サイバー攻撃の脅威が高まる中、攻撃を早期に検知し被害を最小に抑えるための対策として、自社でCSIRTやSOCの体制を持ち、SIEMを導入して、それぞれの企業に合った柔軟なセキュリティ運用を行いたいという要望が増えています。
外部委託ではなく、社内にこのような体制やシステムを備えることで、担当者間の迅速な情報連携や、自組織の環境にとって最適な監視体制の構築が期待できます。一方で、最新の脅威情報を踏まえながら、リアルタイムにサイバー攻撃の分析や対応をしていくためには、高度な専門性を持つセキュリティ人材による24時間365日の監視体制が求められます。
本稿では、課題を「SIEM基盤の維持管理」と「セキュリティログ監視」の2つに大別して整理のうえ、解決策のひとつとしてNRIセキュアのSIEM監視サービスの活用を例にあげながら、「発展的なSIEM活用方法」をご紹介します。
▶「クラウド活用で複雑化したIT環境:効率的なセキュリティ運用策とは」を読む
SIEM基盤維持管理における課題
①適切な基盤選定ができない
まず、クラウドのSIEMサービスを利用するか、オンプレミスでSIEMを構築するかの判断で悩まれることがあるでしょう。
クラウドサービスを利用する場合、ログ保存リージョンによっては各国法準拠へのケアや、運用要件に合っているかの整理が必要です。オンプレミスでSIEM構築を行う場合、サーバのリソース(CPU、メモリ、ディスクなど)のサイジングが安定稼働を実現するために重要になります。SIEMは大量のログを収集・分析するために多くの基盤リソースを要します。適切なサイジングを行うためには、投入する監視ルールの処理コスト計算やログ保存期間の設計、将来的なログ量の増大を見据えた設計など、専門的な知識が求められます。
また、ログ収集を行う製品ごとにログ取得方式を設計し、製品によってはログを取得するためにスクリプトを開発する場合もあります。
②SIEMの性能の引き上げ方法がわからない
SIEMの機能をフル活用するには、限られたリソースの中で性能をいかに上げるかが重要です。監視ルールの計算コストを最小化したり、SIEMパラメータを環境に合わせて最適化したりすることで性能の引き上げが可能ですが、これを実現するためにはSIEMの仕様を細部まで理解しているかもポイントになります。
③バージョン管理がおろそかになってしまいがち
古いバージョンのSIEMを使っていると、新たなログ取り込みや監視をしたいときに、その機能がサポートされておらず最新の監視機能が使えない可能性があります。また、SIEMに深刻な脆弱性が見つかった場合に即座にセキュリティパッチを適用できないセキュリティ上のリスクが発生します。そのため、少なくともメーカサポートバージョンに追随しておくことが重要です。
バージョンアップを行う際に、デグレードが発生し既存の機能が使えなくなる可能性もあります。デグレードを防ぐには機能要件を事前に整理し、リリースノートの理解や機能検証を実施する必要があります。
④気付かないうちにログ収集が停止
ログ収集対象機器のバージョンアップによる仕様変更や、ログ配送経路の変更など、様々な理由からログ収集が止まってしまうケースがあります。多くの場合、インシデント発生時など、実際にログが必要になった時にログ停止している状況を認知することになります。このような事態を防ぐため、ログ収集が想定外に停止していないかを常に監視することが重要です。
⑤ログの正規化ができていない
セキュリティ製品や各種デバイスログは、それぞれの製品で定められたログフォーマットをとっており、形式や出力されるフィールドが統一されていません。複数のセキュリティデバイスのログを相関分析するには、SIEM上でこれらのログを一律のフィールドに統一する「ログの正規化処理」が不可欠です。これを行うにはSIEMそのものの理解に加え、ログについても専門的な知識が求められます。
セキュリティログ監視・運用における課題
①セキュリティアラートへの対応方法がわからない
一般的に、SIEMからのアラートは機械的な検知ロジックに基づいており、アラートを受けた人間が次のアクションを決定・実行します。セキュリティアラートの種類は多岐にわたるため、セキュリティの専門知識がないとアラートの解釈が難しい場合があります。
②新たな脅威に追随する検知ルールの作成方法がわからない
サイバー攻撃の手法は進化し続けています。SIEMによるセキュリティ対策を十分な水準に保つには、SIEM導入時に検知ルールを作成するだけではなく、新たな脅威を検知するためのルール開発を継続して行う必要があります。そのためには、最新動向を日々追っておくとともに、検知ロジックをSIEMに実装する専門知識も求められます。
③24時間365日の監視体制の確保が難しい
さらに、検知ルールは実装して終わりではありません。アラートが発生した時に適切に対処をするには、セキュリティ監視の専門知識を有する担当者による24時間365日監視する体制を持つことが理想的ですが、セキュリティ人材の不足が日本国内で叫ばれる中、人材確保は容易ではありません。
SIEM監視サービスのご紹介
これらの課題に対する解決策を検討しておかなければ、せっかくSIEMを導入しても有効活用できていないということになりかねません。以降では、NRIセキュアが提供するSIEM監視サービスについてご紹介します。
SIEM監視サービスでは、お客様環境で既に稼働中のSIEM基盤に対して、弊社のノウハウを凝縮したセキュリティ検知ルールを投入し、セキュリティアナリストによる監視を24時間365日体制で提供します。また、これからSIEM導入を考えているお客様向けにはオプションとしてSIEM基盤の構築、運用も提供可能です。
図1:SIEM監視サービス提供イメージ
表:SIEM監視サービス機能概要
なお、2024年時点で本サービスの対象となるSIEM製品は、「Splunk Enterprise」と「Splunk Cloud Platform」です。今後、対象製品を追加していく予定ですので、最新情報はサービスページをご参照ください。
発展的なSIEM活用
セキュリティ監視をアウトソースする際に、アウトソース先にログを送付するパターンと自社SIEMに保存するパターンに分けることができます。
前者の場合、機微情報が送れない、コストがかかる等の理由から、SIEMにログを集約することが困難でした。一方で後者の場合には、SIEMが自社内にあることからログの集約が比較的容易です。それらのログは一般的なサイバーセキュリティ監視のみならず、例えば以下のような用途への活用も期待できます。
- 社内ポリシー違反を見つけたい
- デバイスやアプリの稼働監視をしたい
- Webページのアクセスログを解析してマーケティングに役立てたい
- 定型的なログ集計を自動化したい
コストや人材がネックになりがちなセキュリティ監視はアウトソースしつつ、お客様は自社固有のログ調査やセキュリティ以外の観点でのSIEM活用に専念することも可能です。SIEM監視サービスでは、このようなSIEMの共同活用が可能となります。
図2:発展的なSIEM活用
おわりに
本稿では、SIEMを利用したセキュリティ監視の課題とSIEM監視サービスについて、および発展的なSIEM活用の例をご紹介しました。
SIEMは、日々進化するサイバー攻撃に対して有効なセキュリティ対策ツールであることは間違いありません。しかしながらSIEM利用の課題は多く、「導入してみたものの有効活用できていないため何とかしたい」というご相談を多くいただきます。
自社内での対応が難しいセキュリティ監視などはアウトソースを活用すると同時に、自社では機密情報を含んだログ調査などのアウトソースが難しい分野を担うことが、SIEMの価値を最大化するための現実解となります。
また、本サービスではSIEMを活用するにあたり、どのデバイスをどのように監視すれば良いか分からないなどと言った要件定義や、特定の検知ロジックを実装したいがやり方が分からないなどの実装のご相談も可能です。何かお困りのことがありましたら、是非弊社にご相談いただけますと幸いです。
