SIEMとは

SIEM（Security Information and Event Management）とは、組織が潜在的なセキュリティー上の脅威や脆弱性を、業務に支障をきたす前に認識し、対処するのに役立つソフトウェアのことです。SIEMは日本語では「セキュリティー情報およびイベント管理」と呼ばれます。

SIEMシステムは、エンタープライズ・セキュリティー・チームがユーザーの行動異常を検知し、人工知能（AI）を使用して、脅威の検知とインシデント対応に関連する手動プロセスの多くを自動化するのに役立ちます。

当初のSIEMプラットフォームは、セキュリティー情報管理（SIM）とセキュリティー・イベント管理（SEM）の機能せたログ管理ツールであり、セキュリティー関連イベントのリアルタイムの監視と分析、

コンプライアンスへの準拠、監査を目的としたセキュリティー・データの追跡とロギングを可能にしました。Gartner社は2005年に、SIMおよびSEMを組み合わせたテクノロジーを表すSIEMという用語を作りました。

長年にわたり、SIEMソフトウェアは、ユーザーとエンティティーの行動分析（UEBA）、異常な行動や高度な脅威の指標を特定するためのその他の高度なセキュリティー分析、AI、機械学習機能を組み込み進化を遂げてきました。そのため今日のSIEMは、セキュリティー監視と準拠管理のユースケースにおいて、現代のセキュリティー・オペレーション・センター（SOC）の定番となっています。

SIEMの仕組み

最も基本的なレベルでは、すべてのSIEMソリューションは、脅威を特定し、データ準拠要件を遵守するために、ある程度のレベルのデータ集約、統合、並べ替え機能を実行します。一部のソリューションは機能が異なりますが、ほとんどのソリューションは同じ機能のコア・セットを提供します。

ログ管理

SIEMは、オンプレミス環境やクラウド環境を含む組織のITインフラストラクチャー全体にわたる幅広いソースからイベント・データを取り込みます。

ユーザー、エンドポイント、アプリケーション、データ・ソース、クラウド・ワークロード、ネットワークからのイベント・ログ・データ、およびファイアウォールやウイルス対策ソフトウェアなどのセキュリティー・ハードウェアおよびソフトウェアからのデータが、リアルタイムで収集、関連付け、分析されます。

SIEMソリューションの中には、サード・パーティーの脅威インテリジェンスフィードと統合して、社内のセキュリティー・データと事前に認識された脅威のシグニチャーやプロファイルを関連付けるものもあります。リアルタイムの脅威フィードとの統合により、チームは新しいタイプのアタック・シグニチャーをブロックまたは検出できるようになります。

イベント相関と分析

イベント相関は、SIEMソリューションにとって不可欠な要素です。高度な分析を利用して複雑なデータ・パターンを特定して理解することで、イベント相関により、ビジネス・セキュリティーに対する潜在的な脅威を迅速に特定して軽減するための洞察が得られます。

SIEMソリューションは、セキュリティー・イベントの詳細な分析に関連する手動ワークフローの負荷を軽減することで、ITセキュリティー・チームの平均検出時間（MTTD）と平均対応時間（MTTR）を大幅に改善します。

インシデント監視とセキュリティー・アラート

SIEMは、分析を単一の中央ダッシュボードに統合し、セキュリティー・チームがアクティビティーを監視し、アラートを優先順位付けし、脅威を特定し、対応や修復を開始します。

ほとんどのSIEMダッシュボードには、セキュリティー・アナリストが不審なアクティビティーの急増や傾向を特定するのに役立つリアルタイムのデータの可視化も含まれています。カスタマイズ可能な事前定義された相関ルールを使用すると、管理者はすぐに警告を受け取り、脅威がより重大なセキュリティー問題に発展する前に、脅威を軽減するための適切な措置を講じることができます。

準拠管理と報告

SIEMソリューションは、さまざまな形式の法規制への適合が必要な組織にとって人気のある選択肢です。SIEMは自動化されたデータ収集と分析を提供するため、ビジネス・インフラストラクチャー全体にわたる準拠データを収集および検証するための貴重なツールです。

SIEMソリューションは、PCI-DSS、GDPR、HIPPA、SOX、その他の準拠標準に関するリアルタイムの準拠レポートを生成できるため、セキュリティー管理の負担が軽減され、潜在的な違反を早期に検出して対処できます。SIEMソリューションの多くには、準拠要件を満たすように設計された自動レポートを生成できる、事前構築済みのすぐに使えるアドオンが付属しています。

Thinkニュースレター

あなたのチームは時間内に次のゼロデイを受け入れますか？

AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。

SIEMのメリット

組織の規模に関係なく、ITセキュリティー・リスクを監視し、軽減するための事前の措置を講じることは不可欠です。SIEMソリューションはさまざまな方法で企業に利益をもたらし、セキュリティー・ワークフローの合理化における重要なコンポーネントとなっています。SIEMのメリットは以下の通りです。

リアルタイムの脅威認識
AI主導のオートメーション
組織効率の向上
高度かつ未知の脅威の検出
フォレンジック調査の実施
準拠に関する評価とレポート
ユーザーとアプリケーションの監視

リアルタイムの脅威認識

SIEMソリューションにより、ビジネス・インフラストラクチャー全体にわたる一元的な準拠監査とレポート作成が可能になります。高度な自動化により、システム・ログとセキュリティー・イベントの収集と分析が合理化され、厳格な準拠レポート基準を満たしながら内部リソースの使用率が削減されます。

AI主導のオートメーション

現在の次世代SIEMソリューションは、強力なセキュリティー・オーケストレーション、オートメーション、レスポンス（SOAR）システムと統合され、ITチームがビジネス・セキュリティーを管理する時間とリソースを節約します。

これらのソリューションは、ネットワークの動作から自動的に学習する深層機械学習を使用して、物理的なチームよりも短い時間で複雑な脅威の特定とインシデント対応プロトコルを処理できます。

組織効率の向上

SIEMによって提供されるIT環境の可視性が向上するため、SIEMは部門間の効率を向上させる重要な推進力となります。

中央ダッシュボードによって、システム・データ、アラート、通知を一括で確認できるため、脅威やセキュリティー・インシデントに対応する際にチームが効率的にコミュニケーションし、共同作業できるようになります。

高度かつ未知の脅威の検出

サイバーセキュリティーの状況が急速に変化していることを考慮すると、組織は既知と未知の両方のセキュリティー脅威を検知し対応できるソリューションに依存できる必要があります。

統合された脅威インテリジェンス・フィードとAIテクノロジーを使用するSIEMソリューションは、セキュリティー・チームが次のような幅広いサイバー攻撃に効果的に対応できるように支援します。

内部脅威： 企業ネットワークやデジタル資産へのアクセスを許可された個人から発生するセキュリティーの脆弱性や攻撃。
フィッシング： 信頼できる送信者から送信されたように見せかけるメッセージで、多くの場合、ユーザー・データ、ログイン認証情報、財務情報、またはその他の機密性の高いビジネス情報を盗むために使用されます。
ランサムウェア： 被害者のデータやデバイスをロックし、身代金を支払わない限り、ロック状態を維持する、あるいはさらに悪い状況に陥らせると脅すマルウェア。
分散型サービス妨害（DDoS）攻撃： 乗っ取られたデバイスの分散型ネットワーク（ボットネット）から、管理不能なレベルのトラフィックをネットワークやシステムに浴びせ、Webサイトやサーバーの性能を使用不能になるまで低下させる攻撃。
データ窃盗：手動またはマルウェアを使用した自動的な方法による、コンピューターまたはその他のデバイスからのデータの窃盗。

フォレンジック調査の実施

SIEMソリューションは、セキュリティー・インシデント発生後のコンピューター・フォレンジック調査の実施に最適です。SIEMソリューションを使用すると、組織はすべてのデジタル資産からログ・データを1か所で効率的に収集し、分析できます。

これにより、過去のインシデントを再現したり、新しいインシデントを分析したりして、不審なアクティビティーを調査し、より効果的なセキュリティー・プロセスを実装できるようになります。

準拠に関する評価とレポート

準拠に関する評価とレポートは、多くの組織にとって必要ですが、困難なタスクでもあります。SIEMソリューションは、必要なときにいつでもリアルタイムの監査と法規制への適合のオンデマンド・レポートを提供することで、このプロセスの管理に必要なリソースの支出を大幅に削減します。

ユーザーとアプリケーションの監視

リモート・ワーク、SaaSアプリケーション、BYOD（個人所有デバイスの業務使用）ポリシーの普及に伴い、組織は従来のネットワーク境界の外側からのネットワーク・リスクを軽減するために必要なレベルの可視性を必要としています。

SIEMソリューションは、すべてのユーザー、デバイス、アプリケーションにわたるすべてのネットワーク・アクティビティーを追跡することで、インフラストラクチャー全体の透明性を大幅に向上させ、デジタル資産やサービスにアクセスする場所に関係なく脅威を検知します。

SIEM実装の最良実施例

新しいソリューションに投資する前でも後でも、従うべきSIEM実装の最良実施例をいくつか示します。

実装の範囲を完全に理解することから始めます。導入からビジネスに最大限のメリットをもたらす方法を定義し、適切なセキュリティー・ユースケースを設定します。
事前定義されたデータ相関ルールを設計し、クラウド展開を含むすべてのシステムとネットワークに適用します。
すべてのビジネス準拠要件を特定し、これらの標準をリアルタイムで監査およびレポートするようにSIEMソリューションが構成されていることを確認して、リスク体制をより深く理解できるようにします。
組織のITインフラストラクチャー全体にわたるすべてのデジタル資産をカタログ化し、分類します。これは、ログ・データの収集、不正アクセスの検知、ネットワーク・アクティビティーの監視を管理する際に不可欠です。
SIEMソリューションを統合する際に監視できるBYODポリシー、IT設定、および制限事項を確立します。
SIEM構成を定期的に調整して、セキュリティー・アラートの誤検出を確実に減らします。
すべてのインシデント対応計画とワークフローを文書化して実践し、介入が必要なセキュリティー・インシデントにチームが迅速に対応できるようにします。
AIやSOARなどのセキュリティテクノロジーを使用して、可能な限り自動化します。
SIEMの導入を管理するために、マネージド・セキュリティー・サービス・プロバイダー（MSSP）に投資する可能性を評価してください。ビジネス固有のニーズに応じて、MSSPはSIEM実装の複雑さを処理し、継続的な機能を定期的に管理および維持するための機能を備えている場合があります。

SIEMの将来

コグニティブ機能によりシステムの意思決定能力が向上するため、AIはSIEMの将来においてますます重要になるでしょう。また、エンドポイントの数が増加しても、システムが適応して拡張できるようになります。

IoT、クラウド・コンピューティング、モバイル、その他のテクノロジーにより、SIEMツールが使用しなければならないデータ量が増加しています。AIは、より多くのデータ型をサポートし、進化する脅威の状況を複雑に理解するソリューションのポテンシャルを提供します。