SIEM

１．SIEMとは？

SIEM（Security Information and Event Management）とは、ファイアウォール等のセキュリティ製品や認証サーバ等のログを相関分析（※）し、外部からの攻撃やマルウェアの感染、内部不正を検知します。近年、攻撃の手口が年々巧妙化しており、１製品ののログだけで攻撃を検知することは難しく、関連性のある複数のログを横断的に分析することが必要です。この作業を人手で実施する場合、時間がいくらあっても足りません。この課題を解決すると期待されているのがSIEMです。

※相関分析
　相関分析とは複数のログの相関関係を分析する方法です。SIEMでは、マルウェア感染や内部
　不正等が発生する際のログの相関関係を定義（主にルールとして）しておくことで、相関関
係に合致したログが出力されるとアラートを出力します。

２．SIEMのセキュリティインシデント検知方法

前述したように、SIEMは相関分析によってセキュリティインシデントを検知します。ここでは相関分析がどのように有用に働くか例示したいと思います。

標的型攻撃に用いられるマルウェアに感染したパソコンがあり、サンドボックスを含むアンチマルウェア対策ソフトでは検知できない状況を想像してください。

ここで、ある従業員の退出記録があるにも関わらず、その従業員のパソコンが外部インターネットとの通信をしているログがある場合を考えてみます。

■SIEMが無い場合、

「退出記録あり」、「プロキシサーバに当該従業員のパソコンと外部インターネットとの通信あり」のログが出力されていたとしても、それぞれのログ単体では、マルウェア感染を検知することはできません。相関関係を見つけるには人手によるログ分析が必要です。

また、人手によるログ分析を実施するには、

「ログ分析できる人材」＋「ログ分析するための時間（コスト）」

が必要で、対応が遅れるとマルウェア感染の拡大、情報漏えいにつなってしまいます。　

■SIEMがある場合、

「退出記録あり」の後に「プロキシサーバに当該従業員のパソコンと外部インターネットとの通信あり」が記録されている場合は、アラートを出すようSIEMの検知ルールを書いておくと

人手によるログ分析をせずとも、自動でアラートを出力してくれます。

勘違いしてはいけないのは、SIEMはルールに基づいてアラートを出力しているだけで、脅威を定義する人（ルールを作成する人）はあくまで人です。

３．SIEMの使い方

SIEMは相関分析するタイミングによって「予兆分析」と「事後分析」をするために使われます。　　

■予兆分析
　リアルタイムに相関分析することにより、セキュリティインシデントの予兆をいち早く検出
　します。

■事後分析
　セキュリティインシデント発生後に影響範囲や原因をつきとめるための分析です。マルウェ
　アの侵入経路、情報漏洩の経路、攻撃の手口等のインシデントの詳細を調査します。

４．SIEMの導入・運用に向けた課題

ここでは、SIEMを導入・運用する際の課題について書いていきたいと思います。

①SIEMで検知したい脅威の定義（導入時）

　SIEMはルールに基づいてアラートをあげます。逆に言えば、ルールが適切に作成されていな
　ければ有用な結果を得られません。

　そのため、SIEM導入の前に自組織の脅威分析を実施し、分析結果に基づいてルールを作成す
　る必要があります。

　
　脅威分析をしない場合、使われないルールを作成してしまったり、誤検知や過検知が大量に
　出力されてしまい、却って運用負荷が高くなってしまいます。

　また使われないルールの作成してしまうと、不必要なログの取得にもつながり、ディスクの
　圧迫にもつながります。　　　

②定期的なルールのチューニング（運用時）

　SIEM導入後は定期的にチューニングが必要です。導入時に必要だと思っていたルールが実は
　不要であったり、新たな攻撃手法等の、導入時に想定していない脅威が発生する可能性があ
　るためです。