SIEMを機能させるための必要条件:SIEMとSOARの連携【前編】
SIEMからメリットを引き出すには条件がある。正しい運用体制を整えなければ役に立たない。もちろん、SIEMを使いこなすスキルがなければそれを補う手段がある。
GartnerはSIEM(Security Information and Event Management)を、セキュリティ機器、ネットワークインフラ、システム、アプリケーションが生み出すイベントデータを集約する技術と定義する。SIEMの主なデータソースはログデータだが、他の形式のデータ(ネットワークテレメトリーデータなど)も処理できる。
GartnerのSIEMに関するマジッククアドラントレポートは、スコアリング、優先順位の設定、迅速な調査を目的として、ユーザー、資産、脅威、脆弱(ぜいじゃく)性のコンテキスト情報とイベントデータを組み合わせることが可能だとしている。
PA Consultingのラシカ・ソマシリ氏(サイバーセキュリティ専門家)は、SIEMツールはセキュリティ運用における効果的な監視機能の基礎の一つだと語る。同氏によると、SIEMツールが提示するアラートは違反の発生やその予測に役立つ可能性があるという。
「中・大規模のIT部門でセキュリティを担当していて、SIEMが必要だと考えるなら恐らく必要だ。既にSIEMを導入しているかもしれない。SIEMだけでなく、セキュリティアラートを提示するさまざまな追加ツールもあるだろう」(ソマシリ氏)
アラートの問題点は、セキュリティ担当者がそのアラートに対応する必要があることだ。「そのアラートが実際のインシデントを表していることを検証する必要がある」(ソマシリ氏)
SOAR(Security Orchestration, Automation and Response)が関心を集め始めている理由がここにある。GartnerはSOARを、インシデント対応、オーケストレーションと自動化、脅威インテリジェンスを1つのプラットフォームに組み合わせる製品クラスの一つと定義している。
セキュリティの専門家でBCSのペトラ・ウェナム氏にとっての争点は、SIEMとSOARのどちらがIT部門に最適なセキュリティツールなのかという問題だ。「両ツールには重なり合う部分がある。どちらに注目するかによって、その重なりは少なくなる可能性がある。SIEM製品が設計にAIを取り入れている場合、重なり合う部分は極めて少ない」(ウェナム氏)
製品の選択は、企業の規模だけではなくITインフラの規模と複雑さ、そのインフラが保持し、処理するデータの価値によって決まるとウェナム氏は考えている。
ITインフラの規模と複雑さが増すほど、そして処理するデータの価値が高くなるほど、インフラ内部で生成されるアラートとイベントの相関関係を調べる作業を自動化する必要性が高くなる。
「可能な限り自動化してインフラ内の是正措置を開始すべきだ。自動化によってITスタッフやセキュリティスタッフの貴重な時間が解放され、解決が困難な問題やインフラと関連する管理と監視のツールの維持に専念できるようになる」(ウェナム氏)
小規模運用と大規模運用の選択肢
Eコマースや顧客ポータルがないなど、ITインフラが小規模で複雑ではない組織ならば、AIを備えたSIEMが妥当な選択肢になるとウェナム氏は言う。
ただし、優先度の高いイベントを素早く特定して調査できるようにするには、ITスタッフやセキュリティスタッフがSIEMツールを管理して誤検知データであふれないようにすることが重要だと同氏は注意を促す。
このアプローチは、社外のセキュリティ請負業者を使ってSIEM構成を定期的にレビューし、異常アクティビティーと正常アクティビティーを適切に区別できるようにSIEMを再調整することで補完する必要があるとウェナム氏は語る。
小規模なSOARツールでも、その監視機能がインフラ内の全機器に対応できる包括的なものであれば選択肢になり得ると同氏は示唆する。
インフラの複雑性が増すほど、AIOps(IT運用向けAI)を備えたSIEMが検討対象になる。ウェナム氏によると、AI対応ツールは時間をかけてゆっくりと動くイベントを追跡して、是正措置を自動的に開始できるという。
大規模で複雑なITインフラを抱えている場合は、生成されるイベントも大量になる。こうなると、推奨ツールはSOARツールと組み合わせたハイエンドのSIEMだとウェナム氏は言う。広範なイベントデータを収集して相関させる最良の製品がSIEMであり、SIEMが生成するデータを分析して是正措置を自動的に開始するのに最も適した製品がSOARだからだ。
SOARはSIEMが長期にわたって生成したイベントデータを集約して分析し、ひそかに企てられたセキュリティ侵害イベントを明らかにすることも可能だ。
「SIEMとSOARを設定している大企業であっても、特にIT部門やセキュリティ部門のリソースに制約がある場合は社外のセキュリティコンサルタントの支援が有効かもしれない」と同氏は言う。
後編では、SOARを活用するためにすべきポイントを紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.