SIEMとは?セキュリティ上の導入メリットをわかりやすく紹介
ネットワーク上の様々な機器のログを収集して一元的に分析を行う「SIEM(シーム)」。今回はSIEMが注目されている背景や仕組み、メリットなどについて解説します。また、混同されやすいEDRやXDR、SOARとの違いについても紹介します。
- 目次
SIEM(シーム)はログを一元的に集約・監視するセキュリティ管理システム
SIEMは「Security Information and Event Management」の略で、「シーム」と読み、日本語に訳すと「セキュリティ情報およびイベント管理」となります。2005年に米国ガードナー社が提唱したセキュリティの概念ですが、ソリューションそのものを指すこともあります。
具体的には、ネットワーク上の様々な機器のログを収集・統合して監視・分析することで、サイバー攻撃やマルウェアへの感染などの脅威を検知して管理者に通知する働きを持ちます。ログを収集する対象にはファイアウォール、プロキシサーバーやIDS/IPSなどのセキュリティ機器、ネットワーク機器、サーバー、IT機器などが含まれ、これらのログの相関を精査し、攻撃手段や侵入経路、影響範囲などを可視化することで早期対応に寄与します。
注目の背景は「増加するサイバー犯罪の脅威」と「セキュリティ人材の不足」
サイバー犯罪の脅威は年々増加しており、情報セキュリティ対策強化の必要性は多くの企業において共有されています。しかし、情報セキュリティ人材の不足などの要因により、十分な対策が行えていないと感じている企業も少なくありません。実際にIPA(独立行政法人 情報処理推進機構)が2024年に行った調査によれば、情報セキュリティ対策を進める上で「情報セキュリティ対策を行うための人員が不足している」と回答した事業者は全体の38.6%、「情報セキュリティ対策の知識をもった従業員がいない」は33.3%、「従業員の情報セキュリティに対する意識が低い」は31.9%に達しています。
これまではファイアウォール、プロキシサーバーなどのログを単体で確認していましたが、これらのログを集約して総合的に監視・分析することで、インシデントを迅速かつ詳細に把握することのできるSIEMが注目されているわけです。
参考:IPA「2023年度 SECURITY ACTION宣言事業者における情報セキュリティ対策の実態調査」報告書について
「収集・分析・通知」の3ステップ!SIEMの仕組みと主な機能
SIEMは「1.ログの収集」「2.収集したデータの分析」「3.脅威の通知」の3つの段階を踏んでサイバー攻撃などの脅威に対応します。
1. ログの収集
第1段階ではログの収集を行います。ただ単に各機器からログファイルを転送するだけではなく、フォーマットを統一して整理したり、一覧表示して可視化したりなどの処理も同時に行います。
2. 収集したデータの分析
第2段階では収集したデータをリアルタイムで分析します。単独のログデータのみでは検出が難しい攻撃の兆候や脅威に対しても、複数機器のログやイベントデータを比較検討することで検出することができます。
3. 脅威の通知
第3段階では、検出した脅威についてセキュリティ管理者への通知を行います。さらに自動的にレポートを作成することで、迅速な対応を支援します。SIEMによっては、進行中のサイバー攻撃を自動で阻止する機能を搭載したものもあります。
EDRやXDR、SOARとSIEMは何が違う?目的に応じた考え方
SIEMと混同されやすいセキュリティソリューションとして「EDR」「XDR」「SOAR(ソアー)」などがあります。それぞれに異なる機能があり、目的に応じて選択して導入する必要があります。
エンドポイントに焦点を当てた「EDR」
「EDR(Endpoint Detection and Response)」は、日本語に訳すと「エンドポイントの検出および応答」となります。端末(エンドポイント)を監視し、万一マルウェアなどに感染した場合には自動で該当の端末を隔離するなどの対処を実施するソリューションです。ネットワーク全体を監視するSIEMに対し、EDRはエンドポイントのみを対象範囲としている点が異なります。
エンドポイントに侵入した脅威をより素早く検知し隔離・駆除するEDRと、システム全体を監視するSIEMとは補完的な関係にあるといえます。
脅威の検出と対応の強化に重点を置く「XDR」
「XDR(Extended Detection and Response)」は、日本語に訳すと「拡張された検出および対応」となります。EDRをさらに発展させ、対象範囲をネットワークにまで広げたソリューションで、SIEMが脅威の検知に軸足を置いているのに対し、XDRは検知後の自動対処に軸足を置いているという違いがあります。
SIEMとXDRとを併用することで、SIEMの効果をさらに強化することができます。
インシデントへの効率的な対応を行う「SOAR(ソアー)」
「SOAR(Security Orchestration, Automation and Response)」は、日本語に訳すと「セキュリティの管理・自動化および対応」となります。セキュリティ対策業務を効率化、自動化するソリューションです。
脅威の検出と通知を主目的とするSIEMに対し、SOARはそれらの脅威に対する効率的、自動的な対応を主目的とするという違いがあります。
SIEMの導入で得られる、セキュリティ上の3つのメリット
SIEMを導入することにより、企業の情報セキュリティ対策において次の3つのメリットが期待できます。
1. 効率的なセキュリティ対策が行える
SIEMの収集機能により、人手を経ることなく大量のログデータ、イベントデータを収集・分析することができます。そのため、例えば一次防衛ラインをファイアウォールに、二次防衛ラインをIDS/IPSに、三次防衛ラインをアンチウイルスソフトに設定するなど、限られた人的リソースの中で多層防御を実現することができます。
社内のセキュリティを総合的・効率的に管理することで、企業の信頼低下にもつながりかねないコンプライアンス違反などを回避することができます。
2. 脅威の早期発見で、被害を最小化できる
SIEMの分析機能により、リアルタイムでネットワーク全体を監視・分析し、一覧で閲覧することができます。また、脅威や不審なイベントが発生した場合にはリアルタイムで通知されるため、早期発見および迅速な対応も可能です。
脅威には従業員による情報漏えいなども含まれるため、内部不正のリスクにも早期に対応することが可能です。
3. 誤検知が減り、調査・対応コストの削減につながる
単独の機器のログだけを見ると異常と判断されていたような振る舞いでも、SIEMでログを集約し一元的に分析・可視化することで正常な動作だと判断できます。また、各機器のログ単独では検知できない脅威を検知することもできます。
これらSIEMの働きにより、誤検知に対する調査などの対応コストを削減できることはもちろん、真の脅威を見落としにくくなるというメリットがあります。
一方で、SIEM導入時の設計やコスト面、人材確保には課題も
SIEMの導入により企業のセキュリティ対策の効率化が期待できる一方、SIEMの導入には技術的なハードルも存在します。ログ情報やイベント情報、分析結果の抽出・表示ルールの設定、アラート通知を行う条件の定義などには、SIEMに関するある程度の知識が必要となります。
また、SIEMは複数の機器からログを収集するため、ネットワークのトラフィックを圧迫し、通信速度に悪影響をおよぼす恐れがあります。場合によってはネットワークの強化が必要となるかもしれません。
SIEMは導入後にも新たなソリューションの実装などにともない保守・運用が必要となります。SIEMの導入により管理作業が効率化し、情報セキュリティ部門の負担軽減につながるものの、高スキルを備えたIT人材が不要になるというわけではないのです。
これらの課題がネックとなり、SIEMの導入に踏み切れない企業も少なくありません。
AI活用でネットワーク全体のセキュリティを最適化する「Prime ConnectONE®」
SIEMのように企業全体のセキュリティ対策を一元的に行いたい場合、SIEMを導入する方法に加え、ネットワーク全体の管理と最適化が行えるような、より統合的なソリューションやサービスを活用するという選択肢もあります。
ここでは、その一例としてNTTPCの企業向けネットワーク&セキュリティサービスである「Prime ConnectONE®」を紹介します。
ネットワーク全体の可視化からセキュリティ対策まで、より幅広い機能を提供
「Prime ConnectONE®」のダッシュボードには、各拠点の状況などネットワーク全体が可視化され一覧表示されます。異常発生時には発生個所を一目で判別可能なほか、インターネットブレイクアウトが可能で、セキュリティ機能の設定の変更もできます。
SIEMと同様に業務基盤を支えるネットワークを一元管理できる上、安全・快適にクラウドアクセス環境にアクセスでき、トラブル発生時には自動切り分け機能を活用して早期に復旧できるなど、より幅広い機能を利用可能です。
AIの活用により、オペレーションの高度化・効率化を実現
「Prime ConnectONE®」の特長の1つとして、AIによるネットワークとセキュリティの運用業務や障害対応の自動化や省力化を実現していることにあります。さらに各種設定の自動化機能と共に、今後故障予知機能なども実装する予定であり、オペレーション業務を強力に支援します。
各拠点や店舗などにIT人材を配置しなくても、AIが代わって障害復旧などへの支援を提供します。
インシデント発生時には、自動隔離で二次被害を防止
万一インシデントが発生した場合には、管理者に検知・通知するだけでなく、トラブルが発生した端末を自動で隔離するなどの対応を実施します。これらの機能により、サイバー攻撃などを受けた場合にも、二次被害を防止するとともに被害を最小化することができます。
また、ネットワーク上の故障個所についても遠隔から特定できるため、復旧にかかる時間を短縮することができます。
まとめ
「SIEM(Security Information and Event Management、シーム)」は、ネットワーク上の様々な機器のログを「収集」し、「分析」し、「通知する」ソリューションです。近年の増加するサイバー犯罪の脅威とセキュリティ人材の不足を背景として、現在注目を集めています。
エンドポイントに焦点を当てた「EDR」、脅威の検出と対応の強化に重点を置いた「XDR」、インシデントへの効率的な対応を行う「SOAR」などのセキュリティソリューションとともに、企業のセキュリティ対策の効率化・高度化に寄与します。
SIEMの導入により、企業は「1. 効率的なセキュリティ対策が行える」「2. 脅威の早期発見で、被害を最小化できる」「3. 誤検知が減り、調査・対応コストの削減につながる」などのメリットを享受することができますが、その一方で、導入時の設計の複雑さ、導入コスト、IT人材の確保問題などから導入に踏み切れない企業も少なくありません。
SIEMの導入が難しい場合には、今回ご紹介した「Prime ConnectONE®」のような別のサービスを利用する方法もあります。
最小限の人材・コストで社内のネットワークを一元管理し、セキュリティレベルを向上したいとお考えの場合には、ネットワークとセキュリティとを統合的に提供できるNTTPCに是非お気軽ご相談ください。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
