最近話題のセキュリティ技術である「SIEM」ですが、その意味をご存知ですか?
SIEMは、日々サイバー攻撃が高度化していく中で、企業に必要なセキュリティ対策として注目が高まっています。
この記事で「セキュリティの用語だよね」レベルの知識から、その定義、必要性まで解説できるようになりましょう。
SIEMとは?
SIEMとは、「Security Information and Event Management」の略語で、直訳通り「セキュリティ情報イベント管理」のことです。
と聞くと、「セキュリティ情報、イベントってなんのこと??」となるかと思いますが、具体的には主にセキュリティ機器やネットワーク機器のイベントログを指します。
ネットワーク周りの機器のログを一元的に管理、分析することで、サイバー攻撃を防ぐセキュリティーソリューションの一つです。
SIEMの機能、特徴とは?
まず、SIEMの機能の中核にあるのは「データの集約」「データの分析」「アラート通知」「レポート」です。
ファイアーウォールやIDS/IPS、サーバーといった機器からのログを集約し、集めたログを分析し、不正を検知するとアラートで通知、レポートを出すというところまで基本自動で行います。
ただ、ログを一箇所にまとめて管理するだけなら、SIEM以外にも似たようなソリューションはあります。SIEMの一番の特徴は、相関分析にあります。複数のログを横断的に分析し、その相関性を自動で分析、発見することができます。
SIEMのようなソリューションが登場するまでは、その分析は基本人間が行っていました。しかし、一つの機器のログを取ってみても膨大な量なのにそれが様々な機器の分となるともう手がつけられず、分析に時間がかかり人間が気づく前にウイルスが侵入していた、というケースが多々ありました。しかし、SIEMの登場によってその部分が自動になることで、セキュリティ人材の負担を大幅に減らすことができるのです。
SIEMとSOARの違いとは?
インシデント管理というと、「あれ?SOARは?」と思った方もいるかもしれません。SOARとは、「Security Orchestration, Automation and Response」の略称で、セキュリティ運用業務の効率化や自動化を実現するための技術、あるいはソリューションのことです。そう聞くと確かに「SEAMもデータの集約、分析をして運用を効率化するので一緒では?」という気がしますが、SOARの違いは、「インシデント対応までは自動で行う」という点です。ただ、最近はSOAR、SIEMを一体として提供する製品も増えているので、その境界は曖昧になってきています。SOARについては、こちらの記事で詳しく解説しているので、是非合わせて読んでみてください。
なぜSIEMが必要なのか?
SIEMの概要、機能についてはここまででわかっていただけたかと思いますが、ではなぜSIEMは必要なのでしょうか?
一言で言うと、「日々サイバー攻撃が高度化し、侵入を防ぎきれなくなっているから」です。
攻撃者の手法は日々複雑化し、標的型攻撃等から完璧に内部への侵入を防ぐことは不可能といってもいい状況です。それによって、セキュリティのあり方も、侵入を防ぐだけでなく、いかに異常をすぐに検知し、対策を講じることができるかが重要になってきています。
そこで必要になるのが「SIEM」です。
SIEMによって複数のログを管理し相関分析を自動で行うことで、異常をすぐに検知し対処することができるのです。
おわりに
いかがだったでしょうか。
日々進化するサイバー攻撃へのセキュリティ対策として、SIEMは今や必須のセキュリティソリューションになっています。
最近では、次世代SIEMとも呼ばれるUEBAにも注目が集まっていますが、UEBAについては以下の記事で解説しているので、ぜひ合わせてチェックしてみてください。
コメント