トップQs
タイムライン
チャット
視点
Security information and event management
セキュリティ情報管理(SIM)とセキュリティイベント管理(SEM)を組み合わせ、セキュリティアラートのリアルタイム分析を可能にするシステム ウィキペディアから
Remove ads
Security information and event management(セキュリティ情報イベント管理、略称:SIEM、シーム)は、コンピュータセキュリティの分野の一つであり、セキュリティ情報管理(SIM)とセキュリティイベント管理(SEM)を組み合わせ、アプリケーションやネットワークハードウェアから生成されるセキュリティアラートのリアルタイム分析を可能にするものである[1][2]。SIEMシステムは、セキュリティオペレーションセンター(SOC)の中核をなし、セキュリティインシデントの検知、調査、対応に用いられる[3]。SIEM技術は、様々なシステムからデータを収集・集約し、組織が脅威から身を守りつつ、コンプライアンス要件を満たすことを可能にする。アメリカ国立標準技術研究所(NIST)によるSIEMツールの定義は、「情報システムの構成要素からセキュリティデータを収集し、そのデータを単一のインターフェースを介して実用的な情報として提示する能力を提供するアプリケーション」である[4]。

SIEMツールは、ソフトウェア、ハードウェア、またはマネージドサービスとして実装することができる[5]。SIEMシステムは、セキュリティイベントを記録し、医療保険の相互運用性と説明責任に関する法律(HIPAA)やPCI DSSなどの規制フレームワークを満たすためのレポートを生成する。SIEM内でSIMとSEMを統合することにより、組織はセキュリティイベントを監視し、脅威にリアルタイムで対応するための一元的なアプローチを得ることができる。
2005年にガートナーのアナリストであるマーク・ニコレットとアムリット・ウィリアムズによって初めて導入されたSIEMという用語は、脅威インテリジェンスや行動分析といった高度な機能を取り入れて進化し、ゼロデイ脆弱性やポリモーフィックマルウェアを含む複雑なサイバーセキュリティの脅威を管理できるようになった。
近年、SIEMは国家のサイバーセキュリティ戦略に組み込まれるようになっている。例えば、2021年にジョー・バイデン米国大統領が署名した大統領令14028号では、連邦政府システムにおけるインシデントの検知と報告を改善するために、SIEM技術の使用が義務付けられている。これらの義務の遵守は、コンピュータセキュリティログの管理に関するベストプラクティスを概説するNIST SP 800-92などのフレームワークによってさらに強化されている[2]。
現代のSIEMプラットフォームは、様々な情報技術(IT)ソースからだけでなく、生産・製造現場のオペレーショナルテクノロジー(OT)環境からもデータを集約し、正規化している。
Remove ads
歴史
当初、システムロギングは主にトラブルシューティングやデバッグのために使用されていた。しかし、オペレーティングシステムやネットワークが複雑化するにつれて、システムログの生成も増加した。また、高度なサイバー攻撃の増加や、リスクマネジメントフレームワーク(RMF)内でセキュリティコントロールのロギングを義務付ける規制フレームワークへの準拠の必要性から、システムログの監視も一般的になってきている。
1970年代後半から、ワーキンググループが監査および監視プログラムを管理するための基準を策定し始め、内部脅威の検知やインシデント対応といった現代のサイバーセキュリティプラクティスの基礎を築いた。この時期の主要な出版物として、NISTの特別刊行物500-19号があった[6]。
2005年、ガートナーのアナリストであるマーク・ニコレットとアムリット・ウィリアムズによって「SIEM」(Security Information and Event Management)という用語が導入された。SIEMシステムは、情報システムからセキュリティデータを収集し、それを実用的なインテリジェンスとして提示するための単一のインターフェースを提供する[7]。アメリカ国立標準技術研究所(NIST)はSIEMについて、「情報システムの構成要素からセキュリティデータを収集し、そのデータを単一のインターフェースを介して実用的な情報として提示する能力を提供するアプリケーション」という定義を提供している[2]。さらに、NISTは連邦政府が義務付けるRMFを設計し、導入している。
RMFが世界的に導入されるにつれ、監査と監視は、情報保証とセキュリティの中心的な要素となった。サイバーセキュリティの専門家は現在、これらのプロセスを分析タスクに組み込むガバナンスモデルに基づき、リアルタイムのセキュリティ機能を実行するためにログデータに依存している。1990年代後半から2000年代にかけて情報保証が成熟するにつれて、システムログを一元化する必要性が明らかになった。一元化されたログ管理により、ネットワーク化されたシステム全体での監視と調整が容易になる。
2021年5月17日、ジョー・バイデン米国大統領は「国家のサイバーセキュリティの改善」に関する大統領令14028号に署名し、インシデント対応能力を強化するために、監査ロギングやエンドポイント保護を含むさらなるロギング要件を定めた[8]。この大統領令は、重要インフラを標的とするランサムウェア攻撃の増加に対応するものであった。RMF内の情報保証コントロールを強化することで、この大統領令はコンプライアンスを推進し、サイバーセキュリティへの取り組みのための資金を確保することを目的としていた。
Remove ads
情報保証
要約
視点
2006年9月に発行されたNIST SP 800-92「コンピュータセキュリティログ管理ガイド」は、NISTリスクマネジメントフレームワーク内において、何を監査可能にすべきかを導く重要な文書として機能する。「SIEM」という用語がないことからもわかるように、この文書はSIEM技術が広く採用される前に発行されたものである[9][10]。このガイドは、発行以来の技術の急速な変化により網羅的ではないものの、業界の成長を予測することで今日でもその妥当性を保っている。NISTは監査と監視に関する規制メカニズムの唯一のガイダンス源ではなく、多くの組織がホストベースのチェックのみに頼るのではなく、SIEMソリューションを導入することが推奨されている。
いくつかの規制や標準がNISTのロギングガイダンスを参照しており、その中には連邦情報セキュリティマネジメント法(FISMA)[11]、グラム・リーチ・ブライリー法(GLBA)[12]、医療保険の相互運用性と説明責任に関する法律(HIPAA)[13]、2002年のサーベンス・オクスリー法(SOX)[14]、PCI DSS[15]、ISO 27001[16]などがある。公的機関や民間組織は、そのセキュリティポリシーにおいて頻繁にNISTの文書を参照している。
NIST SP 800-53 AU-2「イベント監視」は、システムの監査をサポートし、情報保証とサイバーセキュリティ運用のための継続的な監視を保証する重要なセキュリティコントロールである。SIEMソリューションは通常、これらの取り組みの中心的なツールとして採用される。機密性、完全性、可用性(CIA)への影響に基づいて分類された連邦政府システムには、満たすべき5つの特定のロギング要件(AU-2 a-e)がある[17]。すべてのアクションをロギングすることは可能だが、ログの量と実用的なセキュリティデータの必要性から、一般的には推奨されない。AU-2は、組織が他のコントロールと連携したロギング戦略を構築するための基盤を提供する。
NIST SP 800-53 SI-4「システム監視」は、不正アクセスの検知や、異常、マルウェア、潜在的な攻撃の追跡など、システムの監視要件を概説している。このセキュリティコントロールは、不審な活動を検知するためのハードウェアとソフトウェアの両方の要件を規定している[18]。同様に、改訂第5版で追加されたNIST SP 800-53 RA-10「脅威ハンティング」は、従来のコントロールを回避する脅威を特定することによる積極的なネットワーク防御を強調している。SIEMソリューションは、脅威ハンティングチームのためのセキュリティ情報を集約する上で重要な役割を果たす[19]。
AU-2、SI-4、RA-10は、NISTのコントロールが包括的なセキュリティ戦略にどのように統合されるかを示している。これらのコントロールは、SIEMソリューションによってサポートされ、連邦政府および民間のネットワーク全体で継続的な監視、リスク評価、多層防御メカニズムを確保するのに役立つ[19]。
Remove ads
用語
頭字語のSEM、SIM、SIEMは、時に同じ意味で使われることがあるが[20]、一般的には製品の主要な焦点の違いを指す。
- ログ管理: ログメッセージや監査証跡の単純な収集と保存に焦点を当てる[9]。
- セキュリティ情報管理(SIM): ログデータの長期保存、分析、報告[21]。
- セキュリティイベント管理(SEM): イベントのリアルタイム監視、相関分析、通知、コンソール表示。
- セキュリティ情報イベント管理(SIEM): SIMとSEMを組み合わせ、ネットワークハードウェアやアプリケーションによって生成されるセキュリティアラートのリアルタイム分析を提供する[5][要出典]。
- マネージドセキュリティサービス(MSS)またはマネージドセキュリティサービスプロバイダ(MSSP): 最も一般的なマネージドサービスは、接続性と帯域幅、ネットワーク監視、セキュリティ、仮想化、災害復旧を中心に展開されているようである。
- サービスとしてのセキュリティ(SECaaS): これらのセキュリティサービスには、認証、アンチウイルス、アンチマルウェア/スパイウェア、侵入検知、侵入テスト、セキュリティイベント管理などが含まれることが多い。
実際には、この分野の多くの製品はこれらの機能が混在しており、重複することが多い。また、多くの商用ベンダーは独自の用語を推進している[22]。商用ベンダーは、これらの機能のさまざまな組み合わせを提供することが多く、それによってSIEM全体が改善される傾向がある。ログ管理だけではネットワークセキュリティに関するリアルタイムの洞察は得られず、SEMだけでは詳細な脅威分析のための完全なデータは提供されない。SEMとログ管理が組み合わさることで、SIEMが監視するためにより多くの情報が利用可能になる。
主な焦点は、ユーザーとサービスの権限、ディレクトリ・サービス、およびその他[要説明]のシステム構成の変更を監視し、管理を支援すること、ならびにログの監査とレビュー、インシデント対応を提供することである[21]。
機能
- データ集約: ログ管理は、ネットワーク、セキュリティ、サーバー、データベース、アプリケーションなど多くのソースからデータを集約し、監視対象のデータを統合して重要なイベントを見逃さないようにする機能を提供する。
- 相関分析: 共通の属性を探し、イベントを意味のある束にまとめる。この技術は、様々な相関技術を実行して異なるソースを統合し、データを有用な情報に変える能力を提供する。相関分析は、通常、完全なSIEMソリューションのセキュリティイベント管理部分の機能である[23]。
- アラート: 相関分析されたイベントの自動分析。
- ダッシュボード: ツールはイベントデータを情報的なチャートに変換し、パターンの可視化や標準パターンを形成していない活動の特定を支援する。
- コンプライアンス: アプリケーションを利用してコンプライアンスデータの収集を自動化し、既存のセキュリティ、ガバナンス、監査プロセスに適応したレポートを作成することができる[24]。
- 保持: 履歴データの長期保存を利用して、時間経過にわたるデータの相関分析を容易にし、コンプライアンス要件に必要な保持期間を提供する。ネットワーク侵害の発見が侵害発生時である可能性は低いため、長期的なログデータ保持はフォレンジック調査において極めて重要である[25]。
- フォレンジック分析: 特定の基準に基づいて、異なるノードと期間にわたるログを検索する能力。これにより、頭の中でログ情報を集約したり、何千ものログを検索したりする必要がなくなる[24]。
Remove ads
コンポーネント

SIEMのアーキテクチャはベンダーによって異なる場合があるが、一般的に、SIEMエンジンは不可欠なコンポーネントで構成されている。SIEMの不可欠なコンポーネントは以下の通りである[26]。
- データコレクター:ホストから選択された監査ログを転送する(エージェントベースまたはホストベースのログストリーミングをインデックスおよび集約ポイントへ)[27][28]
- 取り込み・インデックス化ポイント:パース、相関分析、データ正規化のための集約ポイント[29]
- 検索ノード:可視化、クエリ、レポート、アラートに使用される(分析は検索ノードで行われる)[30]
基本的なSIEMのインフラストラクチャを右の図に示す。
ユースケース
コンピュータセキュリティ研究者のクリス・クベッカは、ハッキングカンファレンス28C3(カオスコミュニケーションコングレス)で発表された以下のSIEMユースケースを特定している[31]。
- SIEMの可視性と異常検知は、ゼロデイやポリモーフィックコードの検出に役立つ可能性がある。これは主に、この種の急速に変化するマルウェアに対するアンチウイルスの検出率が低いためである。
- ログを送信できる限り、コンピュータやネットワークデバイスの種類に関係なく、パース、ログの正規化、カテゴリ分類が自動的に行われる。
- セキュリティイベントとログの失敗を利用したSIEMによる可視化は、パターンの検出に役立つ。
- 設定ミスやセキュリティ問題を示す可能性のあるプロトコルの異常は、SIEMのパターン検出、アラート、ベースライン、ダッシュボードを使用して特定できる。
- SIEMは、隠密で悪意のある通信や暗号化されたチャネルを検出できる。
- サイバー戦争はSIEMによって正確に検出でき、攻撃者と被害者の両方を発見できる。
現代のSIEMプラットフォームは、検知だけでなく対応もサポートしている。対応は手動またはAIベースの対応を含む自動化されたものがある。
Remove ads
相関ルールの例
要約
視点
SIEMシステムには、数百から数千の相関ルールが存在することがある。これらの一部は単純であり、一部はより複雑である。相関ルールがトリガーされると、システムはサイバー攻撃を緩和するために適切な措置を講じることができる。通常、これにはユーザーへの通知の送信、そして場合によってはシステムの制限やシャットダウンが含まれる。
ブルートフォースアタック検知
ブルートフォースアタックの検知は比較的簡単である。ブルートフォースアタックとは、変数を継続的に推測しようとすることを指す。最も一般的には、誰かが(手動またはツールを使って)パスワードを絶えず推測しようとすることを指す。しかし、システム上のURLや重要なファイルの場所を推測しようとすることも含まれる。
自動化されたブルートフォースアタックは、誰かが1分間に60回もパスワードを入力しようとすることは不可能なため、容易に検出できる。
インポッシブルトラベル
ユーザーがシステムにログインすると、一般的にそのイベントのタイムスタンプが作成される。時間とともに、システムは使用されたデバイス、物理的な場所、IPアドレス、不正なログイン試行回数など、他の有用な情報を記録することが多い。収集されるデータが多いほど、そこから得られる有用性も高まる。インポッシブルトラベルでは、システムは現在と最後のログイン日時と記録された距離の差を見る。例えば、1分以内に数百マイルを移動するなど、これが不可能であると判断した場合、警告を発する。
現在、多くの従業員やユーザーが物理的な場所を隠す可能性のあるVPNサービスを使用している。このようなルールを設定する際には、この点を考慮に入れる必要がある。
過度なファイルのコピー
平均的なユーザーは、通常、システム上でファイルを繰り返しコピーしたり移動したりすることはない。したがって、システム上での過度なファイルコピーは、組織に害を及ぼそうとする攻撃者によるものである可能性がある。残念ながら、誰かが違法にネットワークにアクセスし、機密情報を盗もうとしていると単純に断定することはできない。情報を売ろうとする従業員である可能性もあれば、単に週末に仕事を持ち帰りたいだけかもしれない。
ネットワーク異常検知
DDOSからネットワークスキャンまで、あらゆる脅威や攻撃を含む異常なパターンに対してネットワークトラフィックを監視する。SIEMはネットワーク内のデータフローを監視し、潜在的なデータ漏洩の試みを検知・防止できる。一般的に、データ損失防止については、専用のデータ損失防止(DLP)ソフトウェアが担当する。
DDoS攻撃
DDoS攻撃は、企業や組織に重大な損害を与える可能性がある。DDoS攻撃はウェブサイトをオフラインにするだけでなく、システムを脆弱にすることもある。適切な相関ルールが設定されていれば、SIEMは攻撃の開始時にアラートをトリガーし、企業が重要なシステムを保護するために必要な予防措置を講じることができるようにするべきである。
ファイル整合性の変更
ファイル整合性・変更監視(FIM)は、システム上のファイルを監視するプロセスである。システムファイルの予期しない変更は、サイバー攻撃の可能性が高い兆候であるため、アラートをトリガーする。
Remove ads
アラートの例
イベント条件に基づいてアラートを出すためのカスタマイズされたルールの例には、ユーザー認証ルール、検出された攻撃、検出された感染などがある[32]。
Remove ads
脚注
関連項目
外部リンク
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads