SIEMとは

SIEMという言葉が、ネットセキュリティ業界で注目を集めています。

SIEMは「Security Information and Event Management」の略称で、「シーム」と呼びます。日本語では「セキュリティ情報イベント管理」などと訳されることがありますが、このSIEM が世界中で猛威を振るう標的型攻撃への有効な対抗手段になると期待され、注目を集めているのです。

SIEMとは

SIEMについて書く前に、SIEMがない環境下でのサイバー攻撃への対策をみてみましょう。従来のセキュリティ環境では、製品単体の能力のみで解決しようとしていました。そうすると、社内のサーバーやネットワーク機器、そのほかのデバイスから得られるログ情報を各々で管理することになり、アラートやインシデントを調査することが難しくなります。また、ログをどのように活用するのかが難しく、相関的に分析することができないというのがこれまでの話でした。そこでは、運用面での負担が非常に大きく、時間や工数、人員のどれをとっても負荷がかかってしまう仕組みとなっていました。

そこで開発されたのが、SIEMです。SIEMはセキュリティ/ネットワーク機器のログを収集して一元的に管理することができ、その上で複数のログの内容をリアルタイムに分析し、異なるログの相関分析を自動的に行うという画期的なシステムなのです。このシステムが必要な背景として、近年のサイバー攻撃は手法が巧妙化され、デバイスやサーバー単体のログだけを確認しても攻撃されているかわからないという事情があります。SIEMの多種多様なログを用いた相関分析により、脅威と思われる兆候を見つけ、被害を未然に防いだり、マルウェアの駆除や情報漏洩などの被害把握、被害拡大の防止などにつながると期待されているのです。

SIEMによってサポートされるべきデバイスには、次のようなものが挙げられます。

・境界セキュリティ (例えばファイアウォールと侵入検出システム)
・他のセキュリティ・ツール (例えばID とアクセス管理)
・ネットワーク機器(例えばルータとスイッチ)
・運用ツール (例えば構成管理)
・メインフレームを含めたサーバー類
・ビジネス・アプリケーション (例えばSAP)
・データベースとオペレーティング・システム

参考資料:SIEMにできることは

相関分析

イベントの相関付けは非常に重要だと言われています。「Aが増えればBも増える」というような関係を相関関係と言いますが、「〇〇のパターンではサイバー攻撃されている可能性が高い」というようなことを、手動ではなく自動で調査するのがSIEMです。また、SIEMは脅威を特定するための相関パターンのテンプレートを提供します。ただし、ここでは相関パターンは各ユーザー環境によって異なるという面があります。テンプレート等を土台にし、それに合わせた最適化やカスタマイズを行う必要があります。

従来、相関分析は非常に手間がかかる作業でした。人員や時間の問題で、攻撃の予兆や痕跡が検知できても、それを受けての対策は後手に回りがちだったのです。SIEMにより、ログの収集や相関分析の自動化、リアルタイムな高速処理が可能になりました。

SIEMのこれから

かなりの高機能を持っているSIEMですが、実は攻撃の検出を困難にする部分もあるということです。その理由として次のようなことが挙げられています。

・いくつかのレイヤーで起こった事象を点として結び付けて攻撃の全体像を可視する
・テキスト情報だけでは判明できない脅威は案外多い
・対象デバイスのヴァージョンアップ等により常時メンテナンスが必要

参考資料:SIEMにできることは

セキュリティの世界同様、サイバー攻撃の世界も日々進化しています。そこで重要になるのが、「標的型攻撃による侵入は防御できない」という前提です。いかに攻撃を早く検知するか、そしていかに適切に対処するかが求められます。その点、SIEMは確かに効果的ですが、日々巧妙な手口となっているサイバー攻撃に対応するには、十分とは言えないでしょう。

 

 

海外の調査機関によると攻撃者の侵入活動の83%は検出するまでに数週間以上かかり、そのうち67%が数か月を要したと報告されています。これでは攻撃者が思いのままシステムに活動することを許してしまい、システム管理者は対処すらできません。
ログ中心のSIEMはこの状況を乗り越えるための進化が迫られています。

参考資料:SIEMの課題と次世代SIEM

最近では、ログ中心のSIEMの問題を解決する新しい技術も登場してきました。「RSA NetWitness」や「RSA NetWitness Endpoint」と呼ばれる技術です。

RSA NetWitnessはログを管理するだけでなく、ネットワークトラフィックから未フォーマットのパケット通信も取り込むことができます。通信の内容を可視化することができ、迅速かつ詳細にインシデント調査・対応が可能になってくるのです。フルパケット収集は膨大なデータ量を蓄積します。より効率的な分析が求められますが、RSA NetWitnessでは大量のデータに含まれる価値ある情報に対し、パケット取得のタイミングに自動でフラグを立て、メタ化することができます。

さらに可視性を高めることができるのが、RSA NetWitness Endpointです。エンドポイント(端末)内部で起動されたプロセスレベルの監視をすることができ、様々なプロセスが何をしているのか、どのような挙動が疑わしいのか、効果的な初動で対応するために監視下の端末全てに対し、リスク値のスコアリングをします。

今後、ますます標的型攻撃をはじめとしたサイバー攻撃のレベルは上がってくると思われます。侵入された場合、いかに迅速に検知し対処するかが求められます。SIEMの役割は製品自体が全自動で対処するものではなく、あくまでもセキュリティ運用の生産性と効率を向上させるものだという認識が必要となるでしょう。