まで行えることです。収集したデータを、さまざまな要因軸から相関分析できる機能が実装されており、インシデントの早期発見が可能なのです。

収集したログ情報は、時間や実行プログラム、実行ジョブ、パラメータなどの要因から分析を行います。複数の要素を組み合わせて分析することで、単一分析では難しかった、脅威の早期発見を実現しています。

セキュリティアラート機能

セキュリティインシデントを検知したとき、システムの管理者へアラートを送信する機能が備わっています。アラートを受け取ったシステムの管理者は、素早く適切な対処を講じられるため、リスクやダメージを最小限に留められます。

サイバー攻撃のリスクを引き下げ、被害を最小限に留めるには、早期発見がなによりも重要です。悪意をもつ高度なプログラムが侵入した場合、またたく間にシステムへ悪影響をおよぼす可能性があるからです。

SIEMなら、膨大なデータをリアルタイムで分析し、脅威を検知したらすぐにアラートを発して管理者へ知らせてくれます。それゆえに、タイムラグのないスムーズかつ適切な対処が可能なのです。

SIEM導入のメリット

SIEMがもつ機能を最大限活かすことにより、企業はさまざまなメリットを得られます。大きなメリットのひとつとしては、リスク分析に要する時間や手間を大幅に削減できることでしょう。

以前より、ログの統合管理システムは存在していましたが、あくまでデータの統合と管理が主な機能でした。そのため、収集したデータは結局のところ人の手で分析しなくてはならず、膨大な手間と時間を費やしていたのです。手間が膨大であれば、ヒューマンエラーの発生リスクも増大します。

SIEMの導入により、このような問題は解決します。いくつものデバイスやソフトウェアから収集したログを一元化し、分析まで行ってくれるため、管理者の負担を大きく軽減してくれるからです。

企業における情報システムのセキュリティを向上させるメリットもあります。先述したように、近年のサイバー攻撃は巧妙かつ複雑です。最新の対策を施していても、すぐにそれを上回るマルウェアが誕生し、さらに巧妙な手口でシステムへの侵入を図ろうとします。

SIEMなら、リアルタイムで相関分析が可能であり、トータルでのセキュリティレベルを高められます。新たな手段で侵入を図ろうとしても、いくつもの要素による随時分析が、それを困難にするからです。

セキュリティの向上は、組織を守ることに直結します。外部からの悪意ある攻撃により、情報の流出やシステムの破壊などが起きた場合、築き上げた信頼が失墜しかねません。鉄壁の防御態勢を整えることにより、悪意ある攻撃をシャットアウトでき、組織とそこへ属する人々を守ることにつながります。

SIEM導入の注意点

さまざまなメリットがあるSIEMですが、導入にあたってはいくつか注意すべき点があります。まず、収集するログの粒度によっては、ディスク容量を圧迫するおそれがあることを把握しておきましょう。

SIEMでは、複数のデバイスからデータを収集するため、膨大な情報量になってしまうことも珍しくありません。ディスク容量が圧迫された結果、適切に情報を処理できなくなる可能性があります。

ただ、これはシステムの設定により対処できるため、それほど深刻になる問題ではありません。多くのSIEMでは、取得するデータの種類や保管期間などの設定ができます。あらかじめ適切に設定しておけば、上述したような問題は回避できるでしょう。

システムを導入して終わりではなく、そこがスタートだということも理解しておく必要があります。どれほど素晴らしいシステムであっても、使いこなせなければ意味がありません。使いこなせる人材の育成や、新たなルールの制定も必要です。

社内にSIEMを使いこなせる人材がいれば問題はありませんが、そうでない場合には人材の採用、育成を考える必要があります。いずれにしてもコストが発生し、本格的な運用開始までに

MSS for SIEM -Microsoft Azure Sentinelでセキュリティ強化

「MSS for SIEM -Microsoft Azure Sentinel」は、日商エレクトロニクス(NISSHOELE)が提供しているSIEMサービスです。既存のAzure環境にシステム管理者権限で接続し、ログの監視や詳細分析を行います。

24時間365日体制で監視し、サイバー攻撃検知をパッケージ化するなどの処理を施し、些細な脅威も見逃しません。監視にあたるのは、日商エレクトロニクスのエンジニアで、たしかな技術と知識、経験のもと対応してもらえます。

3つのサービスプランを用意しており、ニーズに合わせた最適なプランを利用できるのもメリットです。オンプレミス環境下における既存セキュリティ機器のログ収集や分析、統合アラート管理などにも対応しています。

まとめ

SIEMの導入により、リスク分析にかかる手間と時間を軽減し、なおかつ企業としてのセキュリティレベルを高められます。ひいては、組織と社員を守ることにもつながります。

日商エレクトロニクスのSIEMサービスは、Azureとの連携が可能で、リアルタイムの監視と分析を実現する点で優れています。この機会に導入を検討してみてはいかがでしょうか。

CTA

RECENT POST「セキュリティ」の最新記事


セキュリティ

企業が移行を進めるするOffice 365セキュリティ優位性とは

セキュリティ

Skype for Business Onlineのセキュリティについて

セキュリティ

リモートワークのためのセキュリティー対策とは?

セキュリティ

Microsoftのクラウド型セキュリティ対策を最大限に活用できるサービスとは?

FAVORITE POST「Microsoft製品」の人気記事


サイバー攻撃を検知するSIEMとは?