最終更新日:2023-12-28
セキュリティ対応強化のため、インシデントの検知や発生時の対応を迅速化したいと考えているセキュリティ部門の方へ。SIEM(シーム)製品の概要や比較のポイント、タイプ別のおすすめツールをご紹介します。
SIEM製品とは、サーバー、ネットワーク機器、システム、アプリケーションなどから、様々なログやイベントデータを集約し、脅威を検知・分析できるセキュリティ管理ツールです。
そもそもSIEMとは、「Security Information and Event Management(セキュリティ情報とイベント管理)」の略称です。SIEMは、あらかじめ設置しているセキュリティ機器やネットワーク機器のログを収集、蓄積し、分析することを指します。そのプロセスを通して、未知の脅威や怪しいアクセスを検知することが目的です。
SIEMによって、幅広いデータを収集することが可能になるので、多角的かつ相関的な分析を実現できます。
セキュリティ対策に関しては、ログの収集や相関分析を行うSEM(セキュリティイベント管理)や、ログのリアルタイムな収集・分析を行ってセキュリティインシデントを検知するSIM(セキュリティ情報管理)といった方法もあります。SIEMは、この2つのハイブリッドのような方法と考えてよいでしょう。
SIEM製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
SIEM製品は、主に以下のような機能を備えています。
様々なソースからログを自動で取得します。ログは暗号化、階層化されながら保存・蓄積され、分析に利用。複数のソースからのログを統合できるので、一元管理できるようになることが最大のメリットです。
収集したログのリストから検索できます。クエリ言語(コンピューターのデータを問い合わせるための言語)を用いて高度な検索ができるだけでなく、ネット検索と同様の簡単な検索ができるツールも。
自動で集計したログデータをグラフやチャートにしてダッシュボードに表示できます。多くのツールで分析項目が多岐にわたるので、ダッシュボードは表示させたいものをカスタマイズ可能。必要な情報が見やすいように整理されているので、管理の利便性向上につながります。
セキュリティリスクや異常が検出された場合に、アラートや警告の発信が可能。アラートの発信から対処まで自動で行うツールも多く提供されています。外部からの脅威だけでなく、内部での異常や規制違反に関するアラートを発信する機能も。
ユーザー行動分析はUBA (User Behavior Analytics)と呼ばれ、ほかの検出方法では見過ごされがちな内部脅威の特定と対応を支援。UBAでは、機械学習と分析を活用して、ルールから逸脱する行動を検出、特定、追跡します。
SOARとは、「Security Orchestration, Automation and Response」の略で、セキュリティインシデントの監視、理解、意思決定、アクションを1つのインターフェイスで効率的に行える機能。自動的にインシデントを調査・対応することで、属人化ではなく標準化した対応が可能になります。
重要なイベントとそのステータスの検出、イベントの重大度の判定、修復プロセスの開始、インシデントを取り巻くプロセス全体の監査に対応。そのほか、進行中のサイバー攻撃を阻止できる自動対応機能を搭載した、分析主導型SIEMもあります。
SIEM製品は、特徴に合わせて大きく3タイプに分類できます。
統合ログ管理システムに、SIEM機能を備えたタイプです。統合ログ管理システムは、あらゆるログを収集して、利用状況の管理や勤怠の可視化などを実現するツール。セキュリティに関連しない部分のログ分析にも活用できますが、SIEM機能としてサイバー攻撃や内部不正などのセキュリティ関連を強化したい場合に適しています。
たとえば、統合ログ管理システム「Logstorage」のうちSIEMに対応した「Logstorage X/SIEM」や、同じく統合ログ管理システムの「ALog」はSEIMに対応した機能を有しています。
大量のログ収集に対応し、高度なデータ分析や精度の高い検出に対応したタイプ。脅威検出するための分析手法が充実していることが特徴です。
たとえば、「Splunk Enterprise Security」は、MITRE ATT&CK、NIST、CIS 20、キルチェーンなどのフレームワークに対応した700以上の検出ルールに準じています。「IBM Security QRadar SIEM」は、450を超える統合、API、SDKを提供。既存のソリューションの価値を拡張してくれます。
AWSやAzure、GCPなどのクラウドでシステムを運用しながら、SIEMに取り組みたい場合にはこちらのタイプが適しています。たとえば、「Datadog Cloud SIEM」は、500以上のSaaSやネットワークサービス、セキュリティプロダクトの連携に対応しているため、ログ連携などの設定がしやすいです。
SIEM製品は、主に3つのポイントを比較して検討することをおすすめします。
セキュリティツールを導入すると、規模によっては1日数千件にも上る過剰なアラートが発生し、確認作業に追われてしまうことも。大量のアラートがセキュリティ部門の業務を圧迫して、本来業務が滞る可能性も否定できません。そうした事態を防ぐためにも、SIEM製品に過剰アラートが発生しない仕組みが備わっているかどうか、確認しておく必要があります。
たとえば「LogFilter」は、件数によるアラート緩和や特定の時間による除外など、詳細な条件でアラートのカスタマイズが可能。「Sumo Logic Cloud SIEM」は、分析機能と自動化を融合することでアラートの優先度を自動的に判別、トリアージを行うので、分析時の作業効率向上を期待できます。「Splunk Enterprise Security」は、過剰なアラートを防ぐために、リスクベースアラートで、発生した事象にリスクスコアを付与。スコアが一定以上になった段階でアラートを出せる仕組みを備えています。
収集したログやアラートなどの分析をすべて人手に委ねると、時間・手間が大幅にかかり、担当者の負担になることも。そのため、担当者の負荷を軽減して業務を効率化する作業の自動化機能の有無や、どの程度有効活用できるかについては、確認しておきたいポイントです。
たとえば、「Sumo Logic Cloud SIEM」は、データの収集、相関付け、アラートの優先順位付けを自動化し、ワークフローを効率化。過去数週間にわたる重大インシデントや潜在的なサイバー攻撃アクティビティを調べ、脅威モデルの中でアクションの関連付けを行うことも可能です。「IBM Security QRadar SIEM」は、優先順位付けされたトリアージを自動化。AI主導の調査になるので、セキュリティ部門の負担削減と業務効率化を期待できます。
データログの収集などのツール・サービスをすでに導入している場合、各ツール・サービス同士の連携ができれば、データの横断が可能に。ログの取得や管理も容易になります。新たにSIEM製品の導入を検討している場合は、他サービスとの統合管理や連携の可否を確認しましょう。
たとえば、「Splunk Enterprise Security」は、AWS、GoogleCloudPlatform、MicrosoftAzureをはじめ、様々なサービスと連携が可能。専用のアプリを導入することで、多くのプロダクトと統合管理できる拡張機能を備えています。
SIEM機能を備えた、統合ログ管理システムを紹介します。
(出所:Logstorage X/SIEM公式Webサイト)
大量のログデータを収集・保管し、分析を可能にするシステム「Logstorage」にSIEM機能が追加されたサービス。純国産SIEM製品で、IT部門の担当者が直感的に操作できるGUIを用意。難しいコマンド操作はなく、属人性を排除することができ、自社での運用ができる。
ルール作成画面では、ログを受信してから通知されるまでのフローを順序立てて作成することができる。ログの状況は可視化され、マウス操作で分析可能。気になるフィールドの集計や時間軸でのドリルダウンを行うことで、目的のログに素早く辿り着ける。
(出所:LogPoint公式Webサイト)
世界最高レベルの安全性を示す、EAL3+に認定されたSIEM製品。ITインフラからの様々なログデータの収集・保存・分析機能をオールインワンで提供。400種類以上のログ形式やログの種類を網羅した、数百以上のパッケージを利用できる。機能変更・拡張が可能なため、ログの形式変更や新形式、新種の攻撃パターンや技術への対応もスムーズ。既存システムやほかのシステムとの連携ができるのもポイント。攻撃や異常はダッシュボードでリアルタイムに監視し、検出するとアラートで管理者へ送信。脅威やリスクを素早く分析・対処できる。ITオペレーションやビジネス分析などにも活用することで、組織の効率化やリスクの軽減にも役立つ。
(出所:EventLog Analyzer公式Webサイト)
あらゆるログに対応し、ログ管理に求められる多様な機能を備えた統合ログ管理ソフトウェア。ログの収集・圧縮・保管を自動的に行えるため、ログ収集とストレージの節約の両立を実現。Windowsイベントログ、Syslog、3rdベンダーアプリケーションのログのほか、テキスト形式の任意のログを管理可能となっている。
イベントの種類やメッセージのキーワード、イベントIDなど、任意の条件を設定し、メールによるアラート通知。更にアラート生成を引き金としたスクリプトの実行も可能。定期的なレポート生成ができるようスケジュール設定できて、複数のユーザーにメール添付で送付する機能も備えている。
(出所:ALog公式Webサイト)
あらゆるITシステムの記録を集約管理できる、設計不要でストレスフリーなSIEM製品。複数のグラフやアラート情報など、 ダッシュボードにパネルを自由にカスタマイズ可能で、注目情報を集約、一目で把握できる仕様。ログ検索は検索エンジンサイトのような直感的な操作で実行でき、AND検索やOR検索など、 複雑な検索方法にも対応している。
ログ活用に必要となる面倒な前処理は、AIがログフォーマットを自動抽出してアシスト。候補となる複雑な正規表現を 自動生成できるので、高度なナレッジがなくても運用ができることが魅力。Microsoft 365やboxなど、クラウドアプリケーションログの対応実績も多く、ログデータの統合・整形も自動で行ってくれる。
高度なデータ分析や精度高い検出に対応したタイプの製品を紹介します。
(出所:LogFilter公式Webサイト)
独自の脅威検知機能で環境に合わせたセキュリティ監視を実現する、SIEM監視のカスタマイズサービス。豊富なセキュリティ監視運用実績をもとに、ユーザーの行動分析や危険なIP/ワードなどをチェックして脅威がないかを分析。要望に応じた分析ロジックの追加も可能なので、自社の環境に合ったアラートを設計できる。「導入や運用方法がわからない」といった場合でも、導入に伴う環境構築から実際のセキュリティ監視・運用までをサポートするので安心。
また、カスタマイズ運用にも対応しており、件数によるアラート緩和や特定の時間による除外など、詳細な条件での除外設定が可能。更に、MFAの無効化や短期間でのユーザー作成削除などのアクションを検知するといった設定にも対応できる。
(出所:Sumo Logic Cloud SIEM公式Webサイト)
SOC(Security Operation Center)アナリティクスと自動化を備え、高度な可視性が実現できるSIEMツール。コンプライアンスを含む幅広いセキュリティユースケースをサポートし、分析機能と自動化を融合することでアラートの優先度を自動的に判別。担当者の作業効率アップが期待できる。
ユーザインターフェイスとワークフローは、担当者が使いやすいようにシンプルに設計されており、インサイトではシグナルやほかの補足データが相関性と優先度に基づいてクラスタ化されるため、わかりやすい。インシデントのストーリーラインにも必要な関連コンテキストが表示され、素早い判断が可能。
(出所:IBM Security QRadar SIEM公式Webサイト)
一元化された可視性とインテリジェントなセキュリティ分析によって、重大なサイバーセキュリティー脅威を検知して調査し、対処できるSIEMツール。オンプレミスやクラウド・ベースのリソースを見える化し、認証情報の漏えいや内部脅威となりうるユーザー・アクティビティーをリアルタイムで識別。進行中の高リスクのサイバー攻撃を発見・対処できる。
USBの挿入、個人メールの使用、無許可のクラウド・ストレージ、大量の印刷などの情報漏えいイベントにも対応している。450を超える統合、API、SDKを提供することで、データを素早く取り込み、洞察をより深めくれるほか、GDPR、PCI、SOX、HIPAAなどの様々な規制に合わせて、コンプライアンスのリスクを管理できる面もポイント。
(出所:Splunk Enterprise Security公式Webサイト)
フォーチュン100社のうち96社に選ばれている分析主導型のSIEM。アクションにつながる分析により、あらゆる規模の環境でデータに基づくインサイトの活用、脅威への対応、ビジネスの保護、リスクの緩和を支援する。マルチクラウド環境とオンプレミス環境の両方からデータを取り込み、実用的なインサイトを得て環境全体を可視化。データサイロを解消し、脅威を迅速に検出できる。
高度なセキュリティ分析、機械学習、脅威インテリジェンスを活用して検出を強化。忠実度の高いアラートを生成して真陽性率を引き上げ、トリアージにかかる時間を短縮して、脅威に対する防御力を高めている。オープンで拡張性の高いデータプラットフォームで生産性を向上させ、過剰なアラートを抑制したり、データ、ツール、コンテンツを統合したりと、使いやすい点も魅力。。AWS、Google Cloud Platform、Microsoft Azureをはじめとした、多くのクラウドツールとのログ統合も可能に。
(出所:Microsoft Sentinel公式Webサイト)
Microsoft が長年にわたるセキュリティ経験から得たクラウドの大規模なインテリジェンスと、人工知能を使用して脅威からの保護を行うセキュリティ分析ツール。SIEM機能とSOAR機能をメインとし、対象システムのすべてのログの収集と、収集したログからアラートを検出し、調査、対処を自動で実施。Azureだけでなく、他ベンダーのクラウドやオンプレミスも対象としており、マルチクラウドや、ハイブリッドクラウド全体のセキュリティ管理を統合することが可能。
取り込んだ分析データは、Azure Monitor Log Analyticsワークスペースに保存される仕様となっているため、Log Analyticsと併用する必要がある。
クラウド環境でシステムを運用している場合に適したタイプを紹介します。
(出所:Datadog Cloud SIEM公式Webサイト)
運用ログやセキュリティログを横断してリアルタイムに脅威を検知できるSEIMツール。
ログをボリュームに関係なくリアルタイムに分析し、厳選されたすぐに使える統合機能やルールによって脅威を検知できる。500以上の統合機能で、ネットワーク、IDプロバイダー、エンドポイント、SaaSアプリケーションを完全に可視化。内蔵された閾値と異常検知ルールを活用し、最小限の設定で脅威を迅速に検知できる。更に、独自のクエリ言語を学習することなく、独自のカスタムルールを作成可能。
コスト効率に優れたクラウド型SIEMのため、低メンテナンスで運用コストを削減。チームの業務効率を向上させられることもメリット。
外部・内部を問わずに脅威の種類が増え、それとともにセキュリティ対策も複雑化しています。日々情報や技術をアップデートしなければならなかったり、細やかな対応が増えたりと、社内の専門チームの業務量も増加。今後も負担が大きくなっていくでしょう。
SIEM製品の導入によって、既に使用しているセキュリティ機器やネットワーク機器などのログを収集・蓄積し、未知の脅威を検知・分析できるように。セキュリティ部門の負荷軽減につなげられます。
SIEM製品は特徴に合わせて、大きく3つのタイプに分けられます。まずは自社にどのタイプが合っているか確認してみましょう。
そして、SIEM製品の検討をする際は、下記の3つのポイントにそって比較してみてください。
分析作業の自動化や過剰アラートの防止など、セキュリティ部門の負担を解消し、業務を効率化する機能は様々。自社の抱えている課題を踏まえて、比較・検討してみるとよいでしょう。
SIEM製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
