企業のネットワークが複雑化するにつれ、セキュリティ管理者が監視すべきログも増えていく。監視・検知システムのSIEMはどのように運用管理の負担軽減に貢献するのか。
インターネットが一般的な経済活動の場となったことで、サイバーセキュリティのありようも様変わりしつつある。近年のサイバー攻撃では、高度な技術力を備えた攻撃者が経済的利益を目的として組織的に攻撃を仕掛ける例が目立つようになった。この結果、かつては有効だった「ネットワークの境界で防御し、LANには侵入させない」という手法が通用しにくくなってきた。現在では「マルウェア侵入は防ぎきれないもの」という前提に基づいて、侵入されても迅速に異変に気付き、その脅威をいかに取り除くかが重視されている。ここで鍵となるのは「ネットワークの内側で今何が起こっているのか」を即座に正確に把握するためのシステムだ。
一方で、企業のIT基盤にも大きな変化が起きている。クラウド環境の普及に伴い、ビッグデータ、モノのインターネット(IoT)といった技術が企業の競争力を左右するまでに存在感を増した。しかしセキュリティ担当者にとっては、監視対象が増加するということでもある。データトラフィックが増え、気が付けば複数のセキュリティベンダーの製品がネットワークのあちこちに存在し、監視すべきログも増えていた、という別の問題が起きかねない。堅牢(けんろう)なIT基盤への投資は重要だが、その結果、セキュリティ担当者の運用管理の負担が大幅に増加してしまい、対応しきれなくなるといった事態は避けたいところだ。
こうした課題の解決策として、実は役に立つのがSIEM(Security Information and Event Management、セキュリティ情報イベント管理)だ。SIEMは、セキュリティ管理者の運用管理業務をどのように支援してくれるのだろうか。
提供:フォーティネットジャパン株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部