概要
セキュリティ情報およびイベント管理 (SIEM) とは、セキュリティ上の問題や脆弱性が業務に支障をきたす前に対処するためのソリューションを指す言葉です。
自動化を活用することにより、SIEM システムを使用して脅威の検出やインシデントへの対応に関わる多くの手動プロセスを効率化できます。SIEM ソフトウェアは、セキュリティデバイス、ネットワーク・インフラストラクチャ、IT システム、アプリケーションから生成されるイベントデータをコンパイルおよび集約し、このデータを使用して自動および手動によるセキュリティ対応を迅速に作成できるようにします。
SIEM に含まれるもの
SIEM システムはベンダーやデプロイメントによって大きく異なりますが、通常は侵入検知/防止システム (IDPS) などの他のセキュリティシステムと連携して動作します。SIEM システムは主に 4 つの柱で構成されています。
- ログ管理: システムのアクティビティを監視およびレビューするために、コンピュータが生成したログファイルを収集、保存、分析するプロセスです。
- イベントの相関と分析: ログとイベントデータをリアルタイムで分析および相互参照することで、パターン、異常、潜在的なセキュリティ脅威を特定します。
- インシデントの監視とセキュリティアラート: 不正行為を検出して管理者に通知するためのアクティブなプロセスを、単一のダッシュボードに統合します。
- コンプライアンス管理と通知: 組織が特定の規制基準を満たしていることを確認するためにデータを収集および分析し、コンプライアンスを文書化するためのレポートを生成する体系的なプロセスです。組織のデータのほとんどが SIEM システムを通過するため、最新のコンプライアンスレポートを作成するのにも最適です。
SIEM の仕組み
集計から警告まで
SIEM システムは、ハードウェアやソフトウェアデバイスのイベントログを監視することから始まり、デバイスが変化を観測するたびにイベントを生成します。SIEM システムは、ストレージからデバイスのログファイルにアクセスするか、イベントのストリーミングプロトコルを使用してネットワークデータを監視することでこれを行います。
このイベントデータが取得されると、SIEM システムは以下のことを行います。
- ログのフロープロセスのデータをソートし、集約します。このプロセスは SIEM システムによって異なりますが、通常、想定されたパラメーターで動作しているデバイスからのレポートなどのノイズをフィルタリングすることから始まります。
- データをカテゴリ別に分類し、検索やイベント接続を可能にするために、さまざまなイベントログにインデックスを付けます。
- 収集したイベントデータを分析してパターンを探し、脆弱性や疑わしいイベントを特定する関係を確立します。
- ルール (通常は管理者によって手動で提供) に基づき、分析データとセキュリティ脅威を関連付けます。このプロセスの各ステップ (ソート、インデックス付け、分析) が相関関係を構築し、これが SIEM の中心的なセキュリティ機能となります。
例えば、パスワードエラーによってログイン試行が 1,000 回失敗したのを SIEM システムが検出した場合、そのアクティビティをセキュリティ脅威の種類と関連付け、アラートを作成することができます。このアラートは、人間のエキスパートや自動化されたシステムによって対処できます。
SIEM ホスティングの種類
収集されるデータの機密性が高いことから、SIEM システムは従来、オンプレミスでホストされてきました。しかし、こうしたオンプレミスシステムを維持するには、専用のソフトウェアやセキュリティ担当者による監視が必要なため、多くのコストがかかります。
この複雑な状況により、組織は他の選択肢を模索するようになりました。今日のハイブリッドクラウド環境におけるほとんどのシステムと同様に、SIEM は、オンプレミスにインストールされたソフトウェア、クラウド上のセルフマネージド型プロセス、またはクラウドプロバイダーやマネージド・セキュリティ・サービス・プロバイダーによるマネージドサービス (SIEM-as-a-Service) として提供されます。SIEM ソリューションの多くは分離させてハイブリッドモデルで使用することも可能で、一部のデータ (より機密性の高い情報など) をオンプレミスに置き、他のデータをクラウドに保管できます。
例えば、オンプレミスのサービスを利用してセキュリティデータを収集および集約し、クラウドでホストされている SIEM-as-a-Service を利用して相関処理を実行することができます。
SIEM ソリューションのホスト方法に、唯一無二の正解はありません。戦略を決定する際には以下のポイントを検討する必要があります。
- 既存の SIEM インフラストラクチャがあるか?ある場合、ホステッドサービスと互換性があるか?
- オンプレミスからクラウド環境へのデータ移行の妨げになるような、セキュリティ上の懸念や規制があるか?
- SIEM のエキスパート、あるいは SIEM のエキスパートになるためのトレーニングを受けさせることが可能なセキュリティスタッフはいるか?または、SIEM 機能を as-a-Service でレンタルする方が現実的か?
- オンプレミスのデータセンターからクラウド、エッジロケーションまで、ハイブリッドクラウド環境全体でネイティブに動作する自動化ソリューションを使用しているか?
SIEM のメリット
脅威の検出
ログやイベントデータを継続的に分析してアラートを生成することで、SIEM は異常なアクティビティや悪意の可能性のあるアクティビティを特定するのに役立ちます。このアプローチにより、セキュリティチームは不正アクセス、データ漏洩、マルウェア攻撃などの脅威を検出し、問題を軽減するために迅速に対応できるようになります。
データの一元化
SIEM はさまざまなシステムやアプリケーションからのデータを一元化することにより、組織の IT 環境を統合的に把握できるようにします。この一元化により、システムの監査、ネットワークの最適化、トラブルシューティングが単純化されます。また、テクノロジー資産のパフォーマンスと健全性についての知見も提供し、情報に基づいた意思決定と長期計画をサポートします。これは通常、単一のダッシュボードを通じて行うことができます。
コンプライアンス管理
多くの規制要件は、機密データの厳密なロギングとレポート作成を義務付けています。SIEM システムは、データ収集を自動化して包括的なコンプライアンス・レポートを作成することで、組織が法律や規制の基準を満たせるようにします。
対応の質
SIEM はインシデント対応のスピードと質を向上させます。セキュリティインシデントが発生した場合、効果的な解決にはその背景を理解することが極めて重要です。SIEMシステムは、イベントの前、最中、後に何が起こったかなどの詳細な情報を提供します。その情報を使用してインシデント対応チームはより的を射たアクションを取り、より効率的に問題を解決できます。
SIEM でセキュリティを自動化する理由
セキュリティチームは、SIEM ソリューションで管理および集計する大量のデータに圧倒されることがあります。インシデントの調査に時間を費やしたにもかかわらず、最終的に誤検出だったことが発覚した場合はなおさらです。SIEM システムのメリットを最大限に活用するには、システムによって生成されたアラートを効果的に検証し、迅速に対処する必要があります。
セキュリティの自動化は、SIEM ソリューションの運用と保守を単純化することができます。タスクを自動化することで手作業による負荷を削減し、より効率的かつより少ないエラーでシステムを稼動させることができます。また、検出された脅威への対応時間を短縮し、セキュリティプロセスの一貫性を向上させます。自動化により人為的なばらつきが排除され、セキュリティプロトコルがより厳密に守られるようになるため、SIEM システム全体の信頼性が向上します。
自動化により、セキュリティ運用 (SecOps) とセキュリティアナリスト間のコラボレーションが最適化されます。アクティブなログや情報を 1 カ所に集めることで、アナリストチームがデータに直接アクセスしたり、問題を修正したりできるようになり、セキュリティインシデントへの対応が迅速化されます。
セキュリティの自動化に Red Hat を選ぶ理由
Red Hat® Ansible® Automation Platform は、組織全体で自動化を利用できるようにするエージェントレスツールです。Ansible Automation Platform は、Playbook、ローカルのディレクトリサービス、統合ログ、外部アプリケーションを使用して、IT チームがセキュリティ・ソリューションを自動化するのを支援します。Ansible Automation Platform では、チームはより多くのツールを活用して、調整および統一された方法で脅威を調査し、対応することができます。
その結果、組織は SIEM システムで以下のようなことを実現できるようになります。
- 修正: Ansible Automation Platform により、組織は SIEM からの調査と修正タスクを自動化できるようになります。
- 相互運用:Ansible Automation Platform は、SIEM システムのさまざまな部分をつなぐ手段として機能します。セキュリティ機能を自動化することで、組織は複数の統合されていないセキュリティ・ソリューションを連携させ、サイバー攻撃への対応をより迅速に統一することができます。
- ログの統合と一元化: サードパーティによる外部のログ集約サービスと統合されており、セキュリティチームが傾向を特定し、インフラストラクチャのイベントを分析し、異常を監視し、統合されていないイベントを相互に関連付けるのに役立ちます。
- 単純化:Ansible Automation Platform は人間が読めるシンプルな言語を使用するため、タスクを適切な順序で実行するための特殊なコーディングスキルは必要ありません。そのため、セキュリティ担当者は特殊なトレーニングを受けることなく SIEM システムを操作することができます。
- 効率の向上: エージェントレス・アーキテクチャにより、エージェントの脆弱性が悪用されることがなく、更新作業も不要で、ソリューションをより迅速にデプロイできます。このアプローチにより、SIEM システムのセキュリティ露出が低減できます。
- モダナイズ: Ansible Automation Platform により、SIEM を DevSecOps ワークフローに統合することが可能になります。
Event-Driven Ansible
SIEM システムは大量の分析を生成するため、そのデータを大量に処理できるソリューションも必要になります。Event-Driven Ansible は、SIEM システムに直接関連する機能を含む、エンタープライズ向けのイベント駆動型の自動化ソリューションです。
- Event-Driven Ansible コントローラーは、複数の Ansible Rulebook のオーケストレーションを可能にし、SIEM システムなどのすべてのイベントソース全体で、対応を管理および監査できる単一のインタフェースを提供します。
- Ansible Automation Platform の automation controller と統合することで、組織は既に構築した既存のワークフローを使用できるため、信頼できる既存の自動化をイベント駆動型の自動化シナリオに拡張することができます。
- イベント・スロットリングによって、組織は消極的なアプローチまたは受け身のアプローチを使用して「イベントストーム」に対処することができます。このアプローチにより、多くのイベント (セキュリティインシデントの発生中に SIEM システムが多くのイベントを生成するなど) に対していつ、どのようにアクションが実行されるかの制御能力が向上します。