vol. 04 2020年05月 SIEMにおける最新トレンド
～AI活用とインシデント対応の自動化～

SIEM（Security Information and Event Management）は、スイッチ、ルータ、ファイアウォール、IDS/IPSなどのネットワーク機器やセキュリティ機器、サーバやPCなどからの大量なログを相関分析し、サイバー攻撃などのセキュリティ脅威をリアルタイムに発見・通知や多様な分析を提供するソリューションです。

SIEMは、その特性からセキュリティ対策の中でも、比較的導入後の運用に手間がかかる、難易度の高いソリューションですが、現在のSIEMはAIや自動化といった運用の手間を減らす技術が活用され始めています。また、クラウド型での提供も普及し始めており、以前と比べると導入障壁も下がっています。

そこで今回は、SIEMとは何か、最新の技術動向や利用形態の変化について解説します。

そもそもSIEMとは何か？

これまでのセキュリティ対策製品は既知の脅威に対して、パターンファイルなどを参照してPCやサーバを防御していました。

これに対して、SIEM（Security Information and Event Management）は膨大なログの中からソフトウェアの動作状況や通信状況から、時系列、アクセス先、ユーザー等に紐づけてリアルタイムに監視・分析し、攻撃が成功する前の段階から予兆を検知したり、機器単体では発見できないような高度なサイバー攻撃や内部不正を検知、可視化するソリューションです。

また、被害の全容や状況を可視化、レポート化など、インシデント対応業務を支援します。そのため、もしセキュリティ上の脅威から被害を受けたとしても、リアルタイムな高速処理を施すことで事後対応を迅速にサポートでき、従来のセキュリティ対策より一歩進んだものと言えます。

最新のSIEM関連技術動向

AI活用

SIEM技術の進化や広がりには、AI技術の発展が寄与しています。
関連製品の一部には、AI技術の代表とも言える機械学習モデルが採用されています。このモデルを活用したSIEM製品は、誤検知を最小限に減らしながら、脅威ごとに分析方法や閾値の検討・実装することなく、判定が自動化され、より正確に脅威を把握することが可能です。

また、機械学習モデルをセキュリティ対策に用いるのは、一般のエンジニアにはとても難しい技術でしたが、SIEM製品に機械学習によるセキュリティ分析、対策機能を搭載することで、今までより容易に活用できるようになりました。

セキュリティ対策には、誤検知の問題が常に存在します。現在のSIEMには、AIが誤検知の可能性を数値化する機能が搭載された製品があり、脅威の誤検知を完璧に防ぐのは難しいものの、AIにセキュリティ管理者や過去のインシデント評価を学習させ、SIEMが発出するアラートにおける誤検知の可能性を数値化して、対応優先度を判定します。

AIは、脅威に対する調査も容易にします。セキュリティイベントの検知は、PCなどのエンドポイント、組織関係者による内部犯行を調査するための内部ネットワーク機器、Webを通じた外部からの脅威を調査するための境界機器など、あらゆるポイントを監視しなければならず、これらの監視をセキュリティ管理者が行うのは非常に困難でした。
しかし、検知にAIを活用することで、高速かつ、より的確なログ分析や脅威の検出が容易になります。

SIEMへAIの活用に伴って、UEBA（User and Entity Behavior Analytics）の技術も進んでいます。UEBAはユーザーや機器の振る舞いをAIで分析し、セキュリティイベントを検出することから、まだ知られていないセキュリティ上の脅威や、組織内外からの不正アクセスなどの検出にも役立つと期待されます。

インシデント対応の自動化

セキュリティインシデントに対応するプロセスの自動化も図られています。メインとなる技術がSOAR（Security Orchestration, Automation and Response）です。

SOARは、セキュリティ運用の標準化、自動化および効率化を実現する技術です。SOARは、収集したセキュリティ機器のアラートや、公開されているセキュリティ情報を、あらかじめ定義したシナリオに沿って処理します。

また、セキュリティ業務の一部を自動化できることも特徴の一つです。SOARはインシデント対応における決裁者への承認依頼やファイアウォールなどの設定更新、アラートの誤検知の判断など、従来は人の手によっておこなわれていた作業を自動化します。自動化のために定義したシナリオはインシデント対応の都度、俗人化することなく常に安定したレベルで行われることになります。夜間等体制が組めない時間帯も対応可能となるため大きなメリットと言えます。

さらに、インシデント対応に必要なチケットの発行、対応記録、異常の可視化、セキュリティレポートの作成などもSOARでおこなえます。

提供形態の進化

SIEMの提供形態は、これまではオンプレミスが中心でしたが、クラウド対応等提供の形態も増えています。
クラウドベースのSIEMプラットフォームを提供する新規参入ベンダーの躍進や、オンプレミスベースでSIEMを提供してきた企業でも、クラウド版プラットフォームへの対応や、SaaSなどサービス提供を始める動きが加速しています。

また、提供形態の進化に伴い、料金体系にも変化が生じています。これまでは収集するログの量に応じた料金形態のみでしたが、一部では、ユーザー数に応じて課金されるサブスクリプション方式を採用しています。データ量を気にせず必要なログをすべて収集して分析することが可能になり、かかる費用もシンプルになり、利用者にとって、予算管理も行いやすくなりました。クラウド型の登場によって導入が容易になったといえるでしょう。

まとめ

SIEMは、システムの機器やソフトウェア全体のセキュリティログなどを包括的に収集・分析するソリューションです。複数の機器からログを集めて一元管理し、時系列などで相関分析を行い、セキュリティ脅威の可視化、検知向上を実現します。

AI技術やUEBA技術の活用によって、誤検知を最小限に抑えながら、より高度なセキュリティイベントの検出が可能になっています。また、オンプレ環境だけでなく、クラウド版やSaaSでの提供も増えているため、従来に比べてSIEMの導入は、技術的にも予算的にも容易になっています。