“リアルタイム”で分析!サイバー攻撃対策ツール「SIEM」

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

リアルタイムで分析!サイバー攻撃対策ツール「SIEM」

2015/04/13

 情報漏洩や業務停止に至るシステム改竄を引き起こすサイバー攻撃、大規模情報漏洩を引き起こす内部不正……この2つが企業システムセキュリティの最大課題だ。ネットワークやエンドポイントで様々なセキュリティ対策をとっていても完全には防げないこれらのリスクを最小限に抑えこむのが「SIEM」(Security Information and Event Management/セキュリティ情報イベント管理)ツール。セキュリティの専門知識が必須なため導入が難しかったSIEMだが、ここにきてSIEM機能を活用したマネージドセキュリティサービスが次々に登場し、技術者不足に悩む企業でも導入を検討できる下地ができてきた。今回は、SIEMツールの基礎知識と、関連する最新サービスについて紹介していく。

SIEM

※「SIEM/“リアルタイム”で分析!サイバー攻撃対策ツール「SIEM」」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「SIEM/“リアルタイム”で分析!サイバー攻撃対策ツール「SIEM」」の記事全文がお読みいただけます。

会員登録はこちら(無料)


1「SIEMツール」って何?

 SIEM( “シーム”と読む)は「SIM」(Security Information Management)と「SEM」(Security Event Management)を組み合わせた言葉(ガートナー社による)。SIMはいわゆる「統合ログ管理」のうちセキュリティ領域のログを対象とした仕組みのことを言い、様々なネットワーク機器やホストシステムが出力するセキュリティイベントログ、及びシステムユーザの利用ログなどを集め、蓄積し、様々な視点から検索・分析を行う。一方SEMは、同様に様々な機器からのログを収集・蓄積することは同じだが、分析をリアルタイムに行う点が異なる。
 つまりSIEMツールは、セキュリティに関する統合ログ管理ツールの機能を持ちながら、常時・リアルタイムに高速な分析を行って、異常を検知した際にはアラートを発し、レポート機能により異常状況を分かりやすく視覚化することができるものだ。
 ただしログ管理に特化したツール同様、長期間のログをコンパクトに、安全に保管する用途に利用できるかどうかは製品によって、また用意できるストレージ容量によって決まる。長期間のログをじっくり分析して不正をあぶり出すフォレンジック用途には、統合ログ管理専用のツールのほうが向いている場合がある。

1-1「SIEMツール」ってそもそも何ができる?

 ではSIEMツールでは、何ができるのかを見ていこう。

SIEMツールの仕事1 セキュリティイベントログの収集

 SIEMツールの最初の仕事は「セキュリティイベント」と見なせるログデータを、システム内の適切な部分から集めることだ(図1)。例えばファイアウォール、IPS/IDS、WAF、URLフィルタリングツール、アンチウイルスなどのセキュリティ機器、ディレクトリサーバやプロキシサーバ、業務サーバ、PC、ネットワーク機器、データベース、クラウド、更にアプリケーション個々にまで対象範囲は広げられる。ただし対象を増やしすぎると後段の集約・正規化処理や分析に支障をきたすこともあるので、リスクが高いログを優先する必要があり、その選定にはノウハウが要る。  

SIEMツールの仕事2 ログデータの集約と正規化

 収集したデータは即座に重複を排除し、同じようなセキュリティイベントは1つにまとめる処理(集約)がいる。またひと口にログといっても、テキスト形式もあればバイナリ形式もあり、項目も違えば順番も違う。同一ジャンルの機器でもベンダが違えばログフォーマットが異なり、同一ベンダの製品でも、例えばスイッチとルータでは異なる。表現が異なっていても同じ意味の項目をまとめ(カテゴライズ)、フォーマットを整える「正規化」プロセスも必須だ。これが分析を高速化する基礎になる。
 各種SIEM製品の個性の1側面が見えるのはこの部分で、対象とする機器などのログを正規化するアダプタがどれだけ用意されているかが1つの大事なポイントだ。アダプタがなくても、付属するマッピングツールなどで正規化設定ができるが、その手間をかけずに済むほうが導入の期間とコストが抑えられる。

SIEMツールの仕事3 ログデータの相関分析

 そしてSIEMの最大の特長である複数イベントの「相関分析」が行われる。相関分析とは、1つだけなら正当と考えられるイベントでも、他のイベントと組み合わせて分析し、リスキーなインシデントに結びつくようなものを見つけ出すことだ(図2)。

SIEMツールの仕事4 セキュリティインシデントの集中管理

 システムのセキュリティ状態を画面や印刷レポートにより統計データとして可視化できるのもSIEMの利点だ。例えばログイン失敗が異常に多いユーザ、特定システムへのアクセス頻度が通常と極端に違うユーザや部門などを、管理者がグラフィカルな画面で見分けることができ、その人の行動をトレースして不正の可能性を探ることが可能だ。またシステム全体のセキュリティ状態を知ることで、セキュリティ運用の改善点を検討することもできる。

図1 SIEMツールが行う仕事は?
図1 SIEMツールが行う仕事は?
図2 ログデータからわかることの例
図2 ログデータからわかることの例
資料提供:日本HP

■怪しい行動やアクセスを発見

 例えばアクセス権があるデータベースへのアクセスは何の問題もないが、アクセスの直後に特定の外部サーバに接続していることが重なると、情報漏洩の可能性が疑われる。また様々なシステムにアクセスしようとしてログインに失敗することが短時間に何度も繰り返されていれば、マルウェアが活動しているのかもしれない。更に管理者が退社した後に管理者権限でのログインがなされたら、やはり怪しい。
 セキュリティ機器やエンドポイント、時には入退室管理システムのログなど、様々な種類のログを照らし合わせなければこうした「怪しい」行動は発見できない。SIEMは、人手による分析は事実上不可能な多種多量のログから疑わしいものを自動的に、そして迅速に探し出せる

■シナリオ該当する怪しいイベントにアラート/自動対応

 あらかじめどのような組合せがリスキーなのか、いわば不正のシナリオ(検知ロジックまたはルール)を作っておき、シナリオに該当するイベントが発生したときにアラートを上げたり、セキュリティ機器やネットワーク機器、あるいはアプリケーションに対する自動アクション(スクリプトを用意しておく)を起動して、通信遮断やアクセス拒否などの対応を自動化することができる。すなわち、運用管理者が常時システムを監視していなくても自動アラート、自動対応が可能になって、セキュリティレベルを上げながら人的運用負荷を減らせる。この部分がSIEMの真骨頂であり、綿密なシナリオ作成をどれだけ簡単にできるか、またそのシナリオに沿った処理を効率よく実行できるかなどに製品個別の特徴が表れる。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

SIEM/“リアルタイム”で分析!サイバー攻撃対策ツール「SIEM」」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「SIEM」関連情報をランダムに表示しています。

SIEM」関連の製品

脅威検出/分析プラットフォーム RSA Security Analytics 【EMCジャパン】 Kaspersky Endpoint Security for Businessシリーズ 【カスペルスキー】 内部ネットワーク監視ソリューション「VISUACT」 【ギガ+他】
IDS アンチウイルス 統合ログ管理
従来の分析ソースであるログ情報に加えパケット情報と脅威インテリジェンスを統合し、従来は発見困難だった脅威も迅速な検出を可能にする脅威検出/分析プラットフォーム。 PC、モバイル、サーバーなどのエンドポイントを幅広く保護し、アプリケーション、デバイス、Web使用を適切に制限するコントロール機能で強固なセキュリティ環境を実現。 ・ファイルサーバのアクセスログを生成する
・内部ネットワークに侵入したマルウェアの拡散活動を記録する

SIEM」関連の特集


業務においてPCやスマホ、タブレットが活用されている。これは「エンドポイントセキュリティ」の重要性が…



「金融商品取引法」「内部統制報告制度」がキーワードとして脚光を浴びた時代から数年、内部不正への対策の…



サイバー攻撃の手法が高度化・複雑化する中、常に最新かつ有効なセキュリティ対策を施すのは至難の業。今回…


SIEM」関連のセミナー

Intel Security社公認 McAfee SIEMハンズオントレーニング 【マクニカネットワークス】  

開催日 3月2日(木)   開催地 東京都   参加費 無料

標的型攻撃やサイバー攻撃の高度化により、外部からの侵入をセキュリティ機器で防御する「予防的対策」だけでなく、侵入された場合にいち早く検知、調査、対処を行う「発見…

Intel Security社公認 McAfee SIEMハンズオントレーニング 【マクニカネットワークス】  

開催日 2月9日(木)   開催地 東京都   参加費 無料

標的型攻撃やサイバー攻撃の高度化により、外部からの侵入をセキュリティ機器で防御する「予防的対策」だけでなく、侵入された場合にいち早く検知、調査、対処を行う「発見…

Intel Security社公認 McAfee SIEMハンズオントレーニング 【マクニカネットワークス】  

開催日 1月12日(木)   開催地 東京都   参加費 無料

標的型攻撃やサイバー攻撃の高度化により、外部からの侵入をセキュリティ機器で防御する「予防的対策」だけでなく、侵入された場合にいち早く検知、調査、対処を行う「発見…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

SIEM/ “リアルタイム”で分析!サイバー攻撃対策ツール「SIEM」」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「SIEM/ “リアルタイム”で分析!サイバー攻撃対策ツール「SIEM」」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007702


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ