ホワイトペーパー
巧妙化・高度化を続けるサイバー攻撃に対処するためには、これまでのようなポイントソリューションに頼るだけの方法では困難です。
1つ1つのイベントを関連付けて分析し、全体を俯瞰していくことによってはじめて、攻撃者の動きを把握できます。
有益なソリューションとなるのがSIEMですが、「運用が難しく、手に余る」と評価されがちでした。しかし、そんな印象を払拭する次世代SIEMが昨今登場しています。
年々サイバー攻撃が激化していることを見聞きしている人も多いでしょう。その代表例が、国内外のさまざまな企業に損害を与えているランサムウェアです。
社内システムの重要なデータを暗号化したり、機密情報や個人情報を持ち出したりして、それと引き換えに金銭を要求する手口が知られています。
かつてランサムウェアは無差別にばらまかれ、脆弱性が残っているPCに侵入する比較的単純な手口が主流でした。しかし近年話題になっているのは、標的型攻撃の手口を組み合わせたより巧妙な攻撃です。組織化したサイバー犯罪者が別のマルウェア経由でPCに潜り込み、金銭になりそうなシステムやデータを見定めた上で最終的な脅迫を実行しています。
企業はこれまで、エンドポイントに次世代アンチウイルス製品やEDRを導入したり、境界にはファイアウォールだけでなくIDS/IPSやWebフィルタリング、サンドボックスなどを導入したりして、多層防御を講じてきました。
しかし、高度化した脅威の動きは、ポイントごとに監視・防御するだけではつかめません。これまで導入してきたさまざまなセキュリティ製品のログ、ネットワーク上やサーバー上、各エンドポイントの動きなどをつなぎ合わせることで、相手の巧妙な手口が見えてきます。
逆に侵害を受けても、システム内部の動きを統合的に把握し、脅威の兆候を早期に把握できれば、攻撃者に操られている端末をネットワークから隔離したり、ブロックしたりするなどの対処を取ることで、被害を最小限に抑えられるでしょう。
そこで、社内全体のセキュリティを統括するCISOなどをトップに、日々のセキュリティ状況を監視するSOC(Security Operation
Center)やインシデント発生の対処・予防策を推進するCSIRT(Computer Security Incident Response Team)といった組織を整備し、侵入前と侵入後の対策を講じる企業も徐々に増えています。NISTのサイバーセキュリティフレームワークに示される、特定・防御・検知・対応・復旧という流れを実践しているのです。
セキュリティ対策を進めるには、組織やプロセス面の整備とともに、ツールをうまく組み合わせる必要があります。
中でもポイントとなるのが、「SIEM(Security Information and Event Management)」と呼ばれるソリューションです。さまざまなセキュリティ製品やネットワーク機器、サーバーやエンドポイントのログやイベント情報を集約・分析し、脅威の兆候を警告する役割を果たします。さらに、システム内部で影響を受けている箇所と内容を特定するため、被害を食い止める際にも有用です。まさに、企業システム全体を俯瞰する手段と言えるでしょう。
企業のデジタルシフトが進む中、生成されるログの量は日々増加しており、とても人手で処理できるものではありません。処理を自動化し、脅威の状態を可視化し、セキュリティエンジニア以外にもわかりやすい形で示してくれるという意味で、SIEMは重要な役割を果たします。
一方で、SIEMを導入してみたものの、思うように効果が得られないケースもあります。導入によって成功を収めた例もありますが、「導入後の運用が難しく、使いこなせない」「検知ルール作りにノウハウが必要で扱いにくい」といった課題を感じる企業が少なくないのです。