【SIEMとは?】
SIEM:シーム
Security Information and Event Managementの略称。
直訳はセキュリティ情報及びイベント管理となる。
セキュリティ機器やネットワーク機器など(スイッチ、ルーター、ファイアウォール、IPS/IDS、DB等)からログを集めて一元管理し、相関分析によってセキュリティインシデントの予兆や痕跡をを自動的に発見するツール。
標的型攻撃に対する有効的なツールとして注目されている。
■SIEMの機能
①ログの監視
→ログを収集しすぎるとシステムに負荷がかかったり、適切な解析を行えなくなる恐れがあるため、ログの収集/解析範囲を事前に選定しておく必要がある。
②ログの収集と統合
→セキュリティ機器毎に管理画面を開く必要がない。
③ログの相関分析
→不正行為と断定しにくい長期的な攻撃でも、様々な要因から総合的に判断をして脅威かどうかの判定をする。
④インシデントの集中管理
→ログを一元管理していることで大小問わず、インシデント情報を一気に確認できる。
⑤UBA/UEBA機能
UBA/UEBAを搭載したSIEMであれば、誤検知率を減らし正確なセキュリティ対策の実現に役立つ。
※UBA=User Behavior Analytics
ユーザー行動分析。
脅威と判定されにくいグレーな行為を機械学習によって脅威かどうか判定し、その対応を支援するツール。
内部脅威に対する対策として導入される。
※UEBA=User and Entity Behavior Analytics
ユーザーの行動だけではなく、情報を扱う設備やソフトウェア(ネットワークに接続されたサーバーや中継器など)を指す「エンティティ」の行動履歴を、機械学習によって自動的に分析する。
■SIEMのメリット
①ログの統合管理ができる。
②相関分析によりセキュリティインシデントを発見できる。
③リアルタイムに分析できるため早期発見につながる。
④分析の手間を大幅に短縮できる。
■SIEMのデメリット
①ネットワークトラフィックが高くなる。
→複数の機器からログを収集するため。
②ログの粒度が粗い。
③ルールの制定など運用開始までに時間がかかる。
④導入コストがかかる。
⑤大量のログ収集によりセキュリティインシデントとは関係のないアラートが上がる可能性もあり、アラートの精査に時間がかかる可能性も。
■SIEMが導入される背景
・コンプライアンス規制の厳格化により、企業がITセキュリティへの投資拡大を迫られている。
SIEMはPCI DSS、GDPR、HIPAA、SOXの各基準への準拠に役立っており、特にGDPRなどは企業の規模に関わらず適用されることから中小企業にも導入の必要性が出てきている。
☆EDRなどと組み合わせて導入するケースも多いようです。