SIEMについて徹底解説！ 機能や導入のメリット・デメリットが丸わかり

SIEMとは、「Security Information and Event Management」の略称で、セキュリティ機器やネットワークからログを集積・一元管理するだけでなく、分析まで行ってセキュリティインシデントや異常を自動的に感知する製品です。
従来、ログからセキュリティインシデントを発見するには、人間が集積されたログを手作業で分析する必要があり、非常に手間がかかる作業でした。今までもログを集積し一元管理するツールはありましたが、SIEMは分析までしてくれるので非常に便利なツールであると言えます。
また、ゼロトラストセキュリティを構築するうえで、「SIEMで全てのログを監視し、分析すること」が必要であるとされており、ログ監視において欠かせない存在でもあり、サイバー攻撃の中でも標的型攻撃に有効な製品です。

SIEMでセキュリティ異常を感知できる仕組み

SIEMは、スイッチ・ルーター・ファイアウォール・IPS/IDSなどからログを集積し、相関分析します。集積された複数の機器のログからセキュリティインシデントや異常の予兆や痕跡を感知し、管理者にアラートで通知します。この仕組みで、予防や早期発見に繋げることができます。近年、サイバー攻撃の手口は巧妙化しており、単一の機器のログを分析するだけでは感知できない場合も多く、複数の機器のログを分析する必要があります。
例えば、SIEMでサーバー室とサーバーへの接続ログを監視している時に、サーバー室への入室ログがないのにサーバーへの接続ログがあると異常アリとみなして管理者に通知します。
このように、複数の機器のログの相関関係から自動で異常を感知して通知してくれるのがSIEMの仕組みです。

SIEMを導入することで可能になるセキュリティ対策は次の3つです。

ログを一元管理・解析

1つ目は、ログの一元管理と解析です。各セキュリティ機器やネットワーク機器には、それぞれログが集積されます。しかし、それだけでは全てを確認するだけでも手間がかかり、とてもサイバー攻撃の速度にはついていくことができません。SIEMは、それら全てのログを一元管理してくれるため、すぐに全てのログの確認ができます。また、ログの可視化だけにとどまらず、解析までしてくれる点が、今までのログ管理ツールとの違いでもあります。

脅威の検出

2つ目は、脅威の検出です。集積されたログを解析し、セキュリティインシデントや異常を自動で検出してくれます。独自に検出ルールをカスタムすることはもちろん、保有しているサードパーティデータを活用した検出も可能です。
また、最近は学習エンジンを搭載して脅威を検出する製品もあります。これらの製品は、検出ルールをカスタムする必要がない点が特徴として挙げられます。

セキュリティ異常の早期対策

3つ目は、セキュリティ異常の早期対策です。ログの分析は、常にリアルタイムで行われ、異常があればすぐに管理者に通知されます。自動的に大量のログを分析し、リアルタイムで異常を検出してくれるので、人の手で分析するよりも圧倒的な早期発見ができます。
セキュリティ異常に対しては、早期発見・対策が非常に重要になります。したがって、SIEMの中でもこれは非常に重要な機能です。

ここからは、SIEMを導入した際のメリットをまとめていきます。

ログの一元管理ができる

SIEMを導入することで、ログの一元管理ができます。集積したログをただ管理するだけでなく、ダッシュボードなどでログの可視化までしてくれます。ログの可視化によって、セキュリティ異常への対応力と調査力が強化されます。また、リアルタイムで集積したログの可視化と分析をするため、サイバー攻撃の速度にも対応できます。ただ、SIEM製品も多くの種類があり、自社の環境でリアルタイムでの可視化と分析が可能かどうかを確認しておきましょう。

セキュリティ異常の分析コストを削減できる

SIEMを導入することで、セキュリティ異常の分析コストを削減できます。複数の機器からログを集積し、さらに人の手で分析するというのはかなりの労力と時間がかかります。SIEMはログの集積だけでなく、分析、通知まで自動で行うため、それだけでかなりの労力と時間を削減できます。さらに、セキュリティ運用業務の自動化と効率化をするSOAR機能を活用したSIEM製品も登場しており、それらはセキュリティ異常への対応も自動化可能です。
SIEMは、リアルタイムでのログの集積と分析、セキュリティ異常の通知から対応までが自動化を実現し、コストをかなり削減してくれる製品であると言えるでしょう。

しかし、SIEMにはデメリットも存在します。導入を検討する際には、その点もしっかりと把握しておきましょう。

導入コストがかかる

これはどの製品にも言えることですが、導入コストがかかります。SIEMは、ログデータ量に応じた仕様や料金設定になっており、従量課金制やライセンス課金制など様々です。必要以上のデータ量や機能を持った製品を導入してしまって余計なコストをかけないように、導入前に必要なデータ量や機能を確認しておきましょう。

しかし、適切に運用されている場合において、SaaSの利用に際して生じたインシデントの責任はベンダー側が負うことになります。利用者側で施すべき対策の範囲も狭いのがメリットと言えるでしょう。

ログを完璧に分析できるわけではない

SIEMは、複数の機器からログを集積するため、ネットワークトラフィックが高くなってしまいます。したがって、ネットワークに大きな負荷がかかることもあり、自社のネットワークやディスク容量を強化しなくてはならないかもしれません。導入前に自社のネットワークやディスク要領を確認しておきましょう。

脆弱性診断やセキュリティ対策の更新も任せられる

SIEMは、ログを完璧に分析できるわけではありません。例えば、SIEMは各機器から集積したログの生データを扱うのではなく、必要と思われるログだけを間引いて集積します。すると、ログの粒度が荒くなり、セキュリティ異常が発生した際にログの集積をやり直さないといけない事態になってしまうかもしれません。また、膨大なデータ量のログを扱うため、セキュリティ異常とは関係ないタイミングでアラートが通知されることもあります。したがって、アラートの精査に労力がかかってしまうことにもなります。どんなセキュリティ製品にも言えることですが、それ1つを完全に信頼するのではなく、いくつかの製品を組み合わせてより強固なセキュリティを構築しましょう。

まとめ

ここまで、SIEMについて解説してきました。
SIEMは、複数の機器からログを集積・分析することでセキュリティ異常を感知し、通知してくれる製品です。また、ゼロトラストセキュリティのログ監視において欠かせない製品でもあり、IDaaSやSASEなどと組み合わせて企業のゼロトラストセキュリティを実現できます。
ログ監視に労力がかかっていたり、不安を抱えているならば、SIEMの導入を検討してみてはいかがでしょうか。