Vectra AIによる『2023年脅威検知の現状:防御側のジレンマ』は、サイバー脅威から組織を守る上でセキュリティチームが直面する障壁と、現行のセキュリティ運用管理手法が持続不可能である理由を明らかにしています。これは、手動トリアージコストだけで年間最大33億米ドルを組織が支出しているにもかかわらず、セキュリティチームが拡大し続ける攻撃対象領域を最小化し、日々増加し続ける数千件のアラートを処理するという負担を背負っている現状を浮き彫りにしています。
調査によると、過去3年間でほとんどの企業において以下の状況が確認されました:
- 63%の企業が攻撃対象領域の拡大を報告。セキュリティアナリストの大半は、受信する日々のアラートの67%に対処できず、誤検知の量が増加している。
- アラートの手動トリアージに1日最大3時間を浪費。セキュリティアナリストの97%が関連するセキュリティイベントを見逃している可能性を懸念。
- 適切なツールやソリューションへのアクセス不足により組織を保護できないため、34%のアナリストが退職を検討したことがある。
SIEMシステムは、様々なソースからの脅威データをリアルタイムで記録し、セキュリティイベントの相関分析を提供します。インシデント対応や脅威検知に関連する手動プロセスを自動化することで、企業チームがシステムの異常を検知するのを支援します。長年にわたり、これらのソリューションは UEBA(ユーザーエンティティ行動分析)も包含するように進化してきました。
SIEM は、SOC チームが組織のサイバー防御戦略を監督することを必要とします。SOCは、セキュリティ関連の事象を常時監視・理解・分析できるセキュリティ専門家のチームです。こうしたチームは、SIEMなどのシステムを含む脅威検知、インシデント対応、リスク軽減を支援する様々なツールや技術へのアクセスを提供します。SIEMは自動化の具体化である一方、SOCはサイバーセキュリティにおける人的要素です。急速に変化するサイバーセキュリティ環境において、両者はいずれも極めて重要です。
SOCとSIEMを組み合わせることで、企業は強固なデジタル保護とエンタープライズアジリティの両方を実現し、対応力を高めることができます。ここでは、SIEMとSOCの7つの重要な相違点について詳しく解説し、両者の詳細な洞察を提供します。
SIEMとは?
セキュリティ情報イベント管理(SIEM)は、様々なソースからのデータを集約し、分析を実行することでセキュリティチームの負担を軽減し、専門家が脅威の可能性を特定するのを支援します。これにより、アラート疲労を回避し、実際のリスクの優先順位リストを作成し、それらを軽減するための効果的な攻撃対策戦略を設計することが可能になります。
SIEMの主な機能とは?
現代のSIEMシステムは、様々なコンプライアンス要件を満たすように設計されています。脅威の状況は常に変化しているため、SIEMソリューションは異なるソースや形式からのデータを収集し、分析できる能力が求められます。今日、SIEMシステムは、人工知能(AI)と機械学習という最新かつ最先端の技術を統合してこれを実現します。
通常、以下のコア機能を備えています:
- 強力なデータアーキテクチャ – データサイエンスアルゴリズムを活用し、高速なクエリ実行と可視化を実現します。最新のSIEMシステムのログ保持設定は、特定のソースやログタイプごとに必要な期間データを保持するのを支援します。不要なデータの蓄積を防ぐことが重要であり、SIEMシステムは不要なログを自動的に削除できます。
- ユーザーと資産のコンテキスト強化– これには、サービスアカウントの識別、資産所有権の追跡、動的なピアグループ化、無料の脅威インテリジェンス統合と相関分析、ユーザーログイン情報、ピアグループ、その他の重要な情報の検索機能などが含まれます。
- 自動化された横方向移動の追跡 – サイバー攻撃の80%以上が横方向移動を伴います。攻撃者は通常、不正アクセスを獲得し、権限を昇格させ、上位のIPアドレスや資産の乗っ取りを試みます。最新のSIEMは、事前構築されたインシデントタイムラインと、利用可能な脅威関連コンテキストを単一画面で可視化する機能を提供します。これによりセキュリティ専門家は十分な調査時間を確保でき、その過程で深いセキュリティ領域の専門知識を獲得できます。
- TDIRワークフロー自動化 –SIEMシステムは脅威対応の自動化を実現し、全てのセキュリティツールを一元管理すべきです。これにはワークフロー自動化の一環として、様々な脅威タイプに対する最適な対応策を体系化した対応プレイブックが含まれます。
- ノイズ低減: これはセキュリティ専門家が領域の制御権を取り戻す上で重要な機能です。現代のSIEMシステムでは、異常な挙動を示すイベントに焦点を当て、誤検知を排除する必要があります。効率的なパフォーマンスを実現しつつ、コストを抑えることが求められます。
- オーケストレーション機能 ― 開発者は手動スクリプトなしで、事前構築済みコネクタをITインフラにデプロイできる必要があります。SIEMへのアップグレード追加機能は必須です。ユーザーは、平均解決時間(MTTR)の短縮、アクセス管理システムとのデータプッシュ/プル、ジュニアアナリスト向けプレイブックの作成を確実に行えるべきである。
SOCとは何ですか?
セキュリティオペレーションセンター(SOC)とは、組織内のすべてのセキュリティ運用を監督するセキュリティ専門家のチームです。SOCは、以下のような役割を担う様々なチームメンバーで構成されています:
- SOCマネージャー
- インシデント対応責任者
- セキュリティアナリスト
- セキュリティエンジニア
- 脅威ハンター
- フォレンジック調査員
これらのチームには他にも専門家がおり、各メンバーは特定の目的を果たす場合があります。組織の規模や業務要件に応じて、追加の役割やチームメンバーが加わる場合もあります。SOCチームの構築方法に厳格なルールはありませんが、共通認識として、SOCは侵害されたシステムからデータを取得し脅威分析を行います。自動化セキュリティツールには偏りが生じやすく、人的ミスの余地も存在します。企業のSOC部門はこうしたギャップを埋め、包括的なサイバーセキュリティ視点の実現に貢献します。
SOCの主な特徴とは?
SOCの主な特徴は以下の通りです:
- 優れたSOCには、あらゆる種類のデジタル資産の価値が最低限反映されている必要があります。ランサムウェア、マルウェア、ウイルス、フィッシング、その他のサイバー攻撃から組織を保護するツールを備えていることが求められます。現代のSOCには、場合によっては資産発見ソリューションが組み込まれていることがあります。
- SOCチームは、業務中断が発生しないことを保証する対策を講じられる態勢を整えるべきです。生産性や収益の増加、顧客満足度の最適化が期待されます。これにより、SOCはセキュリティインシデント、対応、イベントの最も効果的な記録・ログ管理に関する規制セキュリティ基準への組織のコンプライアンスを支援します。
- SOCチームはまた、様々な企業における日常的および予防的な保守管理も担当します。定期的なパッチ適用、ソフトウェア・ハードウェアの年次アップグレードの実施、ファイアウォールの常時更新が求められます。強力なセキュリティポリシーとプロセス、適切なバックアップ体制を構築します。大規模な拡張IT構造やクラウドリソースの24時間365日セキュリティ対応を含め、タスクと責任を適切に他者に委任します。
- 一部のSOCでは、ログ管理と分析をネットワークイベントに拡張するXDR技術を導入し、ログ管理・分析をネットワークイベントへ拡張しています。これらはセキュリティ基準や許容される正常動作の確立に活用されます。組織はこれらを基準点として、不審な活動を監視・検知し、システムにウイルスやマルウェアが数ヶ月あるいは数週間も検出されない状態を防止します。
SIEMとSOCの7つの重要な違い
#1 監視と分析 –SIEMシステムは、脅威に関するデータソースの収集・監視・分析、およびそれに対する対応を目的としています。これらはリアルタイムでの脅威の特定、インシデントへの自動対応、レポート作成、分析ツールを提供します。
SOCソリューションはより統合化されており、組織のセキュリティを監督・調整することを提案します。含まれる機能には、脅威検知、インシデント対応、脅威インテリジェンス、脆弱性管理、セキュリティガバナンスなどが挙げられます。
#2 インシデント対応 vs 脅威ハンティング– SIEMはインシデント対応の自動化機能を提供する一方、SOCはインシデント管理と脅威ハンティングを通じて手動でのインシデント処理能力を提供します。
#3 脅威インテリジェンス– 脅威インテリジェンスの観点では、SIEMの能力は限定的であるのに対し、SOCは脅威インテリジェンス、脅威調査、脅威共有においてより高い能力を有している。
#4 脆弱性評価–SIEMでは、脆弱性管理がほとんど提供されていません。一方、SOCでは脆弱性スキャンやパッチ管理を含む非常に包括的な脆弱性管理が提供されています。p>
#5 データガバナンスとコンプライアンス – セキュリティガバナンスの観点では、SIEMは本質的に堅牢な機能が不足している。一方SOCは、セキュリティポリシーの管理やコンプライアンス対応を可能にすることで、より高度なセキュリティガバナンス機能を提供する。
#6 レポーティングと分析 – SIEMは分析機能付きリアルタイムレポートを提供し、SOCは予測分析や脅威モデリングにおいてより拡張された形でレポートと分析を進化させています。アラートと通知の自動化はSIEMで実装されますが、SOCはより高度な機能を備えたアラートと通知を提供し、アラート・通知ルールの拡張オプションを含みます。
#7 セキュリティ設計 – 設計上、SIEMは水平指向、SOCは垂直指向であり、SIEMは組織全体のセキュリティを管理・調整するよう設計されています。SIEMとSOCは、目的、重点領域、範囲、要求事項において差異があります。
SIEM vs SOC:主な相違点
| 機能 | SIEM | SOC |
|---|---|---|
| 重点 | SIEM は、さまざまなソースからのセキュリティイベントやデータを収集、監視、分析、相関付けします。セキュリティ脅威を検知し対応します。 | SOCは、セキュリティソリューションのツールや技術的能力を活用するため、セキュリティチームの取り組みを管理・調整します。主な焦点は、インシデント対応、セキュリティ監視、脅威ハンティングの改善にあります。 |
| 適用範囲 | SIEM は、ログ収集、脅威の検出、インシデント対応などの特定のセキュリティ側面に重点を置いています。 | SOC は、より広範なサイバーセキュリティに焦点を当てています。これには脆弱性評価、データガバナンス、脅威インテリジェンスが含まれます。 |
| 機能 | SIEMシステムは、ログ収集、正規化、分析、およびアラートとレポート機能を提供します。& | SOC は、脅威インテリジェンス、インシデント対応、セキュリティオーケストレーションを提供します。 |
| 目的 | 主にセキュリティ脅威の検知と対応を行う。 | 組織のセキュリティ態勢を管理・調整する。 |
| 要員 | システムの管理・保守には、より少人数のセキュリティアナリストおよびエンジニアチームが必要。 | セキュリティ運用全体の管理・調整には、アナリスト、エンジニア、マネージャーを含むより大規模なセキュリティ専門家チームが必要。 |
| 技術 | ログ収集・分析ソリューションなど既存のセキュリティ技術の上に構築。 | セキュリティオーケストレーションおよび自動化プラットフォームなど、カスタム構築ソリューションが必要。 |
| コスト | 比較的安価。年間数千ドルから数万ドルの範囲で変動する。 | 非常に高額。年間数十万ドルから数百万ドルの範囲で費用がかかる。 |
| 成熟度 | SIEMは歴史が長く、確立されたベンダーや製品が多く存在する成熟した技術です。 | SOCは比較的新しい概念であり、市場は依然として発展途上にあり、確立されたベンダーや製品は少ない。 |
| 統合性 | SIEMシステムは、ファイアウォールや侵入検知システムなど、既存のセキュリティツールやシステムとの統合を前提に設計されていることが多い。 | SOCは、脅威インテリジェンスプラットフォーム、インシデント対応ツール、セキュリティオーケストレーションプラットフォームなど、様々なセキュリティツールやシステムとの統合を必要とします。 |
| 文化 | SIEMは、セキュリティ脅威の検知と対応に焦点を当てた技術的ソリューションとして捉えられることが多い。 | 一方、SOCはセキュリティ運用に対する考え方やアプローチの転換を必要とする、文化的・組織的な変革として捉えられることが多い。 |
SIEMが集中型データ分析を支援する一方で、Singularity’s platformエンドポイントとクラウド環境全体で脅威検知を自動化し、セキュリティ運用をより効率化します。
SIEMとSOCの主な利点とは?
SOCは、SIEMが提供する堅牢なセキュリティ対策を補完し強化する追加サービスと位置付けられます。一部の SOC チームは、お客様のセキュリティニーズを、MSSP とも呼ばれるマネージドセキュリティサービスプロバイダにオフショアします。
SIEM と SOC を組み合わせる主な利点は次のとおりです。
- さまざまな攻撃対象領域を常に監視し、迅速に展開し、容易にサービス提供することが可能。
- 対応するルーチンおよび保守活動のための構成チェックを実行する責任のある者による監査の実施
- 誤ったセキュリティアラームおよびデータアラートの抑制
- >HIPAA、SOC2、NISTなど各種基準への継続的な準拠。
- リソース調達・配分の最適化による大幅なコスト削減の実現。
- 監視システムは潜在的な脅威を継続的に特定し、即時対応と調査を保証します。
SIEMとSOC機能の統合により脅威可視性が向上します。 SingularityのXDRはこの統合を強化し、リアルタイム対応と予防を実現します。
SIEMとSOCの主な制限事項とは?
- 一部の SIEM ツール はリアルタイムデータを使用しますが、他のツールはログデータを使用しており、これは時に古くなっていたり、遡及的に記録されたものである可能性があります。その結果、セキュリティインシデントへの対応が遅くなり、ハッカーが被害を広げる時間を与えてしまうことになります。
- ほとんどの SOC チームは、作業に必要な人材、資金、技術が不足しており、かなりリソースが限られたチームです。世界のほぼすべての SIEM システムは、セキュリティ関連のインシデントを検出する役割を担っていますが、調査する特定のセキュリティイベントに関するコンテキストについて十分な情報を得られない場合が多くあります。
- 最も頻繁に見られる欠点の一つは、SIEMとSOCシステムの両方が他のセキュリティ機器やソフトウェアと連携できないことです。これによりサイロ化が生じ、情報共有が妨げられます。ほとんどのSIEMとSOCシステムは継続的監視に対して反応的に監視するため、進化するセキュリティ脅威に対するリアルタイムの可視性を提供できない可能性があります。
SIEMとSOCの選択タイミングは?
脅威ハンティングの最も基本的なレベルが必要で、脅威の特定と対応を効率的に行うことが主な目的であれば、SIEMを選択できます。脅威の追跡 を最も基本的なレベルで必要とし、脅威を識別して対応するための効率的な方法を主な目的とする場合は、SIEM を選択することができます。SIEM は高度な脆弱性スキャンを行うことはできません。SOC はリアルタイムのセキュリティスキャン、24 時間 365 日のセキュリティ対応、そして「専門家」による知識を提供します。しかし、導入コストは高く、一方 SIEM は比較的導入コストが安いです。率直に言えば、セキュリティの世界に足を踏み入れたばかりなら、SIEMから始めるのが最適です。しかし成長中の組織では、SIEMと独立したSOCチームを併用し、双方の長所を最大限に活用することが推奨されます。
SIEM vs SOC 活用事例
以下に組織向けの主要なSIEM対SOCユースケースをご紹介します:
- 企業はSIEMを活用し、マルウェアの拡散を検知し影響を受けたシステムを隔離できます。SOCはリアルタイム監視、インシデント対応、脆弱性管理、高度な脅威検知に最適です。
- SIEMはHIPAA、NIST、PCI-DSSなどの各種コンプライアンス基準への対応を支援します。SOCはデータガバナンスサービスに重点を置き、リスク評価やセキュリティ監査を含みます。
- SIEMはクラウドベースのログデータを監視・分析し、セキュリティ脅威を検知できます。SOCはインシデント対応管理を含むクラウドセキュリティサービスを提供します。
- SIEMはログデータのパターンや異常を分析することで、一般的な脅威の傾向を特定するのに役立ちます。SOCはAIと機械学習を活用し、未知の脅威を検知する高度な分析を提供します。
組織に適したソリューションの選択
SOCとSIEMの選択は様々な要因に依存します。まず、予算とビジネス要件が重要です。小規模組織やスタートアップは、専用のSOCチームから始める必要はありません。コンプライアンス要件の確保を支援する基本的なセキュリティソリューションをお探しの場合、SIEMがより適した選択肢となるでしょう。SOCはSIEMと比較して、より多くの専門知識と投資を必要とし、設定にかなりの時間を要します。しかし、その成果はそれに見合うものです。最終的には、どちらのソリューションも変化する要件に応じて拡張または縮小が可能です。
結論
SIEMとSOCは、企業における異なるニーズに対応します。
SIEMは、セキュリティインシデントの検知と対応を目的としたログデータの収集、監視、分析のための技術的ソリューションです。一方、SOCは、セキュリティインシデントの監視と対応のために24時間365日体制で対応可能なセキュリティ専門家チームを提供する人的ソリューションです。これらの異なるソリューションの長所と短所が、組織がどちらか一方、あるいは両方を選択する決め手となります。したがって、SIEMとSOCの選択は、セキュリティ成熟度、ビジネス要件、予算に基づいて行われます。組織が適切なソリューションを選択すれば、サイバー攻撃のリスクを大幅に低減し、貴重な資産を保護できるため、セキュリティ態勢はより強固になります。
SIEMとSOCのよくある質問
SIEMは既知の脅威の検知に優れ、インシデントのリアルタイム可視性を提供します。一方SOCは未知の脅威を特定し、専門知識と監視による人的対応をセキュリティインシデント対応に付加します。
はい、多くの組織が堅牢なサイバーセキュリティ戦略を構築するためにSIEMとSOCを組み合わせる選択をしています。これは、SIEMがログデータの収集・分析やセキュリティインシデントへの対応に必要な技術を提供するため、現代では珍しいことではありません。SOCは、様々なセキュリティツールやリソースを管理するための人的専門知識を提供するのに理想的です。SOCチームメンバーは、インシデントが適切に対応され、脅威の封じ込めが実行されることを保証します。
セキュリティリソースが限られている中小規模組織にとってはコストがやや高くなる可能性がありますが、SIEMは費用対効果の高いソリューションです。セキュリティ成熟度が高い大規模組織の場合は、SOCを検討してください。
SIEMもSOCも自社導入は可能ですが、必要なリソースと専門知識の整備は非常に困難です。自社でSIEMとSOCを導入・維持するリソースや専門知識がない場合には、第三者のプロバイダーに委託することが優れた選択肢となります。