攻撃が多様化・巧妙化している中、さまざまな脅威を検出し対策を講じやすくする「SIEM」の導入が広がりつつある。複雑なSIEM導入を成功に導くためのステップを解説する。
セキュリティ情報・イベント管理ツール「SIEM」(Security Information and Event Management)は、セキュリティ関連のデータを収集して分析し、効率的な脅威検出とインシデント対処を可能にする。
SIEMはユーザー企業の各ツールやサービス、エンドポイントから膨大な量のデータを集めて処理するので、SIEMツールの導入は大規模なプロジェクトとなる。SIEMツールをスムーズに導入し実装するには、計画を立てることが重要だ。本稿は、SIEM導入計画づくりの「5つのステップ」を紹介する。
SIEMアーキテクチャには、SIEMがデータを収集する全てのシステムやデバイスが含まれる。SIEMアーキテクチャを設計するに当たり、セキュリティに関するニーズはもちろん、システムのパフォーマンスやビジネスの回復力といったことも考慮しなければならない。
特に重要なのは、SIEMの具体的なユースケースを明確にすることだ。SIEMだけでは対応しきれないユースケースがある場合は、補完的なツールや技術の採用を検討する。例えば、SIEMを、インシデント対処を自動化する「SOAR」(Security Orchestration, Automation and Response)や、脅威を検知し対処する「XDR」(Extended Detection and Response)と組み合わせて使用する企業がある。
SIEMアーキテクチャを設計するときは、ツールだけではなく、導入に付随するさまざまな費用を想定する必要がある。主な費用は以下の通りだ。
SIEMは連携するシステムが多岐にわたるため、計画フェーズが複雑になりやすい。ログ管理や脅威情報、脆弱(ぜいじゃく)性管理システムなど、SIEMに情報を送るシステムだけではなく、SOARやEDR(Endpoint Detection and Response)など、SIEMが情報を送る先のシステムも含めて連携を計画する必要がある。
特に、既存のSIEMがある組織は、デプロイメントに当たって以下のことを考慮する必要がある。
新しいSIEMへの急速な切り替えは混乱を招く恐れがある。何らかの問題が発生した場合、その原因を特定し修正することも困難になる。そのため、しばらくは旧SIEMと新SIEMを並行運用し、徐々に新SIEMの導入を広げることが重要だ。新SIEMを定期的にテストし、セキュリティやパフォーマンス、回復力を評価する。もし問題が発生した場合は、迅速に修正できる。
ただし、2つのSIEMを長期間並行して運用すると、運用担当者に過度の負担がかかる可能性がある。セキュリティリーダーは運用担当者の負荷を考慮しつつ、最適な切り替えのタイミングを図ることが問われる。
SIEMは初期構成だと、脅威の誤検知や過剰なアラートが発生しがちになる可能性があるので、時間の経過とともに継続的な再構成が必要だ。検知のルールやフィルター、アラートの基準などを調整することで、より自社ニーズに合ったSIEMの活用が可能になる。
システムの移行に合わせて、運用ルールも刷新する。理想的には、この作業は導入の初期段階から始め、SIEMの本番稼働に近づくにつれて完了させる。新SIEMの使用について担当者向けトレーニングを実施する。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
