次世代SIEM（セキュリティ情報およびイベント管理）とは？

次世代SIEMの概要

セキュリティ情報およびイベント管理 (SIEM) は、当初はネットワークを可視化し、トラフィックを識別して悪意のあるアクティビティを検知することを意図していましたが、導入以来、大きな進化を遂げてきました。クラウドコンピューティング、ビッグデータ、リモートワークモデルなどのデジタルの進歩に対応して、SIEMは進化し、従来の境界を超えて可視性を拡張してきました。この記事では、次世代SIEMの現状を詳しく見据え、多くのセキュリティチームが現在直面している課題に対処するための高度な機能について説明します。

従来型SIEMと次世代SIEMの違いは何か？

従来型SIEMソリューションは、主に組織のネットワーク内のさまざまなアプリケーションやシステムからのログ出力の収集とインデックス作成に重点を置いています。これにより、セキュリティアナリストは特定のログの詳細を検索して取得できるため、コンプライアンスイベントのレポートの監査やフォレンジックの深堀りなどのタスクが容易になります。従来型SIEMソリューションは、さまざまなソースからのログの関連付けにも優れており、IPアドレスなどの一意の識別子に基づいて調査中に貴重なインサイトを提供しています。

しかし、従来型SIEMソリューションでは、多くの場合、調査を進める上で課題となる大量のアラートが生成され、正確なフィルターを適用して検索を絞り込むには、深いレベルの専門知識が必要です。専門的なスキルが必要であり、アラートをくまなく調べて実際の脅威を特定するという手間のかかるプロセスがあるため、重要なイベントは見落とされがちです。その結果、調査が数週間に及ぶことになり、この期間は企業にとってデータ侵害を受けやすいままになります。

組織がデジタルトランスフォーメーションを採用し、クラウド環境への移行が進むにつれて、従来型SIEMソリューションの限界がより明らかになっています。高度な機能に対する需要は、次世代SIEMソリューションの進化を後押ししており、次のような多くの高度な機能を導入することで、従来のソリューションの欠点を克服するように設計されています。

包括的な可視性

組織全体を包括的に把握することがこれまで以上に重要になっています。次世代SIEMは、フロー、ログ、アイデンティティ情報などの生のストリーミングデータを取り込むことで、従来のログ中心のアプローチを超え、何百万ものエンリッチメントを処理できます。すべてのシステムとネットワークでイベントを関連付けることで、潜在的なサイバー脅威の可視性が向上します。この包括的な可視性は、組織のセキュリティコントロールの有効性を確保し、ひいては全体的なリスクプロファイルを下げるために重要です。

プロアクティブな脅威検知

次世代SIEMソリューションは、クラウド、オンプレミス、ハイブリッドインフラストラクチャなど、さまざまな環境における脅威の検知に優れています。既知と未知の脅威の両方をリアルタイムで特定し、AI、機械学習、振る舞いプロファイリングなどの高度な分析技術を適用できます。このコンテキストに応じたアプローチにより、関連性が確保され、アラート疲れが防止され、セキュリティチームがリスクの高い調査に効率的に集中できるようになります。潜在的なセキュリティインシデントに迅速に対応することで、組織は平均識別時間 (MTTI) を短縮し、脅威に対するサイバーレジリエンスを大幅に向上させることができます。

継続的なコンプライアンス

次世代SIEMシステムは、HIPAA、NIST、GDPR、PCIなどの企業コンプライアンス要件に関する包括的なレポートを提供します。これは、過去および長期にわたるデータ分析機能を活用し、組織が継続的なコンプライアンスを維持し、厳しい規制要件を満たすのに役立ちます。

自動隔離と排除

今日の高度なSIEMソリューションには、セキュリティのオーケストレーション、自動化と対応 (SOAR) 機能が組み込まれており、修復アクティビティをリアルタイムで自動化します。さらに、次世代SIEMソリューションは、脅威を隔離して、インシデント対応プロセスをナビゲートする方法に関するガイダンスをセキュリティチームに提供し、新たな脅威に対する組織の対応を効果的に加速します。

SIEMが生まれた背景は？

SIEMの概念は、90年代後半に、ネットワークチームとセキュリティチームが、さまざまなデバイスからのイベントログ情報を一元的に統合する方法を模索していたときに初めて生まれました。そのため、SIEMにおける一元化ロギング機能の開始は、セキュリティ情報管理 (SIM) としてのルーツにまでさかのぼることができます。しかし、技術が進歩するにつれて、データの集約だけでは不十分であることが判明しました。セキュリティオペレーションセンター (SOC) のアナリストは、データにロジックを適用し、事後分析だけに頼るのではなく、既知の悪意のあるアクティビティのパターンをリアルタイムで特定することで、機能を強化しようとしました。この進化により、セキュリティイベント管理 (SEM) が登場しました。

今日のSIEMにおけるSEMとは？

主な機能：セキュリティイベント管理

主な目標：セキュリティ監視と優先順位付けされた対応

SEMは、徹底したセキュリティ監視を実施し、潜在的な脅威に優先順位をつけて対応することを主な機能とし、現代のSIEM環境において極めて重要な役割を果たしています。SEMは、マッチングリスト、ネットワークトラフィックマッピング、さまざまなイベントやアラートの相関関係などの高度な技術を組み込むことで、データの分析を変革しました。SEMは、今では個々のイベントのみに焦点を当てるのではなく、アクティビティのシーケンスを識別します。さらに、SEMは、事例管理やレスポンスのワークフローなど、効果的な調査に不可欠な機能を導入しています。これには、関連するアラートをまとまりのある「事例」にグループ化し、事例を特定のユーザーまたはチームに割り当て、調査が最終的な結果に達するまで進行状況と情報を細心の注意を払って追跡する必要があります。

今日のSIEMにおけるSIMとは？

主な機能：ログ管理

主な目標：中央リポジトリの構築、コンプライアンス要件への適合。

現在のSIEMフレームワークでは、SIMはログ管理として機能し、ログファイルの体系的な収集と一元的な保存を管理して、その後の分析に役立てます。これにより、環境内で生成されたすべてのイベントログの一元化されたリポジトリが確立されます。データ収集後、データに対してさまざまなアクションを実行できます。SIMの主な焦点は、データの保持とレポートにあります。多くの企業は、SIEMソリューション内のSIM機能を使用して、GDPR、HIPAA、PCI-DSS、SOXなどのデータ保護法へのコンプライアンスを実証しています。

サイバーセキュリティにおける次世代SIEMの位置づけ

次世代SIEMソリューションは、組織の全体的なセキュリティ戦略に不可欠であり、セキュリティチームがすべてのシステムを詳細に可視化し、幅広い脅威に効果的に対処するための中心的なハブとして機能します。従来のソリューションとは対照的に、次世代SIEMソリューションは、クラウドネイティブのサービスとしてのソフトウェア (SaaS) のプラットフォームとして設計されており、分散型、ハイブリッド、マルチクラウド環境全体でより弾力的なスケーリングと機能を提供します。

次世代SIEMソリューションの主な強みの1つは、多様なストリーミングテレメトリを取り込む機能があり、セキュリティチームに潜在的なリスクと脆弱性についての包括的なリアルタイムの表示が提供されることです。この適応性と統合された脅威インテリジェンスを組み合わせることで、組織はセキュリティの脅威をプロアクティブに特定して軽減することができます。最新のインフラストラクチャの要求を満たすことにより、SIEMソリューションは、その最新の進化につれて、さまざまな潜在的な脅威を検知、防御、修復する能力が大幅に向上しています。

次世代SIEMの10の重要な機能

最新のSIEMソリューションには、組織のセキュリティ運用を向上させるために、次の10の重要な機能が含まれている必要があります。

• 包括的なデータ収集と管理

完全なオブザーバビリティを実現するために、次世代SIEMソリューションは、すべてのデータソースにアクセス可能であることを保証し、ボーダレスなインフラストラクチャ全体での詳細な分析と相関関係の基盤を提供します。最新のSIEMソリューションは、セキュリティソリューション、アプリケーション、エンドポイント、ネットワークパケット情報など、さまざまなソースからデータをシームレスに取り込み、環境の全体像を把握します。

また、次世代SIEMソリューションは、AWS、Microsoft Azure、GCPなどのパブリッククラウドプラットフォームおよびプライベートクラウドプラットフォームとシームレスに統合し、複数のクラウドにわたる効率的なデータ収集と高度な脅威分析の範囲を拡大する必要があります。これは、組織の拡張された環境全体で脅威を特定し、新たな脅威に対する合理的で堅牢な防御を確保するために重要です。

• ビッグデータアーキテクチャー

SIEMソリューションはSOCの信頼できる情報源であるため、スケーラビリティが最も重要です。SIEMソリューションは、躊躇したり負担になることなく、多数のデータソースを取り込み、ビッグデータ分析をサポートするために、簡単に拡張できる必要があります。これは極めて重要な役割を果たし、大量のデータを継続的に監視および分析しながら、トリアージと調査を行うセキュリティアナリストをサポートするために、高い応答性を備えている必要があります。また、複数のデータセットに対して検索クエリを同時に実行する必要があります。横断検索と呼ばれるこの機能により、1回の検索でさまざまなサイロ化されたデータソースから情報をリアルタイムで取得できるため、サイバーセキュリティ運用の効率と俊敏性が大幅に向上します。

• 展開とアーキテクチャ

従来のSIEMソリューションは、セットアップと継続的管理の両方が複雑であるという課題を抱えていました。次世代SIEMソリューションは、これらの課題を克服しています。広範な組み込みコネクターを装備しているため、既存の製品からのシームレスなデータ取り込みが保証され、展開プロセスが簡素化されます。これは、価値実現までの時間が短縮されることを意味し、迅速なセキュリティ強化を求める組織にとって重要な利点となります。

特に、最新のSIEMソリューションはクラウドベースのアーキテクチャを採用しています。このクラウドSIEMソリューションへの戦略的移行は、展開の複雑さを軽減するだけでなく、運用と管理の間接費のコスト削減を実現し、サイバーセキュリティの効率が大幅に向上します。

• ユーザーとアセットのコンテキストのエンリッチメント

データのエンリッチメントは、セキュリティイベントデータにコンテキスト情報を追加することで、生データを意味のあるインサイトに変換します。SIEMソリューションは、ユーザーディレクトリ、アセットインベントリーツール、位置情報ツール、サードパーティの脅威インテリジェンスデータベースからのコンテキストの詳細でセキュリティイベントをエンリッチ化することで、潜在的なセキュリティリスクを解読して対応する能力を高めます。堅牢な次世代SIEMソリューションには、毎日大量の（数兆個もの）イベントと定期的に関連づけられる、世界規模でのリアルタイムかつ正確で包括的な脅威インテリジェンスデータが含まれている必要があります。これにより、既知の攻撃ツールやパターン、原因である攻撃者など、関連する詳細が明らかになり、分析が合理化されます。

• アイデンティティ脅威対策保護

アイデンティティ脅威検知と保護の機能は、アイデンティティベースの攻撃や異常を可視化することで、次世代SIEMソリューションにおいて極めて重要な役割を果たします。次世代SIEMソリューションでは、ハイブリッドアイデンティティストア全体でアイデンティティを人間、サービス、特権アカウントに自動的に分類し、ライブトラフィックを振る舞いベースラインやルールと比較して、ラテラルムーブメントや異常なトラフィックをリアルタイムで検知する必要があります。このプロアクティブなアプローチにより、次世代SIEMソリューションの全体的な脅威検知機能が向上し、セキュリティチームが疑わしいアクティビティを特定し、迅速に対応して潜在的な脅威を軽減できるようになります。

• ラテラルムーブメントの自動追跡

ラテラルムーブメント機能の自動検知はSIEMソリューションに不可欠であり、システムは組織の環境内の脅威アクターの水平方向の進行を特定して追跡できます。次世代のSIEMソリューションは、モデルチェーンとも呼ばれ、ラテラルムーブメントなどの危険な振る舞いを早期に警告する、チェーン化できる一連の統合分析を提供します。この自動化により、悪意のあるアクティビティの検知が加速され、脅威の特定から修復までの時間が最小限に抑えられるため、組織の回復力が向上します。

• セキュリティ情報モデルの改善

次世代SIEMは、さまざまなソースからの攻撃のすべての要素を特定し、視覚的なタイムラインを備えたダッシュボードに自動的にコンパイルすることに優れています。この攻撃タイムラインは、セキュリティインシデントの根底にある運用イベントの詳細を時系列で提供します。アナリストがタイムラインを手作業でつなぎ合わせる必要があった従来のSIEMソリューションとは異なり、最新のSIEMソリューションが提供する単一の画面の詳細により、アナリストは最も重要なことに集中できます。

最新のSIEMソリューションでは、レガシーシステムで悪評が高かった複雑なクエリ言語も廃止されました。代わりに、シンプルで直感的なクエリ言語を強力にサポートすることで、トリアージプロセスを迅速化し、第1階層のアナリストがより複雑な調査を効果的に処理できるようにします。

• インシデントの優先順位付け

高度な分析モデルと組み合わせた包括的なデータソースは、攻撃の優先順位を判断するための重大なコンテキストを提供するために極めて重要です。これにより、セキュリティチームが調査を実施し、攻撃キャンペーンの有効性を確認するために必要となる手作業の多くが軽減されます。

次世代SIEMがインシデントリスクに明確な優先順位を提供することで、セキュリティチームはすべてのアクションを一度に実行するのを待つのではなく、より効率的に作業し、適切な次のステップを理解できます。たとえば、感染したシステムの詳細を優先することで、セキュリティアナリストはこれらのシステムを特定してネットワークから隔離し、ラテラルムーブメントやマルウェアの拡散を防ぐことができます。これにより、組織は的を絞った対応のために迅速な手段を講じることで、ビジネスの継続性を維持できます。

• 脅威の修復の自動化

サイバー攻撃が成功すると、組織は高度な修復機能を必要とするため、自動化されたインシデント対応機能を組み込んだ次世代SIEMソリューションの進化が要求されています。これらの高度なシステムは、イベントに関する詳細を巧みに収集し、動的なプレイブックを使用して、インシデントを修復するための正確で自動化されたアクションを調整します。

また、次世代SIEMソリューションは、ITサービス管理 (ITSM) などの統合システムでワークフローを自動化することで、チームのセキュリティプロセスにシームレスに統合し、インシデント対応プロセス全体を合理化してサイバーセキュリティのレジリエンスを強化します。

• ライブダッシュボードとレポート

次世代SIEMソリューションは、コンプライアンスのユースケースのサポートを大幅に向上させ、迅速かつ効率的な監査を促進します。カスタマイズ可能なダッシュボードと一元化されたコンプライアンス監査とレポート作成を備えた最新のSIEMソリューションは、SOX、NIST、GDPR、HIPAA、PCIなどの一般的な指令と基準に対する組み込まれたレポート機能を提供しています。この堅牢なコンプライアンスサポートにより、シームレスな内部監査と、外部監査および認証要件への準拠が保証されます。

クラウドストライクの次世代SIEM

クラウドストライクは、次世代SIEM向けの世界有数のAIネイティブプラットフォームを提供し、リアルタイム検知、超高速検索、コスト効率の高いデータ保持により、組織が脅威を迅速にシャットダウンできるようにします。
当社は、次世代SIEMおよびログ管理製品として、以下を提供しています。

CrowdStrike Falcon^® Next-Gen SIEM
次世代SIEMソリューションを使用して、ペタバイト規模で想像以上に速く、脅威を検知、調査、追跡します。

CrowdStrike Falcon^® Search Retention
CrowdStrike Falcon^®プラットフォームのデータを利便性とコスト効率の高い形式で保存し、超高速検索、リアルタイムアラート、豊富なダッシュボードのメリットを享受できます。