セキュリティ情報およびイベント管理（SIEM）とは何ですか？

SIEM は、環境全体にわたるソースからセキュリティ データを継続的に収集し、一貫した形式に正規化して分析することで、脅威とセキュリティ インシデントを特定します。システムが、ファイアウォール、侵入検知システム、エンドポイント、クラウド サービス、アプリケーションからログを取り込み、次に、相関ルールを適用して、攻撃を示唆している可能性のある関連イベントを接続します。疑わしいパターンを特定したり、既知の脅威インジケーターと一致したりすると、セキュリティ チームが調査するためのアラートを生成します。

SIEM プロセスには、以下のステップがあります。

• データ収集: エージェントとコネクタがインフラストラクチャのあらゆる部分からログとイベントをリアルタイムで収集します。
• 正規化: 元データを標準化された形式に変換し、さまざまなソースからの情報を比較して分析できるようにします。
• 関連付けと分析: システムがルールと ML モデルを適用して、イベント間の関係を特定し、脅威を示す異常を検出します。
• アラート生成: 分析でセキュリティ インシデントの可能性が特定されると、重大度とリスクに基づいて優先順位付けされたアラートが作成されます。
• 調査支援: セキュリティ アナリストは、SIEM の検索機能と可視化機能を使用して、アラートの調査、攻撃タイムラインの再構築、適切な対応の決定を行うことができます。
• 対応の調整: SIEM は自動対応をトリガーしたり、インシデント対応ワークフローを通じてアナリストをガイドしたりできます。

SIEM プラットフォームは、データを収集し、脅威を検出し、対応を調整するために連携して動作する、複数の統合コンポーネントで構成されています。セキュリティ モニタリングとインシデント対応のプロセス全体において、各コンポーネントが特定の機能を果たします。

ログ管理は SIEM の中核をなす機能であり、インフラストラクチャ全体から大量のイベントデータを収集、保存、インデックス化します。SIEM は、オペレーティング システム、データベース、ネットワーク デバイス、セキュリティ ツール、クラウド サービスからのログを一元化されたリポジトリに集約し、検索や分析を可能にします。この統合ログストアは、インシデントの調査、攻撃パターンの特定、データ保持に関するコンプライアンス要件の遵守に必要な履歴コンテキストを提供します。

脅威検出機能は、受信データ ストリームを分析し、セキュリティ インシデントが発生した時点でこれを特定します。SIEM システムでは、既知の攻撃パターンに一致するシグネチャベースのルール、通常のアクティビティからの逸脱を特定する行動分析、侵害の微妙な兆候を認識する ML モデルなど、複数の検出方法を使用します。Google Threat Intelligence フィードは、敵対者の戦術、マルウェア ファミリー、新たな脅威に関するコンテキストを提供することで、この分析を強化します。

アラートは、検出された脅威をセキュリティ チームが対応できる通知に変換します。SIEM は、特定された各問題をリスク評価基準と組織の優先事項に照らして評価し、アラートの重大度とルーティングを決定します。Mandiant Digital Threat Monitoring は、組織を標的とする脅威について外部ソースをモニタリングすることで、アラート機能を拡張できます。

対応機能は、セキュリティチームが特定された脅威を封じ込め、修復するのに役立ちます。SIEM プラットフォームには、調査と対応のワークフローを通じてアナリストをガイドし、実行されたアクションを追跡し、各インシデントの監査証跡を維持するケース管理機能が用意されています。Mandiant コンサルティング サービスは、サイバー インシデントを迅速に調査して封じ込め、修復するための効果的な対応ハンドブックの開発を支援します。

自動化とオーケストレーションにより、アラートの処理や一般的な脅威への対応に必要な手動作業を軽減できます。セキュリティ オーケストレーション、自動化、対応（SOAR）機能により、特定の条件が満たされた際に複数ステップの対応手順を自動的に実行するワークフローを定義できます。たとえば、SIEM がエンドポイントでマルウェアを検出した場合に、自動化ハンドブックによってデバイスを隔離し、フォレンジック証拠を収集し、他のシステムで類似のインジケーターをスキャンし、アナリストがレビューするためのチケットを作成するといった対応を定義できます。

脅威ハンティング機能により、セキュリティ アナリストは自動検出を回避した脅威をプロアクティブに検索できます。ハンターは、SIEM のクエリ インターフェースと可視化ツールを利用して、環境を調査し、攻撃者の行動に関する仮説を検証し、隠れた侵害を明らかにすることができます。Mandiant の脅威検出およびハンティング サービスは、SIEM プラットフォームを活用して高度な脅威を体系的に検索します。

コンプライアンス機能により、規制要件や業界のセキュリティ基準を満たすことができます。SIEM は、HIPAA、PCI DSS、GDPR、SOX などのコンプライアンス要件に従ってログを自動的に収集して保持し、監査担当者がセキュリティ管理を検証するために必要な証拠を提供します。事前構築されたコンプライアンス レポートでは、ログデータが特定の規制要件と照合され、どのシステムが規制に準拠しているかを把握できるため、注意が必要なギャップを特定できます。

SIEM の実装を成功させるには、慎重な計画と段階的なアプローチが必要です。

1. 明確な目標の定義: ランサムウェア攻撃の検出、特権アクセスのモニタリング、PCI DSS 要件の遵守など、SIEM で達成したい具体的なセキュリティとコンプライアンスの目標を特定します。
2. 環境の評価: SIEM にフィードする必要があるすべてのシステム、アプリケーション、データソースを文書化し、重要なアセットや価値の高いターゲットを優先します。
3. 適切なデータソースの選択: ドメイン コントローラ、ファイアウォール、エンドポイント セキュリティ ツールなど、最も重要なログソースを統合することから始め、その後、重要度の低いシステムに拡大します。
4. データ収集の設定: エージェント、コネクタ、API を設定して、システム パフォーマンスに影響を与えることなく、特定されたソースからログを確実に収集します。
5. データの正規化と拡充: 解析ルールを設定して、未加工のログから関連するフィールドを抽出するとともに、アセット、ユーザー、脅威インテリジェンスに関するコンテキスト情報を付加してイベントを拡充します。
6. ユースケースの開発: 組織が直面している脅威に特化した検出ルールと相関ロジックを作成します。優先度の高いシナリオから着手します。
7. 検出ルールの調整: 誤検出を減らしつつ、真の脅威に対する感度を維持するため、ルールのテストと改良を行います。
8. ワークフローの確立: インシデントの種類ごとに調査と対応の手順を定義し、役割、責任、エスカレーション基準を文書化します。
9. チームのトレーニング: SIEM プラットフォーム、調査手法、対応手順に関する包括的なトレーニングを提供します。
10. モニタリングと最適化: SIEM のパフォーマンス、アラートの品質、対応の指標を継続的に確認し、必要に応じて調整して有効性を高めます。

SIEM は、脅威検出からコンプライアンス管理に至るまで、組織全体のさまざまなセキュリティ シナリオをサポートします。セキュリティ チームは SIEM の機能を活用することで、差し迫ったセキュリティ ニーズと長期的な運用上の課題の両方に対処できます。

SIEM の一般的なユースケースには、次のようなものがあります。

1. 大量のデータソースの分析: クラウドや IoT の急速な普及に伴い、セキュリティ テレメトリーが増加し、DNS や DHCP などの侵害を示すサーバーログを取り込む必要性が高まっています。SIEM は、ペタバイト規模のデータに対して 1 秒未満で検索できるため、大量のデータソースや要求の厳しいデータソースを分析できます。また、最新のインフラストラクチャ全体において、すべての拠点をカバーするのに必要な規模を提供します。
2. エンドポイント テレメトリーの保持期間の延長: EDR ツールのデータは、ネットワーク上のすべてのデバイスの信頼できる唯一の情報源と見なすことができます。しかし、費用が高額になるため、EDR データを長期間保持できない場合があります。SIEM では、取り込んだエンドポイント テレメトリーを少なくとも 10 倍以上の期間にわたって保存でき、より広範なエンタープライズ シグナルと関連付けることで、可視性を高め、より詳細な分析を行うことができます。
3. 対応とオーケストレーションの自動化: セキュリティ インシデントが発生した場合、対応速度が成否を分ける要因となります。しかし、多くの組織では自動化とオーケストレーションの機能が不足しており、脅威への対応が遅れ、手作業に依存した対応を余儀なくされるケースが見受けられます。統合された SecOps プラットフォームは、自動化ハンドブック、ケース管理、コラボレーション機能を提供し、より迅速かつ効果的な対応を実現します。

適切な SIEM を選択するには、各ソリューションが組織固有のセキュリティ ニーズ、インフラストラクチャ、リソースにどのように適合するかを慎重に評価する必要があります。技術的な機能だけでなく、導入の複雑さ、継続的なメンテナンスの要件、総所有コストなどの運用上の要素も考慮する必要があります。最適な SIEM は、検出の有効性、スケーラビリティ、ユーザビリティのバランスが取れており、既存のツールとシームレスに統合できるものです。

SIEM ソリューションの評価には、以下の基準を使用します。

• スケーラビリティ: プラットフォームが現在のログボリュームを処理でき、パフォーマンスを低下させることなく組織の成長に合わせて拡張できることを確認する
• 統合機能: 既存のセキュリティ ツール、クラウド プラットフォーム、エンタープライズ アプリケーション向けの事前構築済みコネクタがあるか確認する
• 検出の有効性: 相関ルールの高度さ、ML モデル、脅威インテリジェンスの統合について評価する
• 自動化のサポート: 自動化された対応ワークフローの構築やオーケストレーション プラットフォームとの統合をどの程度簡単に行えるかを確認する
• コンプライアンスのサポート: 規制要件に沿った機能やレポート ツールがソリューションに含まれていることを確認する
• 総所有コスト: ライセンス費用、インフラストラクチャ要件、実装と継続的な運用に必要な人員を算出する

SIEM の未来は、自動化の進展、セキュリティ ツール間のより深い統合、AI を活用したより高度な分析によって形作られるでしょう。SIEM は、スタンドアロンのプラットフォームから、統合セキュリティ運用へと進化していくものと見込まれます。これは、脅威の検出、調査、対応を、拡張検出および対応（XDR）やセキュリティ オーケストレーションとシームレスに組み合わせたものです。機械学習（ML）は、単純な異常検出を超えて進化し続け、重大な被害が発生するはるか前に、攻撃を初期段階で特定する予測機能を提供するでしょう。また、クラウド サービスや分散アーキテクチャの採用が増えるにつれ、クラウドネイティブの SIEM ソリューションが標準となり、より優れたスケーラビリティとクラウド セキュリティ制御が組み込まれた統合が実現されるでしょう。

Google Security Operations は、完全なマネージド SIEM サービスが必要な場合でも、特定の機能を活用したい場合でも、お客様のセキュリティ運用要件を満たす柔軟なオプションを提供します。Google は、クラウドネイティブなスケーラビリティで大量のログを処理できる包括的な SIEM 機能、誤検出を減らす高度な分析、より広範な Google Cloud セキュリティ エコシステムとの緊密な統合を提供します。Google Security Operations には、既存のセキュリティ ツールやサービスとシームレスに統合できる組み込みのデータコネクタが含まれており、カスタム統合の複雑さを解消します。