セキュリティ担当者の課題を解決するSIEMとSOAR。両者の目的や機能、メリットは全く異なるが、人に説明できるほど理解している人は少ない。両者を基礎から解説する。
ITインフラソフトウェアが生成するログを調べるのはあまり楽しくない仕事の一つだ。だが、ログが異常なアクティビティーに関する貴重な洞察を提供する。こうした洞察はセキュリティ違反を防ぎ、標的型攻撃を最小限に抑えるのに役立つ可能性がある。
SIEM(Security Information and Event Management)とSOAR(Security Orchestration, Automation and Response)には多くの共通点がある。だが両者には大きな違いがある。その違いが自社にとって最適なツールかどうかに影響を及ぼす。
どちらが適しているかは、企業のSOC(セキュリティオペレーションセンター)の成熟度と規模に左右される。2つのセキュリティシステムの設定と構成に関する複雑さを考慮し、直面する脅威がツールを実装するコストに見合うかどうかを評価することも必要だ。
「SIEMが生まれたのは、他の機器のセキュリティイベントフィードを含め、IDS(侵入検知システム)、ファイアウォール、エンドポイントソフトウェアなど、ネットワーク全体のさまざまなログを統合するニーズがあったからだ」と語るのは、Airbus CyberSecurityのパディ・フランシス氏(CTO:最高技術責任者)だ。
フランシス氏は、SIEMはログファイルの収集に加えてデータを手作業で検索、分析する機能も提供すると言う。通常はデータ分析を使ってアラートを生成し、データのさまざまなビューをセキュリティアナリストに提示して利害関係者にレポートを提供する。
一般に、SIEMは検知のユースケースを開発可能にする機能も提供すると同氏は話す。開発する検知のユースケースでは、進行中の攻撃を示す可能性のあるイベントシーケンスを探してチケット発行などのシステムとの統合を実現する。
とはいえ、SIEMは1秒当たり数千のイベントを生成する可能性があるとフランシス氏は指摘する。「ユーザーがフィッシングメールのリンクをクリックすると、平均20分足らずでワークステーションを制御下に置いてネットワークに侵入するAPT(持続型標的型脅威)グループもある。全グループを平均しても2時間はかからない」
これが1/10/60チャレンジという考え方につながる。つまり、1分以内に攻撃を検知し、10分以内にその攻撃を理解して、60分以内にその攻撃を封じ込める必要がある。だが最高のSOCアナリストでも、SIEMツールだけで1/10/60チャレンジに対処するのは難しいとフランシス氏は指摘する。
そこで役に立つのがSOARだ。GartnerはSOARに関するマーケットガイドに次のように記載している。「Gartnerのクライアントのうち、SOARの実装を計画しているクライアントまたはSOARを既に実装したクライアントが挙げた最も一般的なユースケースは、フィッシングの疑いがある電子メールのトリアージを自動化することだ。このトリアージは反復可能なプロセスの典型例だ。電子メール(またはそのコンテンツ)に悪意があり、対応が必要かどうかを判断する目的で、1日当たり数十~数百回繰り返される。これは自動化に適したプロセスだ」
SOARはインシデントの検知と対応のプロセスを自動化し、攻撃への対応速度を上げる。SOARをSIEM、チケット発行システム、検知技術、ファイアウォール、プロキシ、脅威インテリジェンスプラットフォームと統合すれば、検知と対応の全体的なアクティビティーを自動化できる。
セキュリティ運用チームは、検知から封じ込めまでに実行する意思決定とアクションを詳しく記載したプレイブックを用意する。プレイブックで、疑わしいイベントの検知時にエスカレーションと可能な対応を通じて実行するアクションを定義する。SOARはこのアクションを自動化するとフランシス氏は言う。調査をサポートする自律的な決定を下し、脅威インテリジェンスを取り込み、さらなるアクションの提案を添えて結果をアナリストに提示する。
「これを受けて、アナリストが適切なアクションを選択する。そのアクションは自動的に行っても、プロセス全体を自動化しても構わない。コマンド&コントロールの送信の可能性を検知したとする。その場合、プレイブックに従ってフォローアップし、関連する脅威インテリジェンスを収集してホストに関する情報や送信に関する情報を集めることになる」(フランシス氏)
この例では、通知を受けたアナリストにはその送信をブロックし、関係するホストを分離する選択肢がある。この選択肢を選ぶとアクションが実行されるという。このプロセス全体では、チケット発行とコラボレーションツールによってチームと利害関係者に情報を提供し、必要であればレポートを生成する。
後編では、SIEMを導入すべき企業、SOARを選択すべき企業の判断基準を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/die-phalanx
