SIEM(Security Information and Event Management)は企業のIT環境やOT環境を一元的に可視化するソリューションのことです。
SIEMは以下のような方法でデータを集約・利用しています。
- オンプレミスやクラウドベースの環境を含めた企業全体から膨大なイベントデータを取り込み
- リアルタイム分析を行い、関連するセキュリティイベントを優先順位の高いアラートに集約
- アラートをセキュリティ・オーケストレーション・オートメーション・レスポンス(SOAR)ソリューションにエスカレーションし、インシデント・レスポンス・プレイブックを起動
SIEMはセキュリティ・オペレーション・センター(SOC)の分析担当者が(1)環境の可視化、(2)脅威の検知、(3)異常な活動の調査、(4)SOARツールへの迅速な対応のためのアラートのエスカレーション、という4つの重要な目的を達成するのに役立つツールになっています。
SIEMによって組織は脅威を検知する能力を備えることができます。もし脅威を検知する能力がなければ、SOCチームはインシデントに対応することができません。
SIEM(Security Information and Event Management)技術は、セキュリティイベントの収集と分析(ほぼリアルタイムと履歴の両方)のほか、その他のさまざまなイベントやコンテキストデータのソースを通じて、脅威の検知、コンプライアンス、セキュリティインシデントの管理をサポートします。コアとなる機能は、広範なログイベントの収集と管理、異種ソース間のログイベントやその他のデータを分析する機能、運用機能(インシデント管理、ダッシュボード、レポート作成など)です。
https://www.gartner.com/en/information-technology/glossary/security-information-and-event-management-siem
SIEMが企業にもたらす価値とは
セキュリティインシデントの影響を最小限に抑えるために「時間」が非常に重要となっています。
「Cost of a Data Breach Report 2020」によると、侵害を特定するのに平均207日、封じ込めるのに73日かかるとされています。この調査によると、200日未満で侵害を封じ込めた場合は、200日以上かかった場合に比べて平均で100万ドルの被害を抑えられるという分析もされています。
つまり脅威の特定は早ければ早いほど良く、そこで活用されるのがSIEMとなります。
SIEMはセキュリティ関連のインシデントを特定、調査、対応する時間を短縮し、データ侵害によるビジネスへの影響を軽減することができます。
SIEMはGDPR、PCI、SOX、HIPAAなどの規制上のコンプライアンス義務と連携することもでき、法務リスクを大幅に低減することができます。
SIEMの歴史
SIEMがまだ登場していない頃は、セキュリティチームがログデータを収集し分析していました。そのようなログ管理では不十分であることがわかり、基本的な検索が可能な第一世代の技術であるSIM(Security Information Management)が誕生しました。
複数のセキュリティシステムからのイベントを集約し、相関させるSEM(Security Event Management)は、その第2世代の製品です。
2005年、Gartner社のアナリストであるAmrit T. WilliamsとMark Nicolettは脆弱性管理の改善に関するレポートの中で「SIEM」という言葉を初めて使用しています。
WilliamsとNicolettは、SIEMを「広範な異種ソースからのセキュリティデータのリアルタイムイベント管理と履歴分析を提供する」技術と定義しています。
2005年にSIEMが登場して以降、かつてはログ収集による単独ハッカーや基本的なマルウェアを防御するためのソリューションだったものが、国家レベルの攻撃や犯罪組織による高度な持続的脅威を検知するように進化しつづけています。
SIEMの最も重要な技術革新としては、脅威情報フィードとの統合、ユーザー行動分析(UEBA)、AIと機械学習の追加などがあります。
SIEMのシームレスな統合機能の追加により、SIEMはSOARプラットフォームに調査を開始したり調査を支援したりするためのデータを提供するようになりました。
SIEMの4つの主要機能
SOCが4つの目的(可視性、検知、調査、対応プラットフォームへのエスカレーション)を達成するためのセキュリティ情報・イベント管理機能について詳しく紹介します。
可視性
SIEMは、ユーザー、エンドポイント、ネットワークデータ、ファイアウォールログ、ウイルス対策イベントなど組織の攻撃対象全体のデータを相関させることができます。SIEMは、オンプレミスでもクラウドでもすべて1つに集約してに表示します。
サイバーセキュリティインシデントに対応するために、企業は平均して45以上のセキュリティソリューションを導入し、19の異なるツールを使用していると言われています。
より多くの企業がインフラをクラウドに移行し、より多くのクラウド・ネイティブ・サービスを活用するようになると攻撃者もクラウドに焦点を当てて攻撃を行うようになります。
ハイブリッド・マルチクラウド環境を持つ企業は、SIEMですべてのプラットフォームのデータを相互に関連付けることができれば、より強固なセキュリティ態勢をとることができると言われています。
SIEMは、ネットワークの異常を検知する上で重要な役割を果たします。ESG社のJon Oltsik氏が「SIEM and NDR: Better Together」で説明しているようにSIEMとNDRの組み合わせて、疑わしいネットワークやシステム・レベルのデータを包括的なセキュリティ・アラートにまとめることでセキュリティ・チームが脅威の検知と対応を改善するのに役立つとしています。
脅威の検知
セキュリティ・チームが分析するデータを一箇所に集めることができれば悪意のある活動や異常なパターンの検出がより容易になります。
SIEMは未知の脅威やSolarWinds OrionやMicrosoft Exchangeを標的とした悪用などの注目度の高いエクスプロイトの検出に利用することができます。
攻撃者の手口はより巧妙になっており、SIEMはネットワーク、ユーザー、システムの動作におけるわずかな変化を検知して悪意のある内部犯行者、認証情報の漏洩、標的型攻撃APT(Advanced Persistent Threats)が行われていることを検知することができます。
調査
脅威が検出されるとSIEMは自動化された調査とデータを活用してさらなる調査を行います。
これらの機能によりアナリストの手作業を削減しアナリストは脅威の発見やインシデント対応などの貴重な活動に時間を費やすことができます。
ある企業ではAIを活用して誤検知を削減することで3時間かかっていた調査を3分に短縮したという例もあります。
特に2021年にはサイバーセキュリティの人材不足が350万人に達すると予測されているスキル不足の中、効率的な脅威調査は非常に重要となっています。
事後対応
SIEMは潜在的な脅威を検出すると、そのイベントデータをリアルタイムでSOCチームに通知しさらなる調査を行います。
SIEMが発見したアラート、疑わしいイベント、インシデントで手動または自動で調査が開始されます。多くの場合SOCチームはSOARツールのプレイブックで定義されたプロセスの一環としてSIEMのデータを活用してインシデントを調査します。
プレイブックとガイド付きワークフローを用いて検知と対応の実行を標準化することでチームは即時再現性のあるインシデント対応プログラムを構築することができるのです。
SIEMが検知できるサイバー攻撃とは?
企業はMITRE ATT&CK Chainの全体を網羅する脅威に対してセキュリティモニタリングを実施することが可能で、主に下記のサイバー攻撃を検知することができるようになります。
ランサムウェア
ランサムウェアは、最新のIBM X-Force Threat Intelligence Indexで調査されたインシデントの23%を占め、2020年の最大の脅威タイプになると予想されています。
Sodinokibiのような犯罪組織は、ランサムウェアと恐喝を組み合わせて数百万ドルの利益を得ていると言われています。ランサムウェアの標的として注目されているのは製造業やエネルギー産業など業務停止に対する耐性が低い業界が狙われています。
SIEMは分析機能を活用してランサムウェアのインシデントの可能性を特定します。これには悪意のあるインターネットアドレスへの接続、ファイルアクセスの異常の監視、異常な横方向の通信(ラテラルムーブメント)などが含まれます。
APT:標的型攻撃
APTとは高度な能力と設備を備えた攻撃者が特定の標的を狙って行う攻撃(標的型)のことです。
このような攻撃者は、「低く、ゆっくりと」活動する傾向があるため脅威が目立たず検知が困難になります。SIEMは、これらのAPTを検知するツールに異常検知を活用することができます。
さらにSOCチームが重要なイベントに集中することができ、高度な攻撃が広がる前に最新の侵害の兆候(IoC)を検知することができるため、SIEMはリアルタイムの脅威インテリジェンスフィードとの統合を活用することができます。
内部犯行者の異常行動
内部犯行者の脅威は、ユーザーが企業の資産への正当なアクセスを利用して悪意または無意識のうちにビジネスに損害を与える場合に発生します。
この脅威の検知にはユーザー・ユーザーの活動・ユーザーのパターンを理解することが重要となってきます。
これらの行動が異常であれば、セキュリティ・インシデントが発生している可能性があると判断することができます。
SIEMは各ユーザーのデータを多くのソースから集約し、そのデータを使って特定のユーザーの基本行動プロファイルを作成することができます。
ユーザーが以前の行動とは異なる行動をとった場合、SIEMはそのユーザーに高いリスク値を割り当てフラグを立て、さらなる調査を行うことができます。ユーザー分析には、機械学習が活用されることがよくあります。
フィッシング
2020年IBM Security X-Forceが確認した初期アクセス経路の中で2番目に多かったのがフィッシングでした。
典型的な攻撃では被害者に本物のように見える通信文を届け悪意のある添付ファイルやリンクをクリックするように仕向けてきます。
SIEMは、不審なメールの件名・データ漏洩の可能性・送受信メールの異常な動作・既知の敵対ホストとの通信などフィッシングの重要な指標を検出するのに役立ちます。さらに、SIEMはエンドポイント・セキュリティ・ツールとの統合を活用してフィッシング攻撃の兆候であるエンドポイント上の不審な動作を検出することができます。
SIEMソリューションの選び方
SIEMを評価する際に、どのような要素を考慮すればよいのでしょうか。SIEMのコア機能だけでなく、そのソリューションがお客様のビジネスに合わせてどのように拡張できるか、統合のしやすさ、Time-to-Value(価値を生み出すまでの時間)の速さなども考慮に入れることをお勧めします。
SIEMは従来検知に重点を置いてきましたが、今後は従来のSIEMのワークフローを拡張してインシデントの検知と対応をより緊密に連携させる必要があります。
SIEMはSOCチームにとって非常に有用であるものですが、SOCチームはEDRやNDRツールなど他のツールにも利用しています。複雑さを最小限に抑えるための継続的な取り組みとしてセキュリティ業界全体は現在SIEM・EDR・NDRなどのこれらのツールを統合し、XDR(Extended Detection and Response)に移行始めています。
XDRとは組織のネットワーク、エンドポイント、セキュリティイベントの可視性を拡張するものです。
一部の組織ではSIEMツールとXDRツールがより密接に連携しさらに一部のベンダーによって組み合わせられて組織で使用されるようになると考えられています。
Comments