SIEM購入ガイド

PeopleImages.com – Yuri A | shutterstock.com

ログデータの監査、確認、管理は決して華やかな仕事ではありませんが、安全な企業ネットワークを構築する上で重要な側面です。なぜなら、イベントログはしばしばサイバー犯罪者が自分たちの活動を隠すための二次的な攻撃面となるからです。

このような事態に対抗するため、ネットワークセキュリティの専門家はSecurity Information and Event Management（SIEM）分野のツールを利用します。これらのツールは通常、ログをサーバーやサービスにオフロードすることで、改ざんや削除を防ぎ、追加の保護を提供します。

このガイドでは、以下の内容を解説します：

• SIEMツールで重要となる基準
• コスト面で注意すべき点
• 主要なSIEMベンダーおよびソリューション

適切なSIEMソリューションの選択は、業務上重要なシステムやサービスを監視するために不可欠です。また、以下の目的にも役立ちます：

• 認証目的のためのデータ提供
• 脅威検知のサポート
• SOARプラットフォームへのコンテキスト提供

SIEM製品を購入する前に、以下の分野や基準について十分に検討することが重要です。

運用モデル

機能の追加や改良を迅速に行うため、現代のSIEMソリューションの多くはSoftware-as-a-Service（SaaS）モデルで提供されています。クラウドの無限の容量により、ベンダーは大量の参照データを必要とする機械学習（ML）機能を統合しやすくなっています。SaaSアプローチがSIEMソリューションの進化を促進したことは、広く認識されています。

それでも、いくつかの企業はSIEMツールをオンプレミスで運用する必要があります。これは主に、コンプライアンス要件を遵守し、ログ（および関連データ）を自社インフラ内に保持する必要があるためです。そのため、オンプレミス向けのSIEMオプションも依然として存在し、堅牢なオープンソースソリューションも含まれています。

分析機能

SIEMソリューションの価値は、提供される情報の質にかかっています。インフラからログやイベントデータを収集しても、問題の特定やより良い意思決定に役立たなければ意味がありません。そのため、現代のSIEMシステムは機械学習を活用し、リアルタイムで異常を検知し、潜在的な攻撃やアプリケーション、ネットワーク障害のための正確な早期警告システムを構築しています。

SIEMソリューションに求める分析能力は、以下のような複数の要因によって異なります：

• どのシステムを監視する必要があるか
• ダッシュボード、レポート、調査に関するスキルが組織内にあるか
• すでに分析プラットフォームに投資しており、それと統合したいか

これらの質問への回答が、SIEMの選択肢を絞り込むのに役立ちます。必要なスキルやソリューションがない場合は、豊富なダッシュボードライブラリを持つSIEMや、マネージドサービスの利用を検討するとよいでしょう。 

ログ処理

SIEMシステムがデータをどのように処理するかも、実用面で重要な要素です。多くの場合、ソフトウェアエージェントがサーバーやワークステーションからログやイベントデータを抽出し、ネットワーク機器やクラウドアプリケーションは統合やAPIを通じて直接SIEMにデータを「渡す」ことができます。この際、SIEMが重要な外部イベント情報も正確に識別できるかどうかが基本的な問いとなります。

理想的には、SIEMは主要なシステムからのイベントデータを十分にパースでき、調整不要でイベントレベルや影響を受けるシステムなどの重要な詳細を抽出できるべきです。ログエントリが正しくパースされないリスクを避けるため、取得後にイベントデータを柔軟に処理できるソリューションを選ぶことも推奨されます。

アラート

現代のSIEMソリューションの大きな利点は、システムをリアルタイムで監視できることです。ただし、SIEMやそのアラートが人間の専門家によって評価されない場合、この機能は無意味です。アラートや通知に関しては、アラートの量を適切に管理することが課題となります：

• アラートが多すぎると、ユーザーは通知を無効化したり無視したりします。
• アラートが少なすぎると、重大な脅威を見逃すリスクがあります。

この観点からも、ルールやしきい値、さまざまな通知方法（SMS、Eメール、プッシュ通知、Webhookなど）でアラートを柔軟に設定できるSIEMソリューションが推奨されます。

ロールベースアクセス

ロールベースのアクセス制御は、異なるビジネス部門やアプリケーションチームを持つ大規模なグローバル企業に不可欠です。管理者、開発者、データアナリストに必要なイベントログのみへのアクセスを許可するのは、単なる利便性ではなく、最小権限の原則に基づいており、業界によっては規制で義務付けられています。

ユーザーのSIEMイベントデータへのアクセスを制限することで、アカウント侵害の影響を最小限に抑え、ネットワーク全体の保護に寄与します。イベントデータはアプリケーションやサービスの機能、あるいはデバイスのネットワーク構成に関する詳細な情報を含むため、サイバー犯罪者がシステムを調査・侵入するのに悪用される可能性があります。

コンプライアンス

さまざまな規制フレームワーク（例：GDPRやHIPAA）は、SIEMや同様のシステムの導入を義務付けるだけでなく、ソリューションの設定方法まで規定している場合があります。自社に関連する要件を詳細に把握しておくことが重要です。主なポイントは以下の通りです：

• 保存期間
• 暗号化要件
• 電子署名
• 報告義務

監査要素も考慮する必要があります。選択したSIEMソリューションが、監査人を満足させるために必要なドキュメントやレポートを出力できることを確認しましょう。 

イベント相関

異なる（または統合された）システムからのログを単一のビューで相関できる機能も、SIEMシステム導入の大きな理由です。SIEMは、各アプリケーションコンポーネント（データベース、アプリケーションサーバーなど）からのログイベントを（複数のホストに分散していても）処理し、データストリーム内で相関させる必要があります。これにより、各コンポーネントのイベントの関連性が明確になります。

多くの場合、相関されたイベントログは、権限昇格攻撃の検出や、ネットワークセグメント間での影響追跡に利用できます。企業がクラウドやコンテナベースのインフラを採用する中で、この重要性は増しています。 

エコシステム

堅牢で成熟したエコシステムを持つSIEMは、さまざまな機能の強化や拡張を可能にします。SIEMが他のシステムと直接（またはプラグイン経由で）統合できれば、作業効率が大幅に向上します。エコシステムによるシステム改善に加え、以下のようなビジネス上のメリットもあります。現代的で成熟したSIEMソリューションは：

• トレーニング需要の増加
• コミュニティベースのサポート促進
• 採用プロセスの標準化

API連携

エコシステムだけではすべての要件を満たせません。自社でソフトウェア開発を行っていたり、DevOpsイニシアチブに投資している場合、SIEMとプログラム的に連携できることが大きな違いとなります。

ログ機能の開発に貴重な時間を費やす代わりに、SIEMシステムがカスタムコードからのイベントデータを収集・相関・分析できます。

人工知能（AI）

SIEMはAIによる分析に最適なユースケースの一つであり、ベンダーも積極的にAI機能を組み込んでいます。主に分析やアラート分野に焦点が当てられています。AI対応SIEMシステムは、多様なベンダーやソースのクラウドデータフィードと統合可能です。これにより、イベントデータに自動でコンテキストを付与し、以下の用途に活用できます：

• イベントの評価
• 攻撃チェーンの特定
• インシデント対応計画の作成

AI対応SIEMソリューションでは、運用モデルも重要になる場合があります。オンプレミス製品の中には、AIワークロードをクラウドサービスにオフロードする必要があるものもあります。

SIEMのコスト

Security Information and Event Managementに関しては、コスト削減を優先しすぎない方が良いでしょう。攻撃を受けた際に、コストを惜しんで後悔したくはないはずです。もちろん、SIEMソリューションでもコストは重要な要素ですが、計算時には細かな点に注意が必要です。クラウドサービス型のSIEMソリューションは、ほぼ常にサブスクリプションモデルで提供されますが、利用量に応じた追加料金が発生する場合もあります。例えば：

• イベントデータのボリューム
• 監視対象エンドポイント数

オープンソースライセンスのプラットフォームを利用する場合も、隠れたコスト（例：サポート費用）に注意し、選択したソリューションがすべてのビジネス要件を満たしているか確認しましょう。

必要な機能を備えたSIEM候補を絞り込んだら、予想されるサブスクリプション費用や利用料を詳細に比較してください。

SIEMベンダーおよびソリューション

SIEMソリューション市場には多くの選択肢があります。ツール調査の出発点として、主要なSIEMベンダーおよび製品をいくつかご紹介します：

• Datadog Cloud-SIEMは、主要な分野をすべてカバーし、800以上の統合と350以上の事前定義された検知ルールを備えた成熟したSIEMスイートです。
• Elastic Logstashは純粋なSIEMプラットフォームではありませんが、（主にDevOps向けに設計された）オープンソースツールとして、多様なソースからのログイベントの分析・処理を可能にします。
• Exabeam LogRhythm SIEMは、セキュリティベンダーのExabeamとLogRhythmの統合によるもので、包括的なエコシステムと事前定義されたコンプライアンスフレームワークが特徴です。
• Fortinet FortiSIEMは、アセット検出やロールベースアクセス、ユーザー・エンティティ行動分析（UEBA）を提供し、イベントの収集や自動対応のための統合が可能です。
• Huntress Managed SIEMは、新進気鋭のベンダーによる堅実で現代的なマネージドSIEMで、アナリストやセキュリティエンジニアが社内チームの負担を軽減します。
• IBM QRadar SIEMは、エンタープライズ規模のデータ量と機能に対応し、統合分析エンジンやAI機能、500以上の統合サポートを備えています。
• LogPoint SIEM & SOARは、UEBAによる脅威モデリングや機械学習、自動翻訳、主要なコンプライアンス基準への対応、MITRE ATT&CKフレームワークとのイベント相関をサポートします。 
• Microsoft Sentinelは、オンプレミスとクラウド両方のリソースからイベントを収集・相関・分析でき、MicrosoftのSecurity CopilotによるAIも活用されています。
• OpenText Enterprise Security Managerは、エンタープライズSIEMのすべての要件を満たし、サードパーティシステムとの多数の統合や自動化サポートを提供します。
• RSA NetWitnessも多様なエンタープライズSIEM機能を備えていますが、特に暗号化イベントデータ（またはネットワークトラフィック）をサポートする統合暗号化ツールが特徴です。
• SentinelOne Singularity AI SIEMは、最新技術を活用してデータの収集・フィルタリングを行い、堅牢な分析と直感的な自動化を提供します。
• SolarWinds Security Event Managerは、MLベースのデータ分析や他製品ほどの統合機能はありませんが、USBデバイス監視や優れたコンプライアンスレポート機能を備えています。
• Splunkは、エコシステム（およびアプリストア）が特徴のSIEMプラットフォームを、オンプレミス向けのSplunk EnterpriseとSaaSモデルのSplunk Cloudの2バージョンで提供しています。
• Trellix Enterprise Security Managerは、実用的なアラートを提供し、アーキテクチャや統合面での柔軟性に重点を置いています。

ITセキュリティに関する他の興味深い記事もご覧になりたいですか？無料ニュースレターでは、セキュリティ担当者や専門家が知っておくべき情報をすべて、あなたの受信箱に直接お届けします。