標的型攻撃や内部不正に対抗する、次世代SIEMの魅力とは? ~ログ管理の重要性と、従来型SIEMの課題~
セキュリティ対策の一環として、さまざまなログを管理するSIEM(Security Information and Event Management)を導入する企業が増えています。一方で、従来のSIEMには課題も多く、せっかく導入しても「既知の脅威しか検知できない」「ログ管理コストが負担になっている」「使いこなせる人材が見つからない」と、お困りの企業も多いようです。
ここでは、SIEMの導入を検討中の方や、運用の課題を感じている方に向けて、従来のSIEMのよくある課題と、次世代SIEMのメリットをご紹介します。
ログ監視で脅威に対抗。SIEMに期待される3つの役割とは?
近年、標的型攻撃が高度化し、境界防御だけでなく、侵入を前提とした備えが不可欠になっています。従業員など関係者による情報漏えいのリスクも高まっており、内部不正を抑止する観点からも、ログ監視が重要になっています。
こうした背景から、SIEMには大きく分けて次の3つの役割が期待されています。
SIEMに期待される3つの役割
- 企業内に分散するログを集約し、一元管理を実現
- 複数のログを相関分析し、脅威を早期に検知
- インシデントの発生源や拡大状況など、全体像をスピーディに把握
企業には、ネットワーク機器やセキュリティ機器など、さまざまな機器から出力される大量のログが分散しています。それらを集約し、一元管理することがSIEMの基本的な役割です。
集約したログを相関的に分析することで、内部不正も含めて、予兆段階での脅威の検知が可能になります。たとえば、アクセスログと入退室ログを併せて分析して、「すでに退社したはずの管理者がサーバにアクセスしている」といった矛盾を発見できるのです。
インシデント発生時に、発生源や被害状況といった全体像をスピーディに把握し、適切な対処を実施するためにも、ログの分析は重要です。
こんなはずじゃなかった!従来型SIEMを導入した企業が抱える、3つの課題とは?
ところが、従来型SIEMを導入した企業では、「導入前のイメージとは違った」という声が聞かれます。次のような3つの課題でお困りのケースが多いようです。
課題1:データ量に応じた従量課金。ログ分析の範囲が制限され、コスト変動も負担
現状、国内で展開されているSIEM製品のほとんどが、ログの量に応じた従量課金です。コスト抑制のため、限定的なログしか保管できず、分析の範囲が制限されている例が見られます。また、企業の合併・買収(M&A)や人員増といったビジネスの拡大にともない、コストが大きく上昇します。攻撃の痕跡が残りやすいプロキシサーバや端末のログは、もともとデータ量が多いため、影響が大きいのです。ログの増加に追いつかず、せっかく導入したものの使いこなせていないという企業も多くあります。
課題2:従来のルールベースのアプローチは、「未知の脅威」「内部不正対策」に弱み
従来型SIEMで主流となっているアプローチは、「人があらかじめ考えたルールに基づいてログを分析し、脅威を検知する」というものです。適切に運用するためには、頻繁にルールの更新等のメンテナンスが必要となり、そもそもこのアプローチでは未知の攻撃手法には対抗できません。
内部不正の検知も困難です。働き方が多様化した昨今、システム上の振る舞いも多様化し、統一的な判定基準の作成が難しくなっています。苦労してルールを定義しても、そのルールによっては誤検知や見落としが多くなり、適切な予兆検知には結びつかないのです。
課題3:ログの分析が難解。高度なスキルが必要で、工数も膨大
収集できるログの種類や出力フォーマットは、機器によって異なります。従来型SIEMでは、一元管理したログを検索、それぞれの関連性を調査し、全体像を把握するために、高度なスキルが要求されるため、多くの企業がセキュリティ人材の不足に悩んでいます。セキュリティの知識のみでなく、ネットワークの知識・社内の環境を把握している必要もあるため分析には膨大な工数がかり、インシデントの初期対応も遅れがちです。
今、注目される次世代SIEM。その3つの特長とは?
こうした課題を持つ従来のSIEMに代わり、今、注目が集まっているのが機械学習を活用した、「Exabeam」のような次世代SIEMプラットフォームです。従来のSIEM製品の課題を解決できる、次のような特長を持っています。
特長1:次世代SIEMはサブスクリプション課金で包括的な監視を実現。予算管理もスムーズ
「Exabeam」の課金体系は、ユーザ数に対するサブスクリプション方式です。データ量を気にせず、必要なログをすべて収集して、包括的な監視を実現できます。データ量によってライセンスコストが変動しないため、予算管理もスムーズに行えます。
特長2:次世代SIEMは機械学習によるUEBAで予兆を検知。未知の脅威や内部不正に対抗
「Exabeam」には、機械学習によって日々のユーザや機器の振る舞いを分析し、普段と異なる異常行動を早期に検知するUEBA(User and Entity Behavior Analytics)が実装されています。事前にルール化できない未知の脅威や、内部不正の検知に有効です。
特長3:次世代SIEMは特許技術でログをタイムライン化。誰でもスピーディに状況を把握
「Exabeam」では、特許技術を用いて、さまざまなログをユーザに紐づけて自動的に分析し、タイムラインとして表示します。高度なITスキルがなくても、誰でも簡単にインシデントの全体像を迅速に把握できます。
新たなテクノロジーを活用し、最先端のログ分析を提供する次世代SIEMは、より簡単・より身近に企業での標的型攻撃・内部不正対策を実現します。
[PR]提供:マクニカネットワークス