SIEMをスムーズに導入するために知っておきたい「5つのステップ」：「SIEM」実装のこつ

攻撃が多様化・巧妙化している中、さまざまな脅威を検出し対策を講じやすくする「SIEM」の導入が広がりつつある。複雑なSIEM導入を成功に導くためのステップを解説する。

[Karen Scarfone，TechTarget] PC用表示関連情報

LINE

Hatena

SIEM導入計画の5つのステップ

併せて読みたいお薦め記事

そもそも「SIEM」とは

1．SIEMアーキテクチャの設計

　SIEMアーキテクチャには、SIEMがデータを収集する全てのシステムやデバイスが含まれる。SIEMアーキテクチャを設計するに当たり、セキュリティに関するニーズはもちろん、システムのパフォーマンスやビジネスの回復力といったことも考慮しなければならない。

　特に重要なのは、SIEMの具体的なユースケースを明確にすることだ。SIEMだけでは対応しきれないユースケースがある場合は、補完的なツールや技術の採用を検討する。例えば、SIEMを、インシデント対処を自動化する「SOAR」（Security Orchestration, Automation and Response）や、脅威を検知し対処する「XDR」（Extended Detection and Response）と組み合わせて使用する企業がある。

　SIEMアーキテクチャを設計するときは、ツールだけではなく、導入に付随するさまざまな費用を想定する必要がある。主な費用は以下の通りだ。

SIEMが取り込む最新の脅威データの利用料
既存システムからSIEMにデータを移行する際の費用
段階的な導入の場合、既存システムとSIEMの並行運用による費用
長期的なデータ保持の費用
SIEMに関する従業員向けトレーニングの費用
取り込まれるデータ量に基づいた価格設定
- セキュリティイベントが発生した場合、データが大幅に増加し、コストが急騰する可能性がある。

2．デプロイメントの計画

　SIEMは連携するシステムが多岐にわたるため、計画フェーズが複雑になりやすい。ログ管理や脅威情報、脆弱（ぜいじゃく）性管理システムなど、SIEMに情報を送るシステムだけではなく、SOARやEDR（Endpoint Detection and Response）など、SIEMが情報を送る先のシステムも含めて連携を計画する必要がある。

　特に、既存のSIEMがある組織は、デプロイメントに当たって以下のことを考慮する必要がある。

継続性を確保し、重要なセキュリティアラートが見落とされないようにする。そのために、既存のカスタムダッシュボードやシステム設定、ワークフローをどのように新システムに移行するかを考えなければならない。
コンプライアンス（法令順守）やパフォーマンスといった観点から、旧SIEMのデータを保持する必要があるかどうかを確認する。必要な場合、旧SIEMのデータをどこに保存するかを検討する。
セキュリティ運用以外にも、SIEMのデータを利用している部門や関係者がいないかどうかを確認し、移行の影響範囲を把握する。

3．段階的なデプロイメントの実施

　新しいSIEMへの急速な切り替えは混乱を招く恐れがある。何らかの問題が発生した場合、その原因を特定し修正することも困難になる。そのため、しばらくは旧SIEMと新SIEMを並行運用し、徐々に新SIEMの導入を広げることが重要だ。新SIEMを定期的にテストし、セキュリティやパフォーマンス、回復力を評価する。もし問題が発生した場合は、迅速に修正できる。

　ただし、2つのSIEMを長期間並行して運用すると、運用担当者に過度の負担がかかる可能性がある。セキュリティリーダーは運用担当者の負荷を考慮しつつ、最適な切り替えのタイミングを図ることが問われる。

4．構成の調整

　SIEMは初期構成だと、脅威の誤検知や過剰なアラートが発生しがちになる可能性があるので、時間の経過とともに継続的な再構成が必要だ。検知のルールやフィルター、アラートの基準などを調整することで、より自社ニーズに合ったSIEMの活用が可能になる。

5．運用のポリシー、プロセス、手順の更新

　システムの移行に合わせて、運用ルールも刷新する。理想的には、この作業は導入の初期段階から始め、SIEMの本番稼働に近づくにつれて完了させる。新SIEMの使用について担当者向けトレーニングを実施する。