SIEMとは?意味や機能、導入メリットと流れを解説
SIEMという言葉はセキュリティ業界ではメジャーな言葉ですが、他業界の方にとっては聞き馴染みのない言葉かと思います。
今回はそんなSIEMについて説明させていただき、皆さまにSIEMのイメージを持っていただければと思います。
Microsoft Sentinelの製品概要と活用支援サービスの詳細をまとめたPDFをダウンロード>>
SIEMとは?意味や定義をわかりやすく解説
SIEM(Security Information and Event Management)とは?
SIEMとは、日本語で「セキュリティ情報イベント管理」と呼ばれるセキュリティシステムであり、各種機器やソフトウェアからログなどのセキュリティ情報を収集し、そのデータを集約・監視・分析を行うことで脅威を検出します。
1つのシステムに情報を集約することで、組織内のセキュリティ状況を包括的に監視することができ、脅威の早期発見や詳細分析が可能となります。つまり、SIEMを活用することで、組織全体のセキュリティ態勢を強化することにつながります。
SIEMの必要性とメリット・導入効果
SIEMが必要とされる理由は多々ありますが、ここでは昨今注目されている2つの理由を紹介し、SIEMによってどのようなメリットや導入効果が得られるのかを説明します。
-
組織内で収集すべきセキュリティ情報が増加
PCやスマートフォンなどのエンドポイントはもちろん、ファイアウォールやプロキシなどのネットワーク機器、サーバーやアプリケーション、クラウドサービスといったさまざまなリソースから、組織はセキュリティ情報を収集する必要があります。
こうしたセキュリティ情報は年々増加傾向にあり、それを効率的に管理できるかどうかが、組織のセキュリティ運用コストに大きな影響を与えます。
そこで、SIEMによって組織内のセキュリティ情報を集約することで、これまで製品ごとに個別管理していたセキュリティ情報を一元的に管理できるようになり、セキュリティ運用を効率的に実施することにつながります。
製品ごとに異なる管理方法を用いていた場合、運用フローが複雑になったり、製品ごとに運用費が発生するなど、さまざまな課題が生じます。これをSIEMで統合管理することで、運用にかかる人件費や管理コストの削減につながり、長期的に見ると大きなコストメリットを得ることができます。
-
サイバー攻撃などの組織を狙った脅威が高度化
昨今では、ランサムウェアや標的型攻撃など、より巧妙で検知されにくい攻撃が増えています。攻撃の検知が遅れると、組織への被害は時間とともに拡大してしまうため、セキュリティ対策として高度な検知機能が求められています。
そこで、SIEMによって各種機器やソフトウェアをまたいだデータ分析(相関分析)を行うことで、一部の機器やソフトウェアからのセキュリティ情報だけでは検知が難しい高度な脅威も検出可能となります。
検知されない脅威は非常に厄介で、気づいた時には組織の機密情報が奪取されており、大きな損害につながる恐れがあります。
そのため、わずかな異変も見逃さずに検知し、脅威を早期に発見することにより、セキュリティリスクの低減や被害の最小化といったメリットが得られます。
SIEMの特徴
SIEMの特徴としては、これまで挙げた「データの集約」や「相関分析」など、さまざまな要素がありますが、それらを実現するための「データの正規化」も重要な要素となります。正規化は内部で行われるデータ処理であるため、あまり聞き慣れないものかもしれませんが、SIEMの基盤機能として欠かせない存在です。
本来、ログデータは機器やサービスごとにさまざまな形式で出力されており、このままの状態でデータを集約しても、分析などに活用するのは困難であり、十分に活かしきれないケースがほとんどです。そこで、正規化によって機器やサービスに関係なく、すべてのデータを同じ形式に変換することで、分析への活用や検索効率の向上といった、さまざまなSIEM機能の実現が可能となります。
Microsoft Sentinelの製品概要と活用支援サービスの詳細をまとめたPDFをダウンロード>>
SIEM製品の主な機能
ログ管理と長期保持
SIEMはまず、サーバーやネットワーク機器などの各種ハードウェア、クラウドサービス、アプリケーションといったさまざまなデータソースからログを集約します。集約されたログは、データソースに依存しない共通フォーマットのログとして正規化され、分析などに活用されます。
また、正規化される前の生ログを保管することも可能であり、フォレンジック調査やコンプライアンス監査に備え、数年単位での長期保持にも対応しています。これにより、過去のログに基づく傾向分析や、インシデント発生前後のログを時系列で詳細に振り返ることができ、インシデント対応の精度と透明性を高めることができます。
リアルタイム監視とアラート発報
SIEMは、収集したログに対してリアルタイムで監視・分析を行い、あらかじめ定義されたルールやしきい値を超えるイベントを即座に検知します。こうして検出されたイベントは、SIEM内でアラートとして生成され、ダッシュボードやメールなどの手段でセキュリティオペレーターに通知されます。
これにより、セキュリティオペレーターはインシデント発生直後から迅速に対応を開始でき、検知から初動対応までのリードタイムを短縮することが可能です。その結果、組織が受ける攻撃の拡大を抑え、被害を最小限にとどめることができます。
相関分析による高度な脅威検知
SIEMは、さまざまなログソースからログを集約・正規化することで、製品やシステムをまたいだ分析を可能にします。
代表的な分析手法として、集約された各種製品やシステムのログを、ユーザーIDやIPアドレスなどのキー情報で関連付け、あらかじめ定義された複合条件(相関ルール)に基づいて分析を行う「相関分析」があります。
これにより、単一のログでは被害が発生するまで検出できなかった攻撃や、正常な動作に紛れて見逃されがちな内部不正の兆候を検知できるようになり、組織に被害が及ぶ前の段階で対応することが可能となります。
ダッシュボードによる可視化
SIEMは、収集したログや検知結果を色分けやグラフ、チャートなどでわかりやすく可視化する「ダッシュボード機能」を備えています。
日々のインシデント件数やルールの適用状況、異常イベントの発生箇所などを一画面で把握できるため、セキュリティオペレーターは「今、何が起きているか」を瞬時に確認することができます。
また、過去のデータをグラフで比較することで、微細な変化の兆しにもいち早く気づくことができ、問題の早期発見や迅速な対応にもつながります。
SOAR連携で実現する自動化ワークフロー
SIEMで検知されたアラートをトリガーに、SOAR(Security Orchestration, Automation and Response)と連携して自動化プレイブックを実行します。具体的には、チケットの発行、エンドポイントの隔離、脅威インテリジェンスの更新など、一連の対応作業をワンクリック、または完全自動で実行することが可能です。
これにより、手動作業によるミスを削減しつつ、対応速度を劇的に短縮できます。SOCの運用負荷を軽減しながら、検知から対応までのプロセスを一貫して高速化することが可能になります。
Microsoft Sentinelの製品概要と活用支援サービスの詳細をまとめたPDFをダウンロード>>
SIEMと他のセキュリティ製品の違い
セキュリティ製品が数多く存在する現在、自組織においてどのようなセキュリティ対策が講じられており、何が不足しているのかといった情報を正確に把握していないと、いざSIEMの導入を検討しようとしても、その効果やメリットが自組織にとってどのようなものかが見えづらく、導入に踏み出しにくい場合があります。
そこで本章では、SIEMと他の代表的なセキュリティ製品との違いを紹介しながら、自組織で実施しているセキュリティ対策に対して、SIEMがどのような効果や価値をもたらすのかを説明していきたいと思います。
※TISでは、SIEM導入コンサルティングサービスの一環として、Microsoft社のSIEM製品である「Microsoft Sentinel」の導入に向けた支援サービスを提供しています。
サービスの詳細についてご確認されたい場合は、以下のリンクより「SIEM導入コンサルティングサービス」ページをご覧ください。
【サービスメニュー】Microsoft Sentinel向け活用サービス | Microsoft Sentinel向け活用サービス~SIEMを活用したセキュリティ高度化~ | Azure関連サービス:Microsoft Azure | サービス | ITソリューションのTIS株式会社
SIEMとSOARの違い
SIEMに最も近いセキュリティ製品として、SOAR(Security Orchestration, Automation and Response)があります。
SOARは多くの場合、SIEMとセット、あるいはSIEMのオプション機能として提供されており、SIEMとの併用が推奨される製品です。
SIEMによる高度な脅威検知は、検知能力が高まる一方でアラートの増加を招く傾向があります。アラートが増えれば、それに対応するセキュリティオペレーターの負担も増加し、必要となる人員の確保が課題となります。セキュリティ人材が不足している昨今では、適切な人材を増員することが難しいケースも少なくありません。
そのため、SIEMと併用が推奨されるSOARの役割が重要になります。SOARは、SIEMなどで検知された脅威に対して、検知後の対応を自動化することに特化した製品です。
たとえば、脅威が検知された際にオペレーターが手動で行っていた連絡作業などを、SOARにより自動化することができ、オペレーターの負担を軽減しつつ、迅速な対応が可能になります。
つまり、SOARによる検知後対応の自動化によって、SIEMで検知された多数のアラートに対しても、オペレーターの負担を抑えながら効果的に対応することが可能となります。
本コラムとは別に、SOARにフォーカスしたコラムも掲載しておりますので、SOARについて知りたい場合はこちらをご覧ください。
SOARとは?意味やメリット、導入の流れを解説 | 特集・レポート | ITソリューションのTIS株式会社
SIEMとEDRの違い
多くの組織では、PCやスマートフォンなどのエンドポイントを保護するために、EDR(Endpoint Detection and Response)製品を導入しているかと思います。
EDRは、エンドポイントに特化した監視・分析・調査を行い、脅威を検出するとともに、エンドポイントの隔離などを通じて脅威を排除することを目的とした製品です。
脅威の検出という点ではSIEMと類似した機能を持ちますが、SIEMとEDRの違いはその監視対象にあります。
EDRがエンドポイントのみを対象に監視を行うのに対し、SIEMはエンドポイントを含む多様な機器やソフトウェア、さらにはEDRそのものも含めて監視対象としています。
つまり、EDRはエンドポイントに特化したより高度な脅威検出を行い、その結果をSIEMが収集・統合することで、エンドポイントに限定されない広範な視点での分析が可能となります。
こちらもEDRにフォーカスしたコラムを掲載しておりますので、EDRについて知りたい場合はこちらをご覧ください。
EDR-現代の脅威とともにその機能と必要性、そして課題を知る | 特集・レポート | ITソリューションのTIS株式会社
SIEMとXDRの違い
XDR(Extended Detection and Response)は、EDRと同様の脅威検出や検出後の対応を、エンドポイントに限らず、メール、アプリケーション、ネットワーク、クラウドなどにも拡張して実現できる製品です。
この説明だけを見ると、検出から対応まで行える点でSIEMの”上位互換”のように感じられるかもしれませんが、実際には両者に得意分野があり、単純な上位互換とは言えません。
XDRの強みは、あらかじめ検出ロジックや対応処理が最適化されており、複雑な設計を必要とせずにすぐに利用できる点です。
ただし、対応範囲が特定のベンダー製品に限定される場合があり、そのベンダーの製品を利用していない環境では十分に機能を活かせないことがあります。そのため、XDRの導入には、対応製品への切り替えが必要となるケースもあります。
一方、SIEMの強みは、検出ロジックの柔軟なカスタマイズが可能であることや、XDRと比べて多種多様なベンダー製品・システムとの連携に対応している点です。
その反面、SIEM単体では検出後の対応(レスポンス)まで行うことは難しく、また、XDRに比べて設計や運用が複雑になる傾向があります。
このように、SIEMとXDRは類似する機能を備えているものの、それぞれ異なる強みを持っているため、両者を併用することで互いの弱点を補完し合う構成が現在の主流になっています。
したがって、既にXDRを導入している組織であっても、SIEMを導入することでXDRの効果をさらに高めることが可能となります。
こちらは、XDR製品やサービスの紹介ページを掲載しておりますので、XDRについて知りたい場合はこちらをご覧ください。
XDR製品・サービス一覧 | サービス | ITソリューションのTIS株式会社
Microsoft Sentinelの製品概要と活用支援サービスの詳細をまとめたPDFをダウンロード>>
TISのSIEM構築支援サービス(Sentinel)
ここまでSIEMについてご説明してきましたが、TISではさまざまなSIEM製品の導入・構築を支援するサービスを提供しています。
- Microsoft:Microsoft Sentinel
- Amazon Web Services:SIEM on Amazon Operations
- Google:Google Security Operations
- Palo Alto Networks:Cortex XSIAM(旧 Cortex XDR Cloud)
上記は、SIEM製品を提供する代表的なベンダーおよび製品の一部です。
今回はこの中でも、Microsoft社の「Microsoft Sentinel」に注目し、実際の製品に搭載されているSIEM機能がどのようなものか、ご紹介していきたいと思います。
Microsoft Sentinel
Microsoft Sentinelとは、Microsoft社が提供するクラウドネイティブなSIEM製品です。
クラウドネイティブであることから、ログ量の増加によりスケールアウトが必要となった場合でも、柔軟かつ容易に対応することが可能です。
また、SIEMとしての機能だけでなく、SOAR(Security Orchestration, Automation and Response)や、ユーザーの振る舞いを学習して異常な行動を検知するUEBA(User and Entity Behavior Analytics)といった機能も備えており、高度な脅威の検知から対応までを一貫して実現することができる製品です。
ログ収集「データコネクタ」
Sentinelでは「データコネクタ」を利用することで、各種ログソースとSentinelを接続し、ログの収集を行います。
Sentinelは多くのログソースに対応したデータコネクタをあらかじめ用意しており、必要な情報を設定することで、ログソースとの接続が可能になります。
接続に必要な情報はログソースによって異なりますが、たとえば同じMicrosoft製品であるMicrosoft Defender XDRの場合、Sentinelに取り込むログの種別を選択するだけで簡単に接続できます。
一方で、ログソースが外部製品(サードパーティ製品)の場合には、Sentinel側だけでなくログソース側での設定も必要となるため、接続にはやや複雑な手順が伴います。
<データコネクタの設定イメージ>
以下の画像は、Microsoft Sentinelにおけるデータコネクタの設定画面を示したものです。
この画面では現在「Microsoft Defender XDR」の項目のみが表示されていますが、「コンテンツハブ」から対応製品のコンテンツをインストールすることで、データコネクタや分析ルールなど、製品に関連する各種設定項目をまとめて利用できるようになります。
表示されたデータコネクタを選択し、必要な情報を入力してログソースとの接続が完了すると、ステータスアイコンがグレーからグリーンに変化し、対象となるログがSentinelに取り込まれるようになります。
脅威検知「分析ルール」
Sentinelでは、収集したログに対して監視・分析を行うために「分析ルール」を設定します。
分析ルールでは、KQL(Kusto Query Language)で記述されたクエリを用いてログの検索を行い、ルールに合致したログに対して脅威の検出やアラートの発報を実施します。
分析ルールの設定項目には、クエリの内容だけでなく、クエリの実行間隔やアラートのしきい値なども含まれます。これらを適切に調整することで、クエリを短い間隔で実行してリアルタイムに近い監視を実現したり、しきい値を工夫することで誤検知の削減を図るなど、用途に応じた柔軟なルール設計が可能です。
<分析ルールの設定イメージ>
分析ルールにはさまざまな設定項目がありますが、ここではコアとなる分析部分の代表的な項目をご紹介し、全体像のイメージを掴んでいただければと思います。
■ クエリの設定
まず中心となるのが分析クエリです。
クエリをゼロから作成しようとすると、難しく感じられるかもしれませんが、Sentinelでは製品ごとにテンプレートルールが事前に用意されており、よく使われるクエリがあらかじめ構築されています。
そのため、必要なルールを選択するだけで、クエリを編集せずにすぐに利用することが可能です。もちろん、独自の検索ロジックに基づいてオリジナルのクエリを作成することもでき、多様な要件に柔軟に対応できます。
■ クエリのスケジュール設定
次に、クエリのスケジュール設定です。ここでは主に以下の2つを設定します。
実行間隔:ログの検索をどれくらいの頻度で実行するかを設定します。間隔を短くすることで、リアルタイムに近い監視が可能となります。
参照範囲(過去データの対象期間):ログのどの期間までさかのぼって検索を行うかを設定します。例えば、1日を通して断続的に発生しているような脅威も、この設定により検知可能になります。
■ アラートのしきい値設定
最後に、アラートのしきい値の設定です。
ここでは、スケジュール内に実行されたクエリで、該当するログがどの程度の頻度で発生した場合にアラートとするかを定義します。
例えば「ログイン失敗」のケースを考えると、1回の失敗だけでは単なる操作ミスの可能性が高く、これに対して毎回アラートを出していては誤検知が増加し、セキュリティオペレーターの負担が大きくなってしまいます。
そこで、しきい値を「10回以上のログイン失敗」と設定することで、攻撃の可能性が高いパターンのみを抽出し、誤検知を抑えることができます。
Microsoft Sentinelの製品概要と活用支援サービスの詳細をまとめたPDFをダウンロード>>
可視化「インシデントの詳細」
データコネクタによるログ収集や、分析ルールによる脅威検知について説明してきましたが、これらによって検知された脅威に対して調査・対応を行う際には、「インシデント詳細画面」を使用します。
インシデントとは、複数のアラートを相関付けて、1つの脅威イベントとして統合的に扱うものです。
セキュリティアナリストはこの詳細画面から、以下のような調査・対応を行うことができます。
- インシデントおよびアラートの詳細確認
- 関連するエンティティ(ユーザー、デバイス、IPアドレスなどの脅威対象要素)の特定
- アラート発生の時系列による調査
- 調査グラフによる攻撃範囲や進行状況の可視化
これにより、アナリストは脅威の全体像を把握しながら、効率的かつ的確に対応を進めることが可能になります。
<インシデント詳細画面の確認イメージ>
今回は、複数のアラートからインシデントが生成された際に、インシデント詳細画面からどのような情報が得られるのかを、Microsoft Learn ページに掲載されている画像をもとにご紹介します。
Azure portal で Microsoft Sentinel インシデントを詳細に調査する | Microsoft Learn
インシデント詳細画面では、以下の5つの主要情報を一目で把握できます。
① インシデント概要
「いつ」「どこで」「何に対して」「どのようなインシデントが発生したのか」といった基本情報を確認できます。
作成時間・最終更新時間:いつ発生・更新されたか
アラートの発生元製品名:どの製品で発生したか
影響を受けたエンティティ(ユーザーやデバイスなど):どの対象に影響があるか
インシデント名・証拠(evidence):具体的な脅威の内容
② タイムライン
インシデントに含まれる複数のアラートを時系列順に可視化し、攻撃の流れや相関関係を直感的に把握できます。
これにより、セキュリティオペレーターは攻撃の全体像を把握しながら、調査・対応をスムーズに進めることが可能です。
③ エンティティ
アラートから特定された影響を受けるエンティティの一覧を表示します。
さらに、個別のエンティティを選択することで、詳細情報やそのエンティティに関連したタイムラインを確認でき、エンティティベースでの調査・対応が可能です。
④ 類似インシデント
直近で発生した類似インシデントを一覧表示します。
これにより、同様の攻撃から組織の脆弱性を把握したり、共通するエンティティに対する攻撃パターンを把握することで、より的確な対応を検討できます。
⑤ 上位の分析情報
機械学習分析などに基づき、インシデントに関連する補足的な情報が自動で提示されることがあります。
これらは、調査のヒントや対応方針の判断材料として、オペレーターの作業を支援する役割を担います。
このように、インシデント詳細画面は単なる情報の集約にとどまらず、調査の起点から深掘り・相関分析・意思決定支援までを一画面で行える非常に重要な機能となっています。
Microsoft Sentinelの製品概要と活用支援サービスの詳細をまとめたPDFをダウンロード>>
Microsoft Sentinelをさらに知りたい
今回は、SIEMの観点にフォーカスしてMicrosoft Sentinelをご紹介してきましたが、Sentinelはこのほかにも、SOAR(Security Orchestration, Automation and Response)やUEBA(User and Entity Behavior Analytics)といった高度な機能を備えたセキュリティ統合プラットフォームです。
こうした機能に関心のある方や、Sentinelの導入をご検討されており全体像を把握したい方に向けて、弊社では以下のコラム・サービス紹介記事をご用意しています。ぜひご覧ください。
- Microsoft Sentinelについて
Microsoft Sentinelとは?主な機能、料金計算と導入について | 特集・レポート | ITソリューションのTIS株式会社 - TISのSentinel導入支援サービスについて
Microsoft Sentinel向け活用サービス~SIEMを活用したセキュリティ高度化~ | Azure関連サービス:Microsoft Azure | サービス | ITソリューションのTIS株式会社
著者
IT基盤技術事業本部 IT基盤サービス事業部 セキュリティーソリューション部 栁津 雅也