SIEMからメリットを引き出すには条件がある。正しい運用体制を整えなければ役に立たない。もちろん、SIEMを使いこなすスキルがなければそれを補う手段がある。
GartnerはSIEM(Security Information and Event Management)を、セキュリティ機器、ネットワークインフラ、システム、アプリケーションが生み出すイベントデータを集約する技術と定義する。SIEMの主なデータソースはログデータだが、他の形式のデータ(ネットワークテレメトリーデータなど)も処理できる。
GartnerのSIEMに関するマジッククアドラントレポートは、スコアリング、優先順位の設定、迅速な調査を目的として、ユーザー、資産、脅威、脆弱(ぜいじゃく)性のコンテキスト情報とイベントデータを組み合わせることが可能だとしている。
PA Consultingのラシカ・ソマシリ氏(サイバーセキュリティ専門家)は、SIEMツールはセキュリティ運用における効果的な監視機能の基礎の一つだと語る。同氏によると、SIEMツールが提示するアラートは違反の発生やその予測に役立つ可能性があるという。
「中・大規模のIT部門でセキュリティを担当していて、SIEMが必要だと考えるなら恐らく必要だ。既にSIEMを導入しているかもしれない。SIEMだけでなく、セキュリティアラートを提示するさまざまな追加ツールもあるだろう」(ソマシリ氏)
アラートの問題点は、セキュリティ担当者がそのアラートに対応する必要があることだ。「そのアラートが実際のインシデントを表していることを検証する必要がある」(ソマシリ氏)
SOAR(Security Orchestration, Automation and Response)が関心を集め始めている理由がここにある。GartnerはSOARを、インシデント対応、オーケストレーションと自動化、脅威インテリジェンスを1つのプラットフォームに組み合わせる製品クラスの一つと定義している。
セキュリティの専門家でBCSのペトラ・ウェナム氏にとっての争点は、SIEMとSOARのどちらがIT部門に最適なセキュリティツールなのかという問題だ。「両ツールには重なり合う部分がある。どちらに注目するかによって、その重なりは少なくなる可能性がある。SIEM製品が設計にAIを取り入れている場合、重なり合う部分は極めて少ない」(ウェナム氏)
製品の選択は、企業の規模だけではなくITインフラの規模と複雑さ、そのインフラが保持し、処理するデータの価値によって決まるとウェナム氏は考えている。
ITインフラの規模と複雑さが増すほど、そして処理するデータの価値が高くなるほど、インフラ内部で生成されるアラートとイベントの相関関係を調べる作業を自動化する必要性が高くなる。
「可能な限り自動化してインフラ内の是正措置を開始すべきだ。自動化によってITスタッフやセキュリティスタッフの貴重な時間が解放され、解決が困難な問題やインフラと関連する管理と監視のツールの維持に専念できるようになる」(ウェナム氏)
Eコマースや顧客ポータルがないなど、ITインフラが小規模で複雑ではない組織ならば、AIを備えたSIEMが妥当な選択肢になるとウェナム氏は言う。
ただし、優先度の高いイベントを素早く特定して調査できるようにするには、ITスタッフやセキュリティスタッフがSIEMツールを管理して誤検知データであふれないようにすることが重要だと同氏は注意を促す。
このアプローチは、社外のセキュリティ請負業者を使ってSIEM構成を定期的にレビューし、異常アクティビティーと正常アクティビティーを適切に区別できるようにSIEMを再調整することで補完する必要があるとウェナム氏は語る。
小規模なSOARツールでも、その監視機能がインフラ内の全機器に対応できる包括的なものであれば選択肢になり得ると同氏は示唆する。
インフラの複雑性が増すほど、AIOps(IT運用向けAI)を備えたSIEMが検討対象になる。ウェナム氏によると、AI対応ツールは時間をかけてゆっくりと動くイベントを追跡して、是正措置を自動的に開始できるという。
大規模で複雑なITインフラを抱えている場合は、生成されるイベントも大量になる。こうなると、推奨ツールはSOARツールと組み合わせたハイエンドのSIEMだとウェナム氏は言う。広範なイベントデータを収集して相関させる最良の製品がSIEMであり、SIEMが生成するデータを分析して是正措置を自動的に開始するのに最も適した製品がSOARだからだ。
SOARはSIEMが長期にわたって生成したイベントデータを集約して分析し、ひそかに企てられたセキュリティ侵害イベントを明らかにすることも可能だ。
「SIEMとSOARを設定している大企業であっても、特にIT部門やセキュリティ部門のリソースに制約がある場合は社外のセキュリティコンサルタントの支援が有効かもしれない」と同氏は言う。
後編では、SOARを活用するためにすべきポイントを紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/die-phalanx
