セキュリティ情報イベント管理(SIEM)技術は、現在のエコシステム全体にわたる脅威の管理に苦戦しています。従来のSIEMソリューションは処理速度が遅く、スケーラビリティに制限があり、クラウド環境では非効率的で、導入に長い時間を要し、運用オーバーヘッドが高いという課題を抱えています。拡大する攻撃対象領域、急速に変化する規制、データの爆発的増加、増大する予算的圧力には対応しきれない。そのため、データの取り込みがより高速で、より俊敏、手頃な価格、スケーラブル、導入しやすい次世代SIEMソリューションへの注目が高まっている。
本記事では次世代SIEMの定義、構成要素、機能を紹介し、従来型SIEMとの差異を解説します。導入時に想定される課題についても探ります。最も重要なのは、ベストプラクティスを提供することです。
次世代SIEMとは?
次世代SIEM は、行動分析と自動化を活用して、異常な活動パターン、非準拠のシステム活動、セキュリティ問題、異常を検知し、迅速に対応します。これは現代のセキュリティオペレーションセンター(SOC)の中核であり、チームがモノのインターネット(IoT)、クラウド、人工知能(AI)、分析から生成される膨大な量のデータを処理することを可能にします。
従来のSIEMの機能は主に統計分析、ログ管理、アラート通知、レポート作成です。多くの場合、セキュリティオーケストレーション、自動化、対応(SOAR)技術で補完する必要があります。次世代SIEMはこれらの機能基盤を強化し、さらにソースを問わずデータを収集し、高度な行動ルール、ワークフロー自動化、人工知能によって機能を拡張します。
および分析により、次世代SIEMは行動プロファイリングを活用して異常な行動をリアルタイムで検出します。MLモデルを用いて各イベントにスコアを割り当て、脅威の有無を判断します。事前定義された閾値を超えるスコアはすべて、詳細調査のためにアナリストに転送されます。
機械学習(ML)
2.脅威インテリジェンス統合
次世代SIEMは、中核機能として統合型脅威インテリジェンスプラットフォームを備えています。セキュリティデータを自動照会し、脆弱性スキャンや侵入テストを実行して不審な活動を検知します。内部イベントとサードパーティの脅威インテリジェンスフィードを相関分析することで、潜在的な脅威に対する理解をさらに広げます。
3.ユーザーおよびエンティティ行動分析(UEBA)
次世代SIEMは、UEBA を適用し、学習したユーザーの行動を分析して、既知のシグネチャやルールに依存しない攻撃を特定します。UEBA は、ディープラーニング、強化学習、ベイズネットワーク、教師あり学習および教師なし学習を使用して、人間の行動パターンを学習します。例えば、マーケティング担当者が土曜日の午前1時に、通常は勤務時間外にアクセスしない財務データベースからファイルのダウンロードを開始した場合、システムはこれを不審な行動としてフラグを立て、内部脅威や認証情報の侵害の可能性を示唆します。
4. 自動化とオーケストレーション
次世代SIEMはプレイブックを用いて対応を自動化し、各疑わしいセキュリティイベントに対して事前定義された一連の緩和・封じ込めアクションを実行します。一般的に次世代SIEMは、影響を受けたシステムの隔離、パッチ適用、アラート発動など、検知した脅威への対応を自動化できます。
5. スケーラビリティとクラウドサポート
次世代SIEMはパブリッククラウドおよびプライベートクラウドプラットフォームと連携します。これにより、仮想マシン、コンテナ、SaaSアプリケーション、クラウドネイティブセキュリティツールからのログなど、クラウドプラットフォームの活動可視化が実現します。次世代SIEMには、IBM CloudやGoogle Cloud Platform(GCP)などのSaaSアプリケーションやクラウドインフラストラクチャからのイベントやログデータにアクセス可能な事前構築済みコネクタが備わっています。
従来型SIEMと次世代SIEMの比較
従来型SIEMの限界点
- 従来のSIEMはオンプレミス環境向けに設計されています。そのため、スケーラビリティはオンプレミスハードウェアが提供できるコンピューティング、ストレージ、メモリリソースによって制限されます。クラウドに移行すると、非効率なアーキテクチャにより、従来のSIEMは高いクラウドインフラコストと低速なパフォーマンスを引き起こします。
- 従来のSIEMは、処理能力とストレージ容量の不足により、今日生成される大量のホットデータを処理できません。データはコールドストレージに保存され、検索に時間がかかり煩雑なため、過去に発生した脅威の調査が困難です。
- 従来のSIEMはクローズドなエコシステムであり、同一ベンダーの他のセキュリティプラットフォームとは連携しやすいが、他ベンダー製品とは連携が困難である。
従来型SIEMに対する次世代SIEMの優位性
- 次世代SIEMはSaaSモデルで提供され、クラウドの伸縮性を活用して無制限の計算能力、ストレージ、メモリリソースを提供します。
- オンデマンドでリソースを利用できるため、大量のデータを収集し、より長期間保存し、より多くのユーザーが頻繁にアクセスできるようになります。これにより、より多くのデータソースを可視化し、セキュリティ態勢を強化できます。多くのソースからデータを取り込み、オープンAPIを通じて送信します。
- 次世代SIEMは、プライベートクラウド、オンプレミス、パブリッククラウドのいずれにホストされていても、セキュリティ、ネットワーク、サーバー、アプリケーション、エンドポイントなど、多様なソースからのデータを相関分析します。
- 次世代SIEMのアーキテクチャはオープンAPIを採用しているため、異なるベンダーのソリューションと統合でき、セキュリティポートフォリオを変更する際の影響を最小限に抑えられます。
次世代SIEMソリューションのコア機能
1.リアルタイム脅威検知と対応
次世代SIEMは行動分析を活用し、既知の攻撃シグネチャ、相関関係、パターンをリアルタイムで検知します。IDS、アンチウイルス、認証システムなどのソースからデータを集約し、個々のツールだけでは特定できないセキュリティ脅威やインシデントを迅速に検出します。脅威が発生した時点で対応できるため、対応時間を短縮できます。
2.包括的なデータ収集と正規化
次世代SIEMでは、イベントログ、ネットワークフロー、Syslogデータなど複数のソースから関連データを収集し、分析システムを通じて解析します。データを相関分析し、コンプライアンス違反活動、ポリシー違反、潜在的な脅威を検知した場合にアラートを送信します。さらに、Apache Spark、Hadoop、ElasticなどのスケーラブルなNOSQLデータベースを活用し、並列処理を可能にすることで、データ取り込みと分析を高速化します。低コストの分散ストレージにより、履歴データを安価に保存することができます。
3. インシデントの可視性と調査の強化
次世代 SIEM は、セキュリティイベントをリアルタイムで継続的に可視化します。攻撃経路可視化機能により、攻撃者の視点で思考し、脆弱性を悪用する可能性のある経路を理解できます。
4. 柔軟かつスケーラブルな導入オプション
ビジネスニーズや既存インフラ構成に応じて、次世代SIEMには多くの導入オプションが用意されています。
- フルマネージドSIEM(MSSP): すべてのセキュリティサービスを提供するサードパーティベンダー。
- SaaS SIEM: クラウド向けに明示的に構築され、クラウドネイティブインフラストラクチャをサポート。
- 共同管理型SIEM:一部のリスク管理タスクをSIEMサービスプロバイダーに委託し、既存のITセキュリティチームが残りを担当する。
- ハイブリッド展開: オンプレミスとクラウドの両方の展開を組み合わせたもので、インフラストラクチャの一部はオンプレミスに、一部はクラウド上に配置されます。
5. コンプライアンスとセキュリティレポート
次世代SIEMソリューションはAI駆動型コンプライアンス報告をサポートします。GDPR、SOX、HIPAA、PCI DSSなどの規制遵守を自動的に検証し、監査レポートを生成し、データガバナンスとプライバシーを管理します。過去および現在のデータを分析し、規則や規制へのコンプライアンス維持を支援します。さらに、カスタマイズ可能なコンプライアンス報告ワークフローを提供します。
高度な機能を備えているにもかかわらず、次世代SIEMソリューションには欠点がないわけではありません。
- データ過多と品質の問題: 組織は毎日数十億件のイベントを記録することがあります。脅威管理のための情報を取得するために、このデータを保存、集約、分析することは、次世代 SIEM システムに過大な負担をかけ、その有効性を低下させる可能性があります。
- スキルギャップとリソースの制約: サイバーセキュリティ業界では人材が不足しています。世界中で約400 万人 のサイバーセキュリティ専門家が求められています。次世代 SIEM の人材ニーズと予算の制約のバランスを取る必要があります。
- 既存のセキュリティエコシステムとの統合: 次世代 SIEM を、既存のさまざまなテクノロジーやシステムと統合することは、複雑な作業になる場合があります。また、次世代 SIEM は最新のアーキテクチャ向けに構築されているため、従来のインフラストラクチャを使用している組織では非互換性が生じる可能性があります。
次世代 SIEM を導入するためのベストプラクティス
#1.組織のニーズと目標を評価する
次世代SIEM導入の最初の成功要因は、具体的なビジネスセキュリティ目標を定義することです。コンプライアンス監視、高度な脅威検知、インシデント対応などが関心領域となるでしょう。これにより、導入を支える重要なプロセスやタスクの優先順位付けが可能になります。
#2. 適切なベンダーとソリューションの選択
セキュリティ目標を完全に理解したら、次に自社のニーズに対応できる能力と機能を備えた次世代SIEMプロバイダーを探す段階です。提供製品が会社の予算と整合していることを確認してください。
#3. チームを適切にトレーニングする
次世代SIEM管理者およびセキュリティアナリストをトレーニングし、アラートに対応できることを確保します。設定、保守、運用概念を含む導入プロセスを文書化します。
#4. 継続的な監視と改善
次世代SIEMのパフォーマンスを継続的に監視し、新たな脅威に対応するため最新バージョンへ更新してください。
次世代SIEMの事例と成功事例
Golomt Bank(モンゴル拠点の都市型リテール銀行)は、Securonixの次世代SIEMを導入しサイバーセキュリティ態勢を強化しました。従来、同銀行はルールベースの従来型SIEMを使用していたが、複雑なサイバー脅威を検知するために必要な高度な行動分析機能に欠けていた。また、セキュリティイベントのリアルタイム可視化や、Singularity AI SIEMが採用する統計的相関分析も利用できなかった。そこで同銀行はSecuronixへ移行し、セキュリティチームが多様なソースからの大量データをリアルタイムで監視できるようにした。次世代SIEMにより、UEBA機能を活用して異常をより迅速かつ正確に検知することも可能となった。
別の事例として、アメリカの美容小売業者Ulta BeautyがSumo LogicのクラウドSIEMを活用し、大規模なクラウド移行を支援し、広範なeコマースプラットフォームのセキュリティを確保したケースがある。同社のeコマース収益が2億ドルから20億ドル以上に増加するにつれ、セキュリティ上の課題も急増した。次世代SIEMの導入により、同社はインシデント対応時間を短縮し、セキュリティ脆弱性の迅速な特定と緩和を実現しました。脅威調査と対応を自動化したことで人件費を削減。ただし自動化のメリットはコスト削減だけではありません。Singularity AI SIEMのような次世代SIEMの自動ワークフローを活用すれば、中核事業に集中できるのです。
まとめ
現代のSOCには、俊敏で軽量なツールと最新のアーキテクチャが求められます。従来のSIEMではこれらの要求を満たせません。効率的な拡張性がなく、迅速なインシデント対応に必要なリアルタイムの洞察を提供できません。次世代SIEMソリューションは、AI駆動の分析とクラウドネイティブアーキテクチャでこれらの課題を解決します。高いスケーラビリティを備え、低オーバーヘッドでリアルタイム可視性、自動化されたワークフロー、インシデント対応プレイブックを提供し、企業が財務面とセキュリティ面のニーズのバランスを取ることを支援します。
SentinelOneのSingularity AI SIEM は次世代機能を提供します。AIを活用して脅威を検知し、セキュリティインシデントにリアルタイムで対応します。デモをリクエストして、Singularityが自律型SOCをいかに強化するかご確認ください。
FAQs
次世代セキュリティとは、自動化された対応プレイブック、ビッグデータ分析、機械学習を活用する新時代のサイバーセキュリティソリューションを指します。
従来のSIEMでは対応できない、現代の複雑で進化し続けるセキュリティ脅威を積極的に解決するために次世代SIEMが必要です。