SIEM（セキュリティ情報とイベント管理）とは？

SIEMのプロセスと機能

SIEMソリューションは、小規模なセキュリティチームが大規模な企業を保護するために拡張できる主な理由の1つです。 SIEMは、設定されたプロセスに従うことで、高品質のセキュリティデータのコレクションを生成し、さまざまなセキュリティ目標を達成するために使用できます。

The Process

SIEMソリューションは、サイバーセキュリティの脅威を検出して対応するための重要なコンテキストを提供するように設計されています。 このコンテキストと脅威の検出と対応を提供するために、SIEM は次のプロセスを経ます。

• データ収集： データ収集は、 組織のセキュリティアーキテクチャにおけるSIEMの役割の重要な部分です。 SIEMは、組織のネットワーク全体のシステムやセキュリティソリューションからログやその他のデータを収集し、それらをすべて1つの中央の場所に収集します。
• データの集計と正規化: SIEMによって収集されるデータは、さまざまなシステムから取得され、さまざまな形式にすることができます。 比較と分析を実行できるようにするために、SIEMはこのデータを集計し、すべての比較が「同一条件」になるように正規化を実行します。
• Data Analytics and Policy アプリケーション: SIEMソリューションは、一貫性のある単一のデータセットを使用して、データ内のサイバーセキュリティの脅威の兆候を探し始めることができます。 これには、事前定義された問題 (ポリシーで概説されている) の検索と、既知のパターンを使用して検出された攻撃のその他の潜在的な兆候の検索の両方が含まれます。
• アラートの生成: SIEMソリューションがサイバーセキュリティの脅威を検出すると、組織のセキュリティチームに通知されます。 これは、SIEMアラートを生成することで実現でき、チケット発行システムやバグ報告システム、またはメッセージングアプリケーションとの統合を利用できます。

機能

SIEMソリューションは、組織のネットワーク内のすべてのサイバーセキュリティデータの中央クリアリングハウスとして機能するように設計されています。 これにより、次のような多くの重要なセキュリティ機能を実行できます。

• 脅威の検出と分析: セキュリティ情報およびイベント管理ソリューションには、ポリシーとデータ分析ツールのサポートが組み込まれています。 これらは、SIEMによって収集および集計されたデータに適用して、組織のネットワークまたはシステムへの潜在的な侵入の兆候を自動的に検出できます。
• フォレンジックと脅威ハンティングのサポート: SIEMソリューションの役割は、組織のネットワーク全体からセキュリティデータを収集し、単一の使用可能なデータセットに変換することです。 このデータセットは、プロアクティブな 脅威ハンティング やインシデント後のデジタルフォレンジック調査に非常に役立ちます。 アナリストは、さまざまなシステムやソリューションから必要なデータを手動で収集して処理する代わりに、SIEMに問い合わせるだけで、調査のスピードと効果を劇的に向上させることができます。
• 法規制の遵守: 企業は、厳格なデータセキュリティ要件を伴う、増え続けるデータ保護規制に準拠する必要があります。 SIEMソリューションは、収集および保存するデータにより、必要なセキュリティ制御とポリシーが実施され、企業が報告可能なセキュリティインシデントを経験していないことを示すことができるため、規制コンプライアンスの実証に役立ちます。

セキュリティ情報およびイベント管理(SIEM)ツール

さまざまなセキュリティベンダーがSIEMソリューションを作成しています。 最も一般的に使用されている主要なSIEMには、次のようなものがあります。

• ArcSight
• IBM QRadar
• LogRhythm
• Splunk

これらのソリューションは、中小企業を支援するために設計された予算にやさしいソリューションから、多国籍企業のセキュリティを確保する上で中心的な役割を果たすことを目的としたエンタープライズ規模のソリューションまで多岐にわたります。

SIEM の制限事項

SIEMツールは非常に強力で、組織のセキュリティアーキテクチャの貴重なコンポーネントになる可能性がありますが、完璧ではありません。 SIEMソリューションには、その利点に加えて、次のような制限もあります。

• 複雑な統合: SIEMソリューションを効果的に活用するには、組織のすべてのサイバーセキュリティソリューションとシステムに接続する必要があります。 その結果、SIEMをこれらすべてのツールと統合することは、複雑で時間がかかり、高度なセキュリティの専門知識と問題のシステムに精通している必要があります。
• ルールベースの検出: SIEMソリューションは、さまざまなサイバーセキュリティの脅威を検出できます。ただし、これらの検出は、主に事前定義されたルールとパターンに基づいています。 つまり、これらのシステムは、これらの既知のパターンに一致しない新しい攻撃や亜種の攻撃を見逃す可能性があります。
• コンテキスト化されたアラート検証の欠如: SIEMソリューションは、データを集約し、アラートに追加のコンテキストを適用することで、SOCのアラート量を大幅に削減できます。 ただし、SIEMは通常、コンテキスト化されたアラート検証を実行しないため、誤検知アラートがセキュリティチームに送信されます。

SIEMとチェック・ポイントのInfinity SOCの統合

SIEMソリューションは、組織のセキュリティ展開において重要な役割を担っています。 しかし、そのすべての利点にもかかわらず、脅威の検出と対応活動の効率を最大化するために必要な確実性をセキュリティチームに提供することはできません。

This is why SIEM solutions are most effective when integrated with Check Point’s Infinity SOC. Infinity SOC provides 99.9% precision when detecting security incidents across an organization’s network and endpoints, enabling security analysts to focus their attention on real threats. To learn more about the capabilities of Infinity SOC, check out this demo video. You’re also welcome to try out Infinity SOC in your own network with a free trial.