特集
» 2015年04月13日 10時00分 公開

IT導入完全ガイド:サイバー攻撃対策ツール「SIEM」の基礎知識、リアルタイム分析を実現するには? (1/4)

ネットワークやエンドポイントで多様な脅威にさらされる企業システム。これらを常に監視し、不正をリアルタイムに検知し被害を最小に抑えることができる「SIEM」が注目されている。

[土肥正弘,ドキュメント工房]

 情報漏えいや業務停止に至るシステム改ざんを引き起こすサイバー攻撃、大規模情報漏えいを引き起こす内部不正。この2つが企業システムセキュリティの最大課題だ。ネットワークやエンドポイントでさまざまなセキュリティ対策をとっていても完全には防げないこれらのリスクを最小限に抑えこむのが「SIEM」(Security Information and Event Management、セキュリティ情報イベント管理)ツールだ。

 セキュリティの専門知識が必須なため導入が難しかったSIEMが、ここにきてSIEM機能を活用したマネージドセキュリティサービスが次々に登場し、技術者不足に悩む企業でも導入を検討できる下地ができてきた。今回は、SIEMツールの基礎知識と、関連する最新サービスについて紹介する。

1「SIEMツール」って何?

 SIEM(シームと読む)は「SIM」(Security Information Management)と「SEM」(Security Event Management)を組み合わせた言葉(ガートナーによる)だ。

 SIMはいわゆる「統合ログ管理」のうちセキュリティ領域のログを対象とした仕組みのことをいい、さまざまなネットワーク機器やホストシステムが出力するセキュリティイベントログおよびシステムユーザーの利用ログなどを蓄積し、さまざまな視点から検索m分析を行う。

 SEMは、同様にさまざまな機器からのログを収集、蓄積することは同じだが、分析をリアルタイムに行う点が異なる。

 つまりSIEMツールは、セキュリティに関する統合ログ管理ツールの機能を持ちながら、常時、リアルタイムに高速な分析を行って、異常を検知した際にはアラートを発し、レポート機能により異常状況を分かりやすく視覚化することができるものだ。

 ただしログ管理に特化したツール同様、長期間のログをコンパクトに、安全に保管する用途に利用できるかどうかは製品によって、また用意できるストレージ容量によって決まる。長期間のログをじっくり分析して不正をあぶり出すフォレンジック用途には、統合ログ管理専用のツールの方が向いている場合がある。

「SIEMツール」ってそもそも何ができる?

 ではSIEMツールでは、何ができるのかを見ていこう。

SIEMツールの仕事1 セキュリティイベントログの収集

 SIEMツールの最初の仕事は「セキュリティイベント」と見なせるログデータを、システム内の適切な部分から集めることだ(図1)。例えば、ファイアウォール、IPS、IDS、WAF、URLフィルタリングツール、アンチウイルスなどのセキュリティ機器、ディレクトリサーバやプロキシサーバ、業務サーバ、PC、ネットワーク機器、データベース、クラウド、さらにはアプリケーション個々にまで対象範囲は広げられる。

 ただし、対象を増やし過ぎると後段の集約、正規化処理や分析に支障を来すこともあるので、リスクが高いログを優先する必要があり、その選定にはノウハウが要る。

SIEMツールが行う仕事 図1 SIEMツールが行う仕事

SIEMツールの仕事2 ログデータの集約と正規化

 収集したデータは即座に重複を排除し、同じようなセキュリティイベントは1つにまとめる処理(集約)がいる。また、ひと口にログといっても、テキスト形式もあればバイナリ形式もあり、項目も違えば順番も違う。

 同一ジャンルの機器でもベンダーが違えばログフォーマットが異なり、同一ベンダーの製品でも、例えばスイッチとルーターでは異なる。表現が異なっていても同じ意味の項目をまとめ(カテゴライズ)、フォーマットを整える「正規化」プロセスも必須だ。これが分析を高速化する基礎になる。

 各種SIEM製品の個性の1側面が見えるのはこの部分で、対象とする機器などのログを正規化するアダプターがどれだけ用意されているかが1つの大事なポイントだ。アダプターがなくても、付属するマッピングツールなどで正規化設定ができるが、その手間をかけずに済む方が導入の期間とコストが抑えられる。

SIEMツールの仕事3 ログデータの相関分析

 SIEMの最大の特長である複数イベントの「相関分析」が行われる。相関分析とは、1つだけなら正当と考えられるイベントでも、他のイベントと組み合わせて分析し、リスキーなインシデントに結び付くようなものを見つけ出すことだ(図2)。

ログデータから分かること 図2 ログデータから分かることの例(出典:日本HP)

SIEMツールの仕事4 セキュリティインシデントの集中管理

 システムのセキュリティ状態を画面や印刷レポートにより統計データとして可視化できるのもSIEMの利点だ。例えば、ログイン失敗が異常に多いユーザー、特定システムへのアクセス頻度が通常と極端に違うユーザーや部門などを、管理者がグラフィカルな画面で見分けることができ、その人の行動をトレースして不正の可能性を探ることが可能だ。また、システム全体のセキュリティ状態を知ることで、セキュリティ運用の改善点を検討することもできる。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。