SIEMとは

Security Information and Event Managementの説明

夜にライトが点灯しているオフィス・ビル

なぜ SIEM が重要なのか?

Security Information Management (SIM) と Security Event Management (SEM) とを組み合わせることで、Security Information and Event Management (SIEM) は、コンプライアンスまたは監査の目的で、イベントのリアルタイム・モニタリングと分析、およびセキュリティー・データの追跡とロギングを提供します。

簡単に言うと、SIEM は、組織が潜在的なセキュリティーの脅威と脆弱性を認識した後で、そのビジネス運用を中断できるようにするためのセキュリティー・ソリューションです。 ユーザーの異常行動を暴いて、人工知能を使用して脅威の検出とインシデント対応に関連する手動プロセスの多くを自動化するため、セキュリティーとコンプライアンス管理のユースケースにおける、今日の Security Operation Center (SOC) の中心といえます。

何年にもわたって SIEM は成熟し、過去のログ管理ツールを超えるものとなりました。 SIEM は現在、AI と機械学習の力のおかげで、高度な User and Entity Behavior Analytics (UEBA) を提供しています。  規制のコンプライアンスおよびレポートだけでなく、進化し続ける脅威を管理するための非常に効率的なデータ・オーケストレーション・システムです。


SIEM はどのように機能するか?

最も基本的なレベルにおいて、すべての SIEM ソリューションは、脅威を特定してデータ・コンプライアンス要件に準拠するために、ある程度のデータ集約、統合、およびソートの機能を実行します。 いくつかのソリューションは機能的に異なっていますが、多くは同じコアセットの機能を提供します。

ログ管理

SIEM は、組織のネットワーク全体にわたるさまざまなソースからイベント・データを取り込みます。 ユーザー、アプリケーション、アセット、クラウド環境、およびネットワークからのログおよびフロー・データは、リアルタイムで収集、保管、および分析されるため、IT チームとセキュリティー・チームは、ネットワークのイベント・ログとネットワーク・フロー・データを 1 か所で自動的に管理できます。

また一部の SIEM ソリューションは、内部セキュリティー・データを以前に認識された脅威の兆候およびプロファイルと相関させるために、サード・パーティの脅威インテリジェンス・フィードと統合されます。 リアルタイム脅威フィードとの統合により、チームは新しいタイプの攻撃の兆候をブロックまたは検出できるようになります。

イベントの相関および分析

イベント相関は、SIEM ソリューションにおいて重要な部分です。 高度な分析を利用して複雑なデータ・パターンを識別および理解することで、イベント相関は、ビジネス・セキュリティーに対する潜在的な脅威を迅速に特定して軽減するための洞察を提供します。 SIEM ソリューションは、セキュリティー・イベントの詳細な分析に関連する手動ワークフローをオフロードすることにより、IT セキュリティー・チームの Mean Time to Detect (MTTD) および Mean Time to Resond (MTTR) を大幅に改善します。

インシデント・モニタリングおよびセキュリティー・アラート

オンプレミスおよびクラウド・ベースのインフラストラクチャーの集中管理を可能にするため、SIEM ソリューションは IT 環境のすべてのエンティティーを識別できます。 これにより、SIEM テクノロジーは、ネットワークで検出された異常な動作を分類しながら、接続されているすべてのユーザー、デバイス、およびアプリケーションにわたるセキュリティー・インシデントをモニターできます。 カスタマイズ可能で事前定義された相関ルールを使用すると、管理者はすぐにアラートを受け取り、より重大なセキュリティー問題が発生する前に、その異常な動作に対処することができます。

コンプライアンスの管理およびレポート

SIEM ソリューションは、さまざまな形態の規制コンプライアンスの対象となる組織に人気のある、1 つの選択肢といえます。 SIEM は、自動化されたデータ収集と分析を提供するため、ビジネス・インフラストラクチャー全体にわたってコンプライアンス・データを収集し、そのデータを検証するための貴重なツールです。 SIEM ソリューションは、PCI-DSS、GDPR、HIPPA、SOX、およびその他のコンプライアンス標準のリアルタイム・コンプライアンス・レポートを生成できるため、セキュリティー管理の負担を軽減し、潜在的な違反を早期に検出して対処できます。 SIEM ソリューションの多くには、コンプライアンス要件を満たすように設計された自動レポートを生成できる、事前に構築された、すぐに使用できるアドオンが付属しています。


SIEM のメリット

組織の規模に関係なく、IT セキュリティー・リスクをモニターして軽減するための予防的な措置を講じることが不可欠です。 SIEM ソリューションは、さまざまな方法で企業に利益をもたらし、セキュリティー・ワークフローを合理化する上で重要なコンポーネントになっています。 次のようなメリットがあります。

高度なリアルタイム脅威認識
インフラストラクチャー全体にわたる SIEM アクティブ・モニタリング・ソリューションは、潜在的なネットワークの脅威と脆弱性を特定して対応するために必要なリードタイムを大幅に短縮し、組織の規模の拡大に合わせてセキュリティー体制を強化するために役立ちます。

規制コンプライアンス監査
SIEM ソリューションは、ビジネス・インフラストラクチャー全体にわたる、一元化されたコンプライアンス監査およびレポートを可能にします。 高度な自動化により、システム・ログおよびセキュリティー・イベントの収集と分析が合理化され、厳格なコンプライアンス・レポート標準を満たすと同時に、内部リソースの使用率が削減されます。

AI 主導の自動化
今日の次世代 SIEM ソリューションは、強力な Security Orchestration, Automation and Response (SOAR) 機能と統合されており、IT チームがビジネス・セキュリティーを管理する際の時間とリソースを節約します。 これらのソリューションは、ネットワークの動作に自動的に適応するディープ機械学習を使用して、物理的なチームよりも大幅に短い時間で、複雑な脅威の特定とインシデント対応プロトコルを処理できます。

組織効率の向上
SIEM は、提供する IT 環境の可視性が向上しているため、部門間の効率を向上させるための重要な推進力といえます。 システム・データと、統合された SOAR による 1 つの統一ビューで、チームは、認識されたイベントやセキュリティー・インシデントに対応する際に、効率的に通信およびコラボレーションできます。

Security Information and Event Management がビジネスに適している場合、その詳細については、IBM のセキュリティー・インテリジェンスの専門家による追加の SIEM 参照情報を調べてください。

高度な脅威と未知の脅威の検出
サイバー・セキュリティーの状況がどれほど急速に変化するかを考えるうえで、組織は、既知と未知の両方のセキュリティー脅威を検出して対処できるソリューションを活用できるようにしておく必要があります。 統合された脅威インテリジェンス・フィードと AI テクノロジーを使用して、SIEM ソリューションは、次のような現代のセキュリティー侵害をうまく軽減できます。

  • インサイダー脅威 - 企業ネットワークおよびデジタル資産へのアクセスを許可された個人に起因する、セキュリティーの脆弱性または攻撃。 これらの攻撃は、クレデンシャルの侵害の結果である可能性があります。
  • フィッシング攻撃 - 信頼できるエンティティーを装ったソーシャル・エンジニアリング攻撃。多くの場合、ユーザー・データ、ログイン資格情報、財務情報、またはその他の機密性の高いビジネス情報を盗むために行われます。
  • SQL インジェクション - セキュリティー対策を回避し、SQL データベースのレコードを追加、変更、または削除するように設計された、侵害された Web ページまたはアプリケーションを介して実行される悪意のあるコード。
  • DDoS 攻撃 - Distributed-Denial-of-Service (DDoS) 攻撃は、管理できないレベルのトラフィックでネットワークやシステムを攻撃し、Web サイトやサーバーのパフォーマンスを使用できなくなるまで低下させるよう設計されています。
  • データ漏えい – データの盗難 (追放) は通常、ネットワーク資産の一般的なパスワードや解読しやすいパスワードを利用するか、または Advanced Persistent Threat (APT) を使用することで行われます。

フォレンジック調査の実施
SIEM ソリューションは、セキュリティー・インシデントが発生した後にデジタル・フォレンジック調査を実施するために理想的です。 SIEM ソリューションを使用すると、組織はすべてのデジタル資産からログ・データを 1 か所で効率的に収集し、分析できます。 これにより、過去のインシデントを再現したり、新しいインシデントを分析して疑わしいアクティビティーを調査したり、より効果的なセキュリティー・プロセスを実装したりすることができます。

コンプライアンスの評価と報告
コンプライアンスの監査とレポートは、多くの組織にとって必要かつ困難な作業です。 SIEMソリューションは、必要に応じてリアルタイムの監査と規制コンプライアンスのオンデマンド・レポートを提供することにより、このプロセスの管理に必要なリソース消費を大幅に削減します。

ユーザーとアプリケーションのモニタリング
リモート・ワーカー、SaaS アプリケーション、および BYOD (Bring Your Own Device) ポリシーが一般的になった今日では、組織は、従来のネットワーク境界の外側からのネットワーク・リスクを軽減するために必要なレベルの可視性を求めています。 SIEM ソリューションは、すべてのユーザー、デバイス、およびアプリケーションにわたるすべてのネットワーク・アクティビティーを追跡し、インフラストラクチャー全体の透明性を大幅に向上させ、デジタル資産やサービスにアクセスしている場所に関係なく脅威を検出します。


SIEM ソリューションに関係するツールと機能

ログ・データ管理

ログ・データの収集は、セキュリティー情報およびイベントの管理の基礎です。 リアルタイムのデータ収集、分析、および相関により、生産性と効率が最大化されます。

ネットワーク可視性

SIEM 分析エンジンは、ネットワーク・フローの可視性についてパケット・キャプチャーを検査することにより、アセット、IP アドレス、およびプロトコルに関する追加の洞察を得て、ネットワーク上を移動する悪意のあるファイルまたは Personally Identifiable Information (PII) のデータ抽出を明らかにします。

脅威インテリジェンス

独自のインテリジェンス・フィードまたはオープンソース・インテリジェンス・フィードをSIEMソリューションに組み込めるようにすることは、現代の脆弱性と攻撃の兆候を認識して対処するために不可欠です。

分析

すべての SIEM ソリューションで、同じレベルのデータ分析が提供されるわけではありません。 機械学習や人工知能などの次世代テクノロジーが組み込まれたソリューションは、より高度で複雑な攻撃が発生したときに、それらを調査するために役立ちます。

リアルタイム・アラート

SIEM ソリューションは、複数のチームにまたがる事前定義された段階的なアラートと通知を利用して、ビジネス・ニーズに合わせてカスタマイズできます。

ダッシュボードとレポート

一部の組織では、数百または数千ものネットワーク・イベントが毎日発生する可能性があります。 ラグタイムなしで、カスタマイズ可能なビューでインシデントを理解して報告することが不可欠です。

IT コンプライアンス

規制コンプライアンス要件は、組織ごとに大きく異なります。 すべての SIEM ツールがすべてのコンプライアンス・カバレッジを提供するわけではありませんが、規制の厳しい業界の組織は、他の機能よりも監査とオンデマンド・レポートを優先しています。

セキュリティーと IT との統合

組織の可視性は、SIEM をさまざまなセキュリティーおよび非セキュリティーのログ・ソースと統合することから始まります。確立された組織は、セキュリティーおよび IT ツールへの既存の投資と統合された SIEM からメリットを得ます。


SIEM 実装のベスト・プラクティス

新しいソリューションに投資する前後における、従う必要のある SIEM 実装のベスト・プラクティスは以下のとおりです。

  1. 実装の範囲を完全に理解することから始めます。 どのようにしてビジネスがデプロイメントから最大のメリットを得るかを定義し、適切なセキュリティーのユースケースを設定します。
  2. 事前定義されたデータ相関ルールを設計し、すべてのシステムとネットワークにわたって (クラウド・デプロイメントも含む) 適用します。
  3. すべてのビジネス・コンプライアンス要件を特定し、SIEM ソリューションがこれらの標準をリアルタイムで監査およびレポートするよう構成されていることを確認して、リスク状況を詳しく理解できるようにします。
  4. 組織の IT インフラストラクチャーにわたって、すべてのデジタル資産をカタログ化して分類します。 これは、ログ・データの収集を管理し、アクセスの悪用を検出し、またネットワーク・アクティビティーをモニターする場合に不可欠です。
  5. SIEM ソリューションを統合するときに、モニターできる BYOD (Bring Your Own Device) ポリシー、IT 構成、および制限を確立します。
  6. SIEM 構成を定期的に調整して、セキュリティー・アラートの誤検知を減らします。
  7. 介入を必要とするセキュリティー・インシデントにチームが迅速に対応できるよう、すべてのインシデント対応計画およびワークフローを文書化して実践します。
  8. 可能であれば、人工知能 (AI) および Security Orchestration, Automation, and Response (SOAR) 機能の使用を自動化します。
  9. SIEM デプロイメントを管理するために、MSSP (Managed Security Service Provider) での投資の可能性を評価します。 ビジネス固有のニーズに応じて、MSSP は、SIEM 実装の複雑さを処理し、その継続的な機能を定期的に管理および維持するための設備が整っている場合があります。

SIEM の将来はどうなるか?

認知機能がシステムの意思決定能力を向上させるにつれ、AI は SIEM の将来においてますます重要になります。 また、エンドポイントの数が増えるにつれ、システムは適応して成長できるようになります。 IoT、クラウド、モバイル、その他のテクノロジーによって、SIEM ツールが消費する必要のあるデータの量が増えるにつれ、AI は、より多くのデータ・タイプをサポートするソリューションと、進化する脅威の状況における複合的理解の可能性を提供します。


IBM と SIEM

Security Information and Event Managementに関しては、企業のセキュリティー体制を強化することの重要性を理解しているプロバイダーから、信頼できるSIEMソリューションに投資することが重要です。

IBM Security QRadar SIEMは、組織が1つの統合プラットフォームからセキュリティー運用プロセスのすべての複雑さを管理できるよう設計された、包括的なセキュリティー・インテリジェンス・プラットフォームです。

QRadar のメリットについて

オンプレミス、クラウド、または SaaS ソリューションとして利用可能な QRadar は、今日の進化するビジネスに、最も必要とされる場所にセキュリティーをデプロイするためのフレキシブルなデプロイメント・オプションを提供します。 高度な分析、AI主導の調査、リアルタイムの脅威検出、包括的なITコンプライアンス管理など、QRadarには、ビジネスの継続性を確保しながら組織全体の脅威を検出、調査、優先順位付け、および対処するために必要なすべての機能が用意されています。


関連ソリューション

Security Information and Event Management (SIEM)

組織全体に影響を及ぼす最も重要なサイバーセキュリティーの脅威を検出、調査、対応する一元化された可視性。

セキュリティー・インテリジェンスの運用とコンサルティング

IBM は、組織がすべての環境にわたってインテリジェンス主導の運用をより充実できるよう支援します。

脅威マネジメント

統合されたアプローチと、AI とオーケストレーションを活用した専門知識を使用して、サイバー犯罪と戦うための新しい手段。

脅威インテリジェンス・サービス

業界をリードする分析によってクライアントをガイドするグローバル・インテリジェンス専門家

インテリジェント・セキュリティー分析ソリューション

IBM Security QRadar® を使用すると、潜在的な脅威を迅速に検出、調査、および対応するための包括的な洞察を得ることができます。