セキュリティー・インテリジェンス

SIEMとは何か？脅威の検出を強化する仕組みとは？

2019-10-31

記事をシェアする:

SIEM (セキュリティー情報/イベント管理：Security Information and Event Management) は 10年超にわたって存在していますが、そのソリューションは進化し続けています。しかしながら、あまりにも多くの企業が、SIEMが対応できるセキュリティー・ユース・ケース、SIEMがデータ (構造化データと非構造化データ、内部データと外部データ) を取り込んで活用する仕組み、または SIEMソリューションを効果的に実装する方法をいまだに理解していません。

攻撃の種類とボリュームの両面において脅威環境が依然として増加し続けていることを考えれば、これは残念なことです。ポイント・ソリューションが当たり前のものになった一方で、セキュリティーの専門家は依然として不足しています。防御担当者には、攻撃が拡大しつづける環境において脅威を検出する SIEMソリューション、疑わしいアクティビティーの背後にある関連性を識別する人工知能 (AI)、攻撃を速やかに停止させる自動化されたプロセスが必要です。

SIEMとは何か?

「SIEMとは何か?」という質問を一歩引いて考えてみましょう。SIEMとは、SIM (セキュリティー情報管理: Security Information Management) と SEM (セキュリティー・イベント管理: Security Event Management) を組み合わせたものであり、オンプレミスとクラウド・ベースのアクティビティーに対するきめ細かいリアルタイムの可視性によって、組織が脅威を検出できるようにするものです。

かつては、監査とコンプライアンスのニーズ (Payment Card Industry Data Security Standard (PCI DSS) からサーベンス・オクスリー法 (SOX)、医療保険の相互運用性と説明責任に関する法令 (HIPAA) に至るまで) が、SIEM市場を動かしていました。しかし、拡大する脅威の全貌とサイバー攻撃の巧妙化によって、「SIEMとは何か?」という質問に対する答えは変更を余儀なくされました。SIEMはコンプライアンスから脅威の検出にまで広がりを見せ、セキュリティー・オペレーション・センター (SOC) の中核としてあり続けています。

単一の画面から全体像を把握

複合的な SIEMシステムは、SOCが既知および未知の両方の脅威を検出し、インシデントに迅速かつ効果的に対応できるようにします。ただし、企業がモノのインターネット (IoT) のような新しいタイプのテクノロジーを導入するにつれて、攻撃対象領域は増え続けており、新しい死角が生まれてしまっています。

脅威を検出して調査するには、オンプレミスと(ハイブリッド・クラウドとマルチクラウドを含む)クラウドのアセット、ネットワーク、ユーザーの振る舞いに関する包括的な視点が必要になります。これは、分析担当者が侵害やサイバー攻撃の兆候の可能性となる異常を見つける上で役立ちます。その間も、企業は SIEMシステムの効率と精度を、コンプライアンスおよび規制の監査員に対してこれまで通り証明する必要があります。

サイバー・セキュリティー・スキルの不足により、企業はまた、導入、管理、保守をより簡単に行える SIEMソリューションを必要としています。データ・ソースは増え続けており、それらを統合して調整するには、多大の労力が求められます。検出を改善するためのソリューションを導入した場合に、調査と解決に必要とされるものは、継続的に専門知識を共有する意思を持つベンダーです。これにより、セキュリティー・チームは自分たちが専門家になるよう強いられることがなくなります。

AIが調査を加速

SIEMソリューションは今日、エンドポイントの脅威の検出から、内部関係者による脅威の検出、フィッシング攻撃の検出に至るまで、さまざまなセキュリティーのユース・ケースに取り組んでいます。しかし、防御担当者は脅威そのものだけでなく、脅威の動作の兆候も識別する必要があります。このニーズが高まるにつれて、機械学習や高度な履歴分析といったテクノロジーも発展してきました。これらは、異常な動作を明らかにし、防御担当者がより迅速に対応することで攻撃者を撃退して被害を軽減できるようにします。

必要以上にアラートを生成したり、他のセキュリティー・ツールと統合できないようなソリューションは、分析担当者に必要とされません。代わりに、AIを活用する分析を導入すると、既存の異常を引き起こした根本原因と一連のイベントを調査して突き止めることができます。

AIは、潜在的な脅威の兆候を検出するための、ルールに基づくアルゴリズムや機械学習アルゴリズムに取って代わるものではありません。人間に取って代わるものでもありません。ただし、これらの兆候を調査するための労働力が SOCで不足している場合は、AIが分析と洞察の速度を加速させ、攻撃者が反応できるよりも速く、より確実に脅威を識別できるようにします。データと知識が不完全ではあるものの、コグニティブ機能は意思決定の自動化と改善に役立ちます。

さらに AIは、分析担当者が SIEMシステム内でユース・ケースを実装、構成、サポートできるように支援します。変化に対応することと、ギャップを埋めることは依然として重要ですが、AIによって大量のワークロードの優先順位を決定して自動化することができます。

自動化によって付加価値のある活動が可能に

ほとんどのサイバー攻撃は、重要な企業データに狙いを定めます。攻撃者がアクセスできるようになった場合はすぐに、分析担当者がそれらを停止できるように迅速かつ効率的なインシデント対応プロセスが必要になります。しかし、通常 10,000から500,000イベント/秒までの処理を行うツールを備えた SIEMの目的は、検出することにあります。SIEMは、脅威の修復に必要なデータと証拠をインシデント対応システムに提供しなければなりません。

ただし、SIEMは対応ツールではないということを認識しておくことも大切です。対応は、Security Orchestration, Automation and Response (SOAR) ソリューションが得意とする分野です。SOARは、人間の介入を必要としないありふれた反復タスクを自動化することによって、セキュリティー・チームの生産性を高め、チームがユーザー、プロセス、テクノロジーに集中できるようにします。最適なソリューションは、脅威にコンテキストを追加し、顧客データ、ビジネス機能、評判に対するリスクに従って、それらに優先順位を付けます。

SIEMに自動化とインテリジェンスを追加すると、チームの成果が倍増し、チームが事前対応型の脅威ハンティングや脅威の阻止といった付加価値のある活動に集中できるようになります。サイバー攻撃者が企業のインフラストラクチャー内で操作できる時間が短くなるほど受ける被害が小さくなることを考えると、このことは非常に重要になってきます。人間の識別力や判断力もまた、アプリケーションまたはデータベースの危険な使用を制限するための、さらにビジネスへの顧客アクセスを妨げることなく悪意のある攻撃者をブロックするための、ポリシー変更に対して最も的確な情報を提供できます。

まとめると、適切なセキュリティー情報/イベント管理ソリューション（SIEM）は、セキュリティー戦略をより事前対応型の取り組みへと移行しながら、あらゆるタイプの企業データと脅威に対する包括的な可視性を実現し、個別アラートを通して潜在的なインシデントを識別して優先順位を付け、AIを活用して調査プロセスを加速させます。

【関連情報】

【お問い合わせ】
メールでのお問い合わせはこちらから

【著者情報】

Diana Kightlinger

Diana Kightlinger は、科学、テクノロジー、医療機関の分野における知識が豊富なジャーナリスト、コピーライター、ブロガーです。フォーチュン 500に名を連ねる法人顧客のために頻繁に記事を書くだけでなく、学術研究の解説、問題に関する意識の向上、個人および地域社会全体に好ましい成果をもたらすことにも情熱を注いでいます。ジャーナリズムと環境科学の修士号を有しています。

この記事は次の記事の抄訳です。
What Is SIEM and How Does It Enhance Threat Detection? (英語)

SIEM セキュリティー情報/イベント管理