×
 

SIEMアーキテクチャの構成要素

製品概要資料ダウンロード SIEM

サイバー攻撃は日々増加の一途をたどっており、企業は攻撃から自社を守るために常に防御を強化する必要があります。SIEM(セキュリティ情報およびイベント管理)は、このようなサイバー攻撃からネットワークを保護するために、多くの企業が採用しているセキュリティプラットフォームです。

SIEMソリューションは、さまざまな構成要素で成り立っています。これらの要素は、ネットワークデバイスやイベントを絶えず監視・分析し、データ侵害や悪意のあるアクティビティを検知できるようにセキュリティチームを支援します。この記事では、SIEMアーキテクチャのさまざまな構成要素について詳しく説明します。

SIEMアーキテクチャの9つの構成要素

1. データ集約

SIEMソリューションの一部であるこの構成要素は、企業ネットワークのデータソースで生成されたログデータを収集する役割を担っています。収集対象は幅広く、サーバーやデータベース、アプリケーション、ファイアウォール、ルーター、クラウドシステムといった多様なソースが含まれます。ログは、特定のデバイスやアプリケーションで発生したイベントをすべて記録しており、データベースなどの一元管理された場所に収集・保存されます。

SIEMでは、以下のような方法でログが収集されます。

エージェントベースのログ収集:

この方法では、ログを生成するあらゆるネットワークデバイスにエージェントをインストールします。このエージェントがデバイスからログを収集し、中央のSIEMサーバーに転送します。さらに、エージェントは、定義済みのパラメータに基づいて、デバイス単位でログデータのフィルター処理や解析を実行し、転送前に適切な形式に変換します。このようにログの収集・転送方法をカスタマイズすることで、帯域幅を効率的に使用できるようになります。

エージェントベースのログ収集は、通信が制限されたクローズドネットワークや高セキュリティ環境で主に使用されます。

エージェントレスのログ収集:

この方法では、ネットワークデバイスにエージェントをデプロイしません。代わりに、生成されたログを中央のSIEMサーバーに安全に送信できるように、デバイスの設定を変更する必要があります。スイッチ、ルーター、ファイアウォールなどのデバイスは、ログ収集用のサードパーティ製ツールをインストールできないことが多いため、エージェントによるログデータの収集が不可能な場合があります。このような場合に、エージェントレスでログ収集を実施できます。エージェントレスの方法では、エージェントをデプロイする必要がないため、ネットワークデバイスへの負荷軽減も期待できます。

APIを使ったログ収集

この方法では、APIを使用してネットワークデバイスから直接ログを収集できます。SIEMソリューションは、仮想化ソフトウェアが提供するAPIを使用して、仮想マシンからリモートでログを収集します。また、企業がオンプレミスで運用していたソフトウェアやソリューションをクラウド環境に移行する場合、物理的なインフラに接続されなくなるため、SIEMにログを直接送信することが難しくなります。このような場合、クラウドベースのSIEMソリューションは、ネットワークログの収集や検索を仲介する手段としてAPIを利用します。

2. セキュリティデータ分析(レポートとダッシュボード)

SIEMソリューションには、セキュリティ分析の機能が備わっており、直感的に理解しやすいようにグラフ形式やチャート形式でセキュリティデータが表示されます。このようなダッシュボードは自動的に更新されるため、セキュリティチームが悪意のあるアクティビティを迅速に特定し、セキュリティ関連の問題を解決する上で役立ちます。このダッシュボードを活用することで、セキュリティアナリストは、データに示されている可能性がある異常や相関関係、パターンを検出し、リアルタイムで発生しているイベントに関する多様なインサイトを取得できます。SIEMソリューションには、ユーザーが独自のダッシュボードを作成してカスタマイズするための機能もあります。

このセキュリティ分析の構成要素には、定義済みレポートも用意されています。多くのSIEMソリューションには、セキュリティイベントの可視化、脅威の検出、セキュリティやコンプライアンス監査の簡素化に役立つ、数百もの定義済みレポートが備わっています。このレポートの多くは既知の侵害の指標(IoC)に基づいて作成されていますが、社内のセキュリティニーズに合わせてカスタマイズすることも可能です。

ほとんどのSIEMソリューションには、このようなレポートのフィルタリング・検索・詳細の調査、ニーズに合わせたレポート生成のスケジュール設定、表やグラフ形式でのデータ表示、各種形式でのレポートのエクスポートも実行可能です。

3. 相関とセキュリティイベントの監視

相関エンジンは、SIEMソリューションの最も重要な構成要素の1つです。定義済みの(またはユーザーが個別に定義した)相関ルールを使用して、収集されたログデータを分析し、複数の異なるネットワークアクティビティにおける関係性や、共通する属性、パターンを発見できます。相関エンジンによって、さまざまなセキュリティインシデントが関連付けられるため、サイバー攻撃の全体像を把握できます。相関エンジンはネットワークにおける疑わしいアクティビティ、セキュリティ侵害、潜在的なデータ漏洩の兆候を早期に検知でき、この検知に基づきSIEMシステムがアラートを生成します。

相関ルールの例:

「ユーザーが短期間に複数回ログインに失敗した後でログインに成功した場合、アラートを送信する」などのルールを定義できます。

ほとんどのSIEMソリューションには、既知の侵害の指標(IoC)に基づいて作成された、定義済みの相関ルールが用意されています。しかし、攻撃者は、常により高度な技術を使ってシステムへの侵入を図るため、ルールを定期的に変更・改善しなければならず、さもないとルールが通用しなくなってしまいます。効果的な相関ルールを定義するには、攻撃者の行動や戦術を詳細に理解しておく必要があります。

4. フォレンジック分析

SIEMソリューションのこの構成要素は、根本原因の分析や、インシデントレポートの生成のために活用されます。このインシデントレポートは、攻撃試行または発生中の攻撃を詳細に分析します。これにより、企業は直ちに適切な是正措置を取れるようになります。

高度な防御機構を構築したとしても、すべてのサイバー攻撃を阻止できるわけではありません。とはいえ、企業はフォレンジック分析を実行することで、サイバー攻撃を再現し、セキュリティ侵害の根本原因を特定できます。ログデータには、デバイスやアプリケーションで発生したすべてのイベントが記録されているため、ログデータを分析することで、攻撃者が残した痕跡を調べられます。

SIEMシステムを使用することで、セキュリティチームは、ログを参照し、フォレンジックレポートを生成できます。そして、セキュリティ侵害の発生時刻、侵害されたシステムやデータ、悪意のあるアクティビティを行ったハッカー、侵入経路を特定できます。

この構成要素は、長期にわたるログデータの保存・アーカイブや、ログデータに対するフォレンジック調査を実施でき、企業が特定のコンプライアンス要件を満たす上でも役立ちます。

5. インシデントの検出と対応:

インシデントの検出

SIEMソリューションのこの構成要素は、セキュリティインシデントの検出に関わっています。セキュリティインシデントとは、権限のない人物や団体によるネットワーク上のデータ侵害(やその試行)、または組織が定めたセキュリティポリシーに対する違反を指します。セキュリティインシデントの一般的な例として、DoS(サービス拒否)攻撃、データやリソースの悪用、不正な特権昇格、フィッシング攻撃などが挙げられます。組織はこのようなインシデントを検出・分析し、適切な措置によってセキュリティ関連の問題を解決することで、事業の持続性を確保する必要があります。インシデントを検出した際、攻撃者による損害を軽減するために、平均検出時間(MTTD)を可能な限り短縮できるように努めなければなりません。

インシデント検出は、次の方法で実施できます。

  • イベント相関分析
  • 脅威インテリジェンス
  • UEBA(ユーザーおよびエンティティの行動分析)

インシデント対応

SIEMソリューションのこの構成要素は、セキュリティインシデントを検出した際に、問題を解決する役割を担っています。企業は毎日大量のセキュリティ脅威に直面しており、攻撃者の手口もより巧妙化しているため、インシデント対応には多くの課題が伴います。その中でも、平均復旧時間(MTTR)の短縮は、インシデント対応における重要な課題となっています。

インシデント対応には、次のような方法があります。

  • ワークフローによるインシデント対応の自動化
  • フォレンジック調査の実施

6. リアルタイムのイベント対応またはアラートコンソール

SIEMソリューションは、ログ収集と相関分析をリアルタイムで実行します。不審なアクティビティを検知した場合は、アラートが即座に生成されます。これにより、インシデント対応チームが迅速に対応し、攻撃を軽減または阻止できます。

アラート通知は、メールやSMSでリアルタイムに送信することもできます。また、優先順位(高・中・低)を割り当て、分類することも可能です。セキュリティインシデントが発生した際にワークフローを起動するように設定しておけば、アラート発報時に該当するワークフローが自動的に実行されます。

7. 脅威インテリジェンス

脅威インテリジェンスは、コンテキスト情報を提供し、多種多様なサイバーセキュリティ脅威の特定と、防止・軽減・解決するための適切な措置につなげます。脅威インテリジェンスにより、攻撃の発信源、動機、攻撃の戦略や方法、セキュリティ侵害の兆候を把握できます。これにより、より正確に脅威を理解し、リスクを評価して、懸命な判断を下せるようになります。

コンテキスト情報を活用するには、外部提供者からの脅威フィードを取得するか、STIX/TAXII形式で提供されているオープンソースの脅威フィードを利用します。これにより、脅威の種類を即座に特定し、迅速に修復を開始することで、平均復旧時間(MTTR)を短縮できます。

この構成要素は、セキュリティ管理者が脅威ハンティングを実行する際にも役立ちます。脅威ハンティングは、セキュリティシステムが見逃している可能性がある脅威や侵害の指標(IoC)がないか、ネットワーク全体を積極的に調査するプロセスです。

8. UEBA(ユーザーおよびエンティティの行動分析)

この構成要素は、セキュリティインシデントの検出において重要な役割を果たします。

攻撃者はネットワークに侵入するための手法を常に進化させているため、従来のセキュリティシステムでは対処が難しくなっています。しかし、組織は機械学習技術を利用することで、あらゆる種類のサイバー攻撃に対する防御力を一層強化できます。

UEBAは、機械学習技術を活用して、ユーザーやマシンの通常の行動に基づいて行動モデルを構築します。この行動モデルは、各ネットワークデバイスから収集した大量のデータを処理することで、ユーザーやエンティティごとに構築されます。行動モデルから逸脱しているイベントはすべて異常と見なされ、潜在的な脅威がないか詳細に評価されます。また、ユーザーやエンティティには、リスクスコアが割り当てられます。リスクスコアが高いほど、疑わしさの度合いも高くなります。リスクスコアに基づいてリスクが評価されるため、リスクに応じた対応策を実行できます。

相関エンジンとUEBAにはどのような違いがあるでしょうか?相関エンジンは、ルールに基づいてインシデントや脅威を検出する仕組みです。一方、UEBA(ユーザーおよびエンティティの行動分析)は、その名称のとおり、行動分析に基づいて疑わしいイベントを検出する技術です。企業が効果的に攻撃を阻止するには、従来のルールベースの手法と 最新の行動分析の両方を活用する必要があります。

9. ITコンプライアンス管理

さまざまな機関が定める、データ保護やセキュリティに関する標準、規制、ガイドラインに準拠することが企業に求められます。適用される規制の内容や厳格さは、事業を展開している業種や地域に基づいて、企業ごとに異なります。規制に準拠していない場合は、企業に罰則が課される可能性もあります。

機密データの保護を目的とした政府規定のコンプライアンス要件に組織が準拠できるように、SIEMソリューションには、コンプライアンス管理の機能が備わっています。また、異常やパターン、サイバー脅威を特定するためのさまざまな技術を採用するなど、機密性の高いデータを保護するための先を見越した対策を実施する必要もあります。

SIEMソリューションには、監査人が監査証跡を確認できるように、長期にわたってログデータを保存・アーカイブする機能を備えています。また、SIEMソリューションは、ログを収集・分析することで、コンプライアンス要件(HIPAA、SOX、PCI DSS、GDPR、ISO 27001など)に対応したレポートや、その他の事前定義済みのレポートを迅速に生成できます。

ManageEngineのSIEM ソリューション「Log360」は、上記のSIEMの構成要素すべてが連携し、さまざまな種類の脅威、 攻撃パターン、ネットワークで発生している可能性のある不正なアクティビティに関するインサイトを提供し、セキュリティリスクを解決するために必要な対応策の実施を支援します。

Log360でセキュリティプロセスを効率化!

 評価版ダウンロード  概要資料ダウンロード