好きな所から読む
SIEMとは?
SIEM(Security Information and Event Management)は、サイバー攻撃やマルウェア感染といったセキュリティインシデントの予防と最小化両面から対処できるセキュリティソリューションです。ネットワーク機器をはじめ、デバイス機器、アプリを一元的に管理してログを自動収集・相関分析することで、システム上の脅威の有無を検知します。
リアルタイムで脅威を発見できることから、24時間365日顧客の社内ネットワークやシステムのセキュリティ監視を行うSOC(Security Operation Center)では、SIEMが活用されています。
SIEMの機能とは?
データ収集、統合、分析に関してをまとめました。
データの自動収集
社員の利用しているスマートフォンやノートPCなどのデバイス機器、ファイアウォールやIDS/IPS(不正侵入検知防止システム)などのネットワーク機器、既存のセキュリティツールなどから、データログを自動収集します。
複数のツールから一元的に情報を収集できることで、システム上の早期状況把握と効率的な運用が可能です。
データの統合・分析
複数のセキュリティツールやデバイス機器、ネットワーク機器などから集めた情報を各カテゴリーに分類します。ユーザー情報の認証、アクセスしたアプリやシステム内でのアクティビティ、実行したプロセスなどに分けて、分類した情報を相関分析します。
デバイス機器やシステム内の状況が一元的に把握できることで、セキュリティインシデントの予防と被害の最小化ができます。
SIEMを導入する3つのメリット
脅威の早期発見、攻撃者の傾向を把握した対策、社内システムの安定化が望めます。
脅威の早期発見
SIEMでは、各種機器やシステムから集めた情報を収集・分析し、第3者の社内ネットワークへの侵入形跡やシステム上の異変を検知します。
複数のデータを照らし合わせることで、脅威の源となる行動か否かも判別可能です。
例えば、社内ネットワークやアプリケーションへのログインに、一人のユーザーが一度失敗しただけでは、システムを脅かす脅威とは言えないでしょう。
ですが、一人のユーザーが複数のアプリケーションやデータファイルに何度も失敗をしている場合は、脅威となりうる可能性があります。
脅威となりうる行動を素早く検知することで、セキュリティインシデントの発生を防ぎます。
攻撃者の能力と傾向を把握
SIEMには、AIを活用した脅威インテリジェンスを備えています。脅威インテリジェンスは、攻撃者の攻撃能力や意図の分析・把握、どの程度のコンピューター設備を有しているかなどを分析する機能です。
脅威インテリジェンスを活用することで、自社のIT環境やセキュリティ対策における脆弱性や改善点が明確になるだけでなく、攻撃者がどのような方法で情報資産を狙ってくるかが把握できます。
攻撃者の情報が何もなく、ただ漠然と対策を取るのと具体的に取るべき対策が明確化されている状態では、情報資産を守る仕組みの強度は全く別物です。
脅威インテリジェンスの活用で、サイバー攻撃やマルウェア感染を防ぐために有効な対策を取れます。
社内システムの安定
SIEMには、セキュリティインシデントの予防と被害の最小化の両面にアプローチできる機能が備わっています。特に現在のセキュリティ対策ではマルウェア感染やサイバー攻撃を受けた後、素早く被害を抑えるための機能が求められているからです。
攻撃者の技術や知識の向上によるサイバー攻撃の巧妙化、スマートフォンやノートPC、iPadなど業務で利用するデバイス機器の増加、在宅勤務やテレワークといった社外からのアクセス機会の増加により、マルウェアや不正アクセスを完全に防ぐのは困難です。
そのため、従来のセキュリティモデルであった「脅威の侵入をいかに防ぐか」ではなく、「侵入をされても被害を最小化する」といった考えに、対策の焦点が変わりつつあります。
つまり、社内ネットワークへ侵入されるリスク軽減もしながら、万が一セキュリティインシデントが起きたとしても、被害を最小化する機能が求められているということです。SIEMにはどちらの機能も備えているので、社内システムを安定化できます。
SIEMを活用しているSOCとは?
SOCは企業の社内ネットワークやシステムを管理するセキュリティ分野のプロフェッショナル集団です。構成されているスタッフは、セキュリティ業務と知識が豊富です。
SOCは24時間365日リアルタイムでSIEMを利用して監視を行うので、セキュリティインシデントの予防と最小化に効果的なセキュリティソリューションです。自社のセキュリティ運用を一任できるため、セキュリティ分野の人材確保に苦悩している企業には、おすすめです。
次世代型SIEMとは?
UEBA(User and Entity Behavior Analytics)とSOAR(Security Orchestration, Automation, and Response)です。ガードナー社が上記2つのセキュリティソリューションを「第3のSIEM」として、2017年に提唱していました。
UEBAは機械学習を利用した高精度のリスク検知、SOARは効率的なセキュリティ運用を実現しています。また、必要リソースが少ないため、ストレージも少なく抑えることが可能です。
UEBAとは?
UEBAは機械学習とAIを活用して、ユーザーの内部不正や第3者による情報資産の盗取を検知し、防ぎます。個々のユーザーの行動を監視するUBA(User Behavior Analytics)の発展型です。
行動の対象をユーザーだけでなく、デバイス機器やアプリケーション、ネットワークなどに対象範囲を拡げ、ユーザーの行動とリンクさせることで、ネットワーク上で異常行動や脅威があった場合は、すぐに検知できます。
外部からの脅威特定はもちろん、情報の持ち出しや不正操作といった対策を立てづらい内部流出を防ぐ効果にも有効です。
UEBAの3つのメリットとは?
内外部の情報漏洩対策、管理者の業務負担が挙げられます。
内部不正の防止
顧客情報や技術データ、社員の個人情報など機密情報の持ち出しを防ぎます。通常の行動から少しでも外れた行動を取るユーザーは危険人物と特定され、アラートが管理者に送信されます。
ユーザーの行動だけでなく、ノートPCやスマートフォンといったデバイス機器、使用しているアプリケーション個々の状態も監視されているため、通常のセキュリティツールでは見逃していた行動も検知可能です。
内部流出は企業にとって非常に脅威となるだけでなく、対策が立てづらいのも課題です。オフィスへの勤務スタイルがデフォルトの場合では、社員の行動監視やセキュリティ教育を行う場を設けることなど、対策を立てることができました。ですが、テレワークの導入で上司や同僚の監視の目が無くなっただけでなく、社員の普段の行動が一層見づらくなっています。
給料や人間関係、肩書など企業に対して恨みや不満がある場合は、監視の目が無くなった現在の状況を利用して、金銭的見返りや企業にダメージを与えるために、機密情報の売買を行ってもおかしくありません。
内部漏洩が起きた場合は取引先からの信用も失い、莫大な経済的利益と社会的信用を損失します。UEBAの導入によって、内部不正を阻止します。
攻撃者のハッキング防止
攻撃者が社員のIDやパスワードを悪用して、社内システムの調査やターゲット対象の情報資産の確認、実際にサイバー攻撃をした場合など、定義された行動から逸脱した行動があった場合は、すぐに異常行動と特定されアラートが管理者に表示されます。
攻撃者から情報資産を盗取されるリスクを軽減できるだけでなく、取引先にも万全のセキュリティ対策を敷いているとアピールできます。
管理者の業務負担軽減
セキュリティツールやデバイス機器などから収集したアラートや脅威に関する情報を優先順位付けします。機密情報に関する接触回数を含めた異常行動の量に応じて順位付けしているため、今すぐに対処すべき脅威が明確化されています。
管理者の業務効率の改善につながるだけでなく、タイムラグによるセキュリティインシデントの被害の拡大も防ぐことが可能です。
SOARの3つの機能とは?
SOARは情報の自動収集、自動対応、スムーズな情報共有が特徴です。
情報の自動収集と優先順位の提示
SOARはSIEMと同様に、複数のデバイス機器やネットワーク機器などから情報を自動収集した後、相関分析を行います。その後、対処すべきインシデントの優先順位と対処方法をプレイブック(手順書)に表示します。
SIEMでは、対処すべき優先順位の振り分けや対処方法の提示までは行われませんでした。SOARでは対処方法や取り掛かるべき順番が明確になることで、タイムラグによるセキュリティインシデントの被害拡大を防ぎ、業務効率も上がります。
複雑な処理は自動対応
ユーザーが対処すべき処理は、プレイブックに提示されている指示通りに行うことです。複雑な処理はSOARが自動スクリプトで対応してくれるので、管理者の業務負担を軽減できます。
セキュリティインシデントは既知のものが大半であるため、プレイブックの指示通りに対応ができれば被害は起きません。経験の浅い社員が業務をこなしながらセキュリティ分野への知識を増やせるだけでなく、効率的なセキュリティ運用が可能です。
情報共有がスムーズ
SOARは対応したインシデント事例の記録や情報共有を一つのプラットフォームで完結できます。対応した事例を自動保存・自動検索できる機能を搭載しているため、対処方法がわからなくなっても、後から振り返って確認することが可能です。
また、コラボレーション機能により、インシデントが起きた際に関係者への連絡やインシデントのデータ更新も自動で行います。連絡する手間を省き、データ共有や対処プロセスの共有を効率的に行うことが可能です。
| 機能 | メリット | |
| 情報の自動収集 |
|
|
| 情報の自動処理 |
|
|
| 情報の共有 |
|
SIEMを導入する前に行うべき2つのこと
コスト確保とセキュリティ意識の向上を行ってください。
セキュリティツールを導入するコストの確保
SIEM、UEBA、SOARなど最も費用対効果があるツールがどれかを検討しつつ、導入するためのコストを確保しましょう。企業にとってセキュリティ分野に投資するコストは、決して優先順位が高くありません。セキュリティ分野は直接売上に直結しないだけでなく、目に見える効果として確認しづらいからです。
情報資産を守ることがセキュリティツールを導入する最大の目的ではありますが、日々のビジネスの場において気になるのは売上や利益です。経営者に求められているのは、安定して企業を長期間存続させることです。社員の生活や雇用を守るためにも継続的に利益を生み出すビジネスを考えなければなりません。
そのため、業績の推移を見ながら導入時期を定め、セキュリティツールを導入するためのコスト確保が必要です。近年は中小企業を狙ったサプライチェーン攻撃も増加しており、企業規模に関係なくすべての企業が攻撃者の対象となりうる状況です。残されている時間は少なく、業績が下降気味の時にはコスト確保をする余裕はありません。
段階的にセキュリティツールを導入をすることが望ましく、社員への過度な業務負担増大を避けられます。
社員へのセキュリティ教育
どんなに優れたセキュリティツールを導入しても、運用していくのは人間です。セキュリティ意識の低い社員が多ければ、些細なきっかけで情報漏洩は起きてしまいます。例えば、取引先や送信元を偽装するビジネスメールを利用したサイバー攻撃は、依然として後を絶ちません。
本文にリンクを貼って偽サイトに誘導する方法やワードやエクセルの添付ファイルにマルウェアを忍ばせるなど、様々な方法で攻撃者は罠を仕掛けてきます。
何も警戒しないでメールを開封し、偽サイトや添付ファイルを開いてしまった場合、個人情報やマルウェア感染のきっかけになるので注意しましょう。また、近年では自分の私物であるPCやスマートフォン、クラウドサービスを所属している企業が許可していないにも関わらず業務に持ち込む、シャドーIT・BYODが問題になっています。
自分が使い慣れている私物であるため業務効率向上には期待できる反面、私物使用がきっかけで情報漏洩が起きた場合は大変な事態となります。企業から解雇されるだけでなく、状況によっては莫大な金銭的賠償を要求されます。金額は個人がすぐに用意できる金額ではありません。
情報流出に関して社会全体で敏感になっているため、セキュリティや情報の取り扱いに関して意識を高める必要があります。
まとめ
SIEM、UEBA、SOARについてまとめました。
| SIEM | UEBA | SOAR | |
| 機能内容 |
|
|
|
| 導入効果 |
|
|
|
