SIEMとは?メリットや選び方からおすすめの製品まで徹底解説
巧妙なサイバー攻撃から企業を守るために、高機能なセキュリティ製品の導入が欠かせない社会になりつつあります。サイバー攻撃による被害を防ぐためには、早期の脅威検知と対応が必要不可欠です。 ここでは、企業のセキュリティに寄与するセキュリティソリューションとして注目されている「SIEM」について解説します。 SIEM の概要やメリット・デメリット、選ぶ際のポイントに加え、おすすめのソリューションまでご紹介するため、セキュリティ担当者の方はぜひ参考にしてみてください。
- SIEMとは
- SIEMのメリットとデメリット
- SIEMの選び方
- まとめ
SIEMとは
ピンチアウトで拡大
SIEMとは、「Security Information and Event Management」の略称で、セキュリティソリューションの一種です。セキュリティ機器やネットワーク機器など、様々なIT機器のログを一元的に管理してリアルタイムに分析することで、セキュリティ上の脅威や問題を早期に発見します。
SIEMとは
SIEMは、「SIM」と「SEM」という2つの概念が統合されて成立したしくみです。セキュリティインシデントが発生した場合、発生原因や影響範囲を調査する必要があります。従来は、個々の機器のログを調査して突き合わせることで原因究明を図っていました。しかし、個々の機器の担当者が異なることが多く、ログを全て確認し、突き合わせるのは難易度の高い作業です。ログの保存期間が短かったり、ログがそもそも残っていなかったりするケースも多々あります。セキュリティ対策として多重防御の必要性が指摘される中、機器がさらに増え、全てを人力で把握するのは困難と言えるでしょう。そこで、ログを一元的に管理し、分析するためのしくみが考案されました。SIMは「Security Information Management」の略称で、セキュリティに関する情報を記録し、長期的に保存するソリューションを指します。一方、SEMは「Security Event Management」の略称で、ログをリアルタイムに分析して脅威や兆候を発見し、アラートを発するなど、早期にインシデントに対処するためのしくみです。
SIEMは、SIMとSEMのしくみを一つに統合し、各IT機器のログを一元的に管理してリアルタイムに分析することで、セキュリティ上の脅威や問題を早期に特定するための技術です。
SIEMの役割としくみ
SIEMは、各種IT機器のイベントログを組み合わせて分析することでセキュリティ上の問題を特定します。複数のログを相関分析することで、単一の機器のログを確認するだけでは発見できないようなセキュリティ上の問題を早期に発見することができます。
例えば、ある端末AからのアクセスログがサーバーBに記録されていたとしましょう。端末Aは施錠された室内に設置されており、入退室のログが記録されています。この場合、サーバーBへのアクセスログだけを監視していては、異常を検知できるとは限りません。しかし、端末Aが設置されている部屋への入室ログがないにも関わらず、端末AからのアクセスログがサーバーBに記録された場合、なんらかのセキュリティインシデントが発生している可能性があります。端末AやサーバーBのログだけを確認するのではなく、複数のログを組み合わせて分析することでセキュリティインシデントを早期に発見できます。
SIEMは「セキュリティインシデントを未然に防ぐ」よりもむしろ、「セキュリティインシデントを早期に発見し、被害の拡大を食い止める」という役割を担っています。ITの発展に伴って、サイバー攻撃の手法も高度化・巧妙化しています。セキュリティインシデントを未然に防ぐためのしくみとしてIDS/IPSやWAFを設置したとしても、全ての攻撃を防げるとは限りません。そこで、万一攻撃を受けたとしても、その被害を最小限に食い止めるためのしくみとして、SIEMの必要性が高まっています。
SIEMのメリットとデメリット
ピンチアウトで拡大
巧妙なサイバー攻撃を早期に発見するという役割を担っているSIEMですが、メリットだけでなくデメリットも指摘されています。ここでは、SIEMのメリットとデメリットについて解説します。
SIEMのメリット
SIEMのメリットとして、以下のような点が挙げられます。
・ログの一元管理ができる
・インシデント・脅威の早期発見
・内部不正の抑止
・セキュリティ人材不足の解消
それぞれについて、詳しく解説していきます。
ログの一元管理ができる
SIEMの1つ目のメリットは、ログを一元管理できる、という点です。端末ごとにログを管理する手間が省けるため、管理の漏れやミスを減らす効果が期待できます。SIEMの中には、収集したログを正規化する機能のある製品や、環境全体を可視化することでより効率的・網羅的な管理を可能とする製品もあります。
インシデント・脅威の早期発見
SIEMはログを一元的に管理して、リアルタイムに相関分析を行うことで、インシデントや脅威を早期に発見できます。脅威の兆候やインシデントを発見した際に素早い対応に移ることができるため、被害の拡大を最小限に抑えられます。
また、LogRhythmの「LogRhythm SIEM」など、最新のSIEMの中には、セキュリティインシデント発生時の対応を自動化できるSOARが搭載された製品もあります。インシデント発生時のエンジニアへの負担を軽減し、より迅速な対応が実現できます。
内部不正の抑止
セキュリティインシデントは、外部からのサイバー攻撃だけが発端となる訳ではありません。社内の従業員による不正な行為を防ぐことも、企業として大切なセキュリティ対策の1つです。SIEMを導入することで、従業員の不審な動きや許可されていないアクセスなどを検知できる可能性が上がります。SIEMは内部不正の防止にも役立つのです。
セキュリティ人材不足の解消
SIEMを導入することで、セキュリティに関する業務を効率化することが可能です。ログの収集や正規化、分析などの各種作業を自動化することで、セキュリティ対策にかかる社内リソースを節約することができます。
セキュリティ人材の重要性が指摘されているものの、求められる技術のレベルの高さなどの理由から、十分な人材を配置できていない企業も多いでしょう。SIEMを導入することで、従来よりも効率的かつ迅速なセキュリティ対策が実現できます。
SIEMのデメリット
SIEMのデメリットとして、以下のような点が挙げられます。
・ネットワークトラフィックの増加
・導入と運用にコストがかかる
・分析精度に不安
それぞれについて、詳しく解説していきます。
ネットワークトラフィックの増加
SIEMを導入する場合、社内の様々なIT機器からログを収集することになります。そのため、社内全体のネットワークトラフィックが増加し、ネットワーク全体のパフォーマンスが低下する恐れがあります。
ネットワークトラフィックの増加に対処するには、通常の通信とログ収集用通信のネットワークを分割するなど、通常の通信を圧迫しないような設計を検討すると良いでしょう。SIEMの運用に耐えられるだけのネットワーク設計・構築の見直しが必要になることもあります。
導入と運用にコストがかかる
SIEMの大きなデメリットの1つが、導入と運用にかかるコストです。金銭的なコストだけでなく、最初の設定や運用開始後の管理などに手間がかかり、多くのリソースを消費してしまう製品もあります。
もちろん、中には導入や運用時のコストと手間を抑えられる製品もあります。「LogRhythm」で提供されている「LogRhythm SIEM」は、一般的な料金制度であるログ量に応じた従量課金制を採用しておらず、従来のSIEMに比べてコストを約半分に抑えています。また、あらかじめログ収集ルールや分析ルールが用意されているため導入の難易度が低く、GUIを使った直感的な操作ができるため運用の手間も少ないのが特徴です。
収集・検出精度に不安
SIEMの中には、ログの収集精度や分析精度に不安のある製品があります。また、分析のルールを細かく設定しなければならないため難易度が高く、思うような効果が得られないケースもあります。
しかし、LogRhythmの「LogRhythm SIEM」であれば、AIで機器の異常行動を検知したり、脅威に優先順位を付けて検知に集中したりと、より柔軟で高精度な運用が期待できます。SIEMにはデメリットもありますが、近年はデメリットを解消した製品も登場しています。
SIEMの選び方
ピンチアウトで拡大
SIEMは多数リリースされており、性能やコストなどに差があります。ここでは、SIEMを選び方として、以下の3つのポイントについて解説します。
・コスト
・運用のしやすさ
・検知・分析精度
コスト
1つ目のポイントはコストです。一般に、SIEMはログの量に応じた従量課金制やIT機器の数に応じた料金設定がされています。企業の規模やログ収集対象とする機器の量、従業員の数などによって料金は変わるため、事前に検討し、ベンダーに相談することをおすすめします。
LogRhythmの「LogRhythm SIEM」のように、従来のSIEMよりもコストを抑えられる製品もあります。SIEMを導入したいがコストが心配、という担当者の方は、ぜひ検討してみてください。
運用のしやすさ
従来のSIEMについて指摘されていた問題点として、「運用に手間がかかり使いこなせない」といった声もあります。SIEMを導入しても、運用に高度な専門知識が必要な場合や、運用管理に大きな手間がかかるようでは、有効に活用できているとは言えません。操作しやすいUIが提供されているか、タスクの自動化はできるか、高機能なダッシュボードやウィジェットが搭載されているか、といった点がポイントになります。
検知・分析精度
せっかくSIEMを導入しても、ログ収集の精度が低かったり、脅威の検知精度が低かったりしては意味がありません。検知・分析精度が高いSIEMを選ぶのがポイントです。
LogRhythmの「LogRhythm SIEM」は、AI Engineを用いたログ分析や脅威情報サービスとの連携など、高機能な検知・分析のしくみを多数備えています。分析ルールの設定などには手間がかかるのが一般的ですが、「LogRhythm SIEM」はあらかじめ用意されたルールを利用してすぐに運用が開始できるため、導入コストを抑えられるのも魅力です。
まとめ
ピンチアウトで拡大
この記事では、SIEMについて解説しました。SIEMは、ログを一元的に管理して相関分析することでセキュリティ上の脅威を早期に発見するソリューションです。
巧妙化・高度化するサイバー攻撃に対処するためには、WAFやIDS/IPSだけでなく、攻撃を受けた際の被害を最小限に抑えるしくみも大切です。SIEMは、ログをリアルタイムに分析して脅威を早期に発見し、迅速な対応につなげるという役割を担っています。
多くのメリットがあるSIEMですが、コストや運用管理の手間など、問題点も指摘されていました。SIEMを選ぶ際にはデメリットも意識しなければなりませんが、近年では従来の問題点を解消したSIEMも登場しています。
LogRhythmの「LogRhythm SIEM」は、従来のSIEMの問題を解消し、直感的なGUIや可視化機能、タスクの自動化や分析ルールの設定しやすさなど、導入にかかる手間や時間を抑えられる製品です。検知・分析精度やコストも従来の製品より優れており、より効果的で安価なSIEM運用が期待できます。LogRhythmのSIEM導入を検討している方は、ぜひ東京エレクトロンデバイスまでお問い合わせください。
東京エレクトロンデバイスはLogRhythmとの代理店契約を解消しております
