統合セキュリティ管理ツール「ＳＩＥＭ」とは？相関分析の重要性について解説！

　

近年、多種多様なセキュリティ製品が存在していますが、サイバー攻撃の手法は巧妙に進化を続けており、完全に攻撃を防ぐことは厳しい状況にあります。

現在、注目されているＳＩＥＭを活用することでサイバー攻撃に有効な対策が可能と言われています。
本記事では、ＳＩＥＭの概要、メリット・デメリットを解説していきます。

ＳＩＥＭ（シーム）とは？

「ＳＩＥＭ」とは、「Ｓｅｃｕｒｉｔｙ Ｉｎｆｏｍａｔｉｏｎ Ａｎｄ Ｅｖｅｎｔ Ｍａｎａｇｅｍｅｎｔ」の略称で、直訳するとセキュリティ情報イベント管理となります。

ＳＩＥＭは、ネットワークに繋がるデバイス・サーバー・セキュリティツール・アプリケーションなどあらゆるＩＴツールのログを一元管理します。

最大の特徴は、リアルタイムで収集したログを相関分析することで、セキュリティインシデントを自動的にいち早く発見することです。

ＳＩＥＭには、ＳＩＭ（セキュリティ情報管理）の収集した情報を長期にわたって記録・保存・管理・原因特定・被害想定の機能と、ＳＥＭ（セキュリティイベント管理）のリアルタイム分析、セキュリティリスクの発見、アラート発出の２つの概念と機能が兼ね備えてあります。

そのためセキュリティに関する情報やイベントを高いレベルで管理することが可能であり、従来の製品と違い情報収集や検知のみに留まらず、分析・予測・通知のその後の対応までワンストップで行ってくれます。

そしてＥＤＲと同様に、侵入されることを前提に被害の最小化を目指す考え方に基づいて設計されたセキュリティシステムになります。

メリット

セキュリティデータの可視化

通常ネットワークに繋がる全てのデバイスやアプリケーションが出力する大量のログは集めるだけでも手間がかかり、そこから実際にログを確認するとなると膨大な時間がかかるため現実的ではありません。

ＳＩＥＭは、それらを自動でデータ形式を統一した状態で一箇所に収集してくれリアルタイムの状況をダッシュボードを通して簡単に確認することが可能です。

　

収集したログを分析して脅威を検出

手動で大量のログを分析して脅威を特定するのは、高度な技術と膨大な時間を要します。

ＳＩＥＭは、自動かつリアルタイムで脅威を検出してアラートを発するため、早急にインシデントの対応を行うことが可能です。

更に不審な行動と判断した場合は、自動で通信を遮断・停止してくれる機能もあります。

　

内部不正の抑止

ＳＩＥＭは、内部不正の対策にも有効です。

使用者による不正操作や不正アクセスを検知して管理することが可能になります。

ＳＩＥＭを導入することで、使用者に対して抑止力となるため未然に脅威を排除してくれる効果が期待できます。

　

相関分析

ＳＩＥＭは、収集した情報に異常があるか相関分析を行います。

複数のログに対して相関関係がないか自動で分析するため検知の難しい手口にも有効とされています。

現在、サイバー攻撃の手口は複雑なため単一のログを分析するだけでは異常を検知できないケースがあります。

デメリット

ネットワークトラフィックの増加

ＳＩＥＭを導入すると、複数のデバイスからログを収集することになるためトラフィックを増大させることになります。

通信速度の低下や、デバイスに負荷をかける原因に繋がる可能性があります。

　

ログ収集の精度やデータ量の不足

ＳＩＥＭでは、ネットワークトラフィックへの負荷を考慮して、ログの取得間隔を長めに設定、または一部のデータを取得するよう設定するケースが少なくありません。

その結果、インシデント発生時の原因調査において、ログ収集の精度が低下する可能性が考えられます。

　

運用開始までの手間と時間がかかる

複数のデバイスのログを統合して一元管理するため、導入時にそれらを連携させる設定を行う必要があります。

アラートを発するしきい値やルールの設定も必要になってくるため、一定のスキルと時間を要します。

また、コストも一般的には数十万～数百万円と言われています。

ＳＩＥＭの必要性

ＳＩＥＭの役割として、脅威に対して早期発見が可能になります。

複数のセキュリティ機器やネットワーク機器からログを自動で収集し、サイバー攻撃やマルウェアの感染などのセキュリティインシデントにつながる脅威を素早く検知しアラートを発することで迅速な対応が可能になります。

また、現在主流のセキュリティ対策であるＵＴＭ（統合脅威管理システム）と比較してもＳＩＥＭの必要性は高いと言えます。

ログ収集という意味では、ＵＴＭもＳＩＥＭも同じですが、ＵＴＭはログを収集するのみ、一方ＳＩＥＭは収集したログを自動で分析し既知の脅威や未知の脅威をリアルタイムで検知・遮断・通知を行ってくれます。

　

まとめ

ＳＩＥＭは、様々なネットワーク機器やアプリケーションのログを収集し一元管理を行います。

収集したログに対して高度な分析を行い異常を検知し管理者に通知することで迅速な対応を実現することが可能です。

また、ダッシュボード機能により、収集したログや検知した脅威を可視化することもできます。

ＳＩＥＭを正しく理解するために重要なポイントは、セキュリティの脅威を素早く検知し、その後の対応を迅速化することです。

他のセキュリティ機器のようにサイバー攻撃を未然に防ぐことではなく、攻撃を受けることを前提に設計されたシステムになります。

ただし運用するためには、導入前に相応の時間やコストが発生するため、企業の規模によっては決して導入しやすいハードルとは言えません。

サイバー攻撃の手法は、年々進化を続けているため完全に防ぎきることは不可能です。

そのため攻撃を受けた後の被害を最小限に抑え迅速に対応することが重視されています。

ＳＩＥＭを導入することで、サイバー攻撃を受けた際も最善の対応が可能になり、セキュリティ担当者の負担も軽減されるため今後より一層必要とされることでしょう。