中小企業は、まさにこの理由でSIEMの運用がより困難となっています。資金面での制約があるため、ソフトの維持費用や継続運用のための人材採用コストを負担できないのです。
SIEMの展開に関する懸念
この製品は、現代のセキュリティ基盤にとって大変重要な要素です。その機能は、貴社のセキュリティ向上に大いに寄与する可能性があります。しかし、ソフトが複雑なため、必ずしもSIEMの成功裏の展開が保証されるわけではありません。最悪の場合、セキュリティ環境をかえって複雑化し、新たな問題を引き起こすこともあります。
以下に、システムの主な制約を示します:
セットアップの遅延
SIEMは、即座に運用開始できるソフトではありません。多くの企業は、導入に長い時間がかかることに気づいていない場合があります。まず、目標を明確にするための綿密な調査と計画フェーズがあり、既存資産の全てを把握する必要があります。その際、適切なソフトが未導入の場合は、新たに投資する必要があるのです。
導入段階では、SIEMシステムやプロセスの実際の展開と、調査・計画段階で立てた前提の徹底検証が行われます。
その後、制御された展開段階に移行し、SIEMのプロセス、手順、運用を段階的に導入していきます。こうすることで、統合のスムーズさや最適な設定が保証されるのです。
以上を踏まえると、効果的に機能するSIEMの導入には通常、数か月を要します。初期の計画や連携が不足すると、業績に悪影響を及ぼす可能性があります。
専門スタッフの必要性
多くのSIEMプロセスは自動化されているものの、設定や最適化には熟練したアナリストが必要です。効果的な運用を実現するためには、場合によっては8名ものフルタイムのセキュリティアナリストが求められることもあります。経験豊富なセキュリティ専門家が不足しているため、SIEMの運用維持が困難となるケースが見受けられます。
さらに、SIEMは即時のセキュリティ脅威アラートを提供しますが、この機能を活用するには24時間体制の監視が必要です。一般の従業員には技術的なプロセスに対応する訓練が不足しているため、人的資源の問題が一層深刻化します。その結果、多くの部署で導入後すぐに過労が発生してしまいます。
終わりなき改良フェーズ
SIEMプロセスの業務は決して完結しません。初期導入の後は、システムの監視や微調整を続ける改良フェーズが始まります。
新たなセキュリティポリシーやコンプライアンス手続きへの対応が常に求められ、組織構造も変化するため、小さな変動が全体に影響を及ぼすことがあります。そうした場合、SIEMは変化に合わせて最適化し、効果的なセキュリティ性能を維持しなければなりません。
この継続的なメンテナンスは、常に費用がかかることを意味し、SIEMのもう一つの制約となります。
維持費用
比較的新しいにもかかわらず、SIEMソフトは世界の企業向けセキュリティ支出の20億ドル以上を占めています。アプリを運用する企業にとって、年間費用は組織規模により数万ドルから10万ドル以上にのぼり、ソフトやハードのコストに加え、システムの導入、管理、監視にかかる人件費も含まれます。
熟練人材の採用は高額であり、社内での研修も追加費用が必要です。そのため、小規模な企業が投資を控えるのも無理はありません。
SIEM統合を進めることは、貴社が管理する事項を一層増やすことになります。このため、SIEMを展開するかどうかの判断は、現在のセキュリティ体制の見直しと長期的な取り組みが必要な複雑な問題です。多くの組織が途中で進捗が停滞または中断してしまい、投資額が大きいことから、失敗したSIEMは貴社のROIに悪影響を及ぼすことになります。
限定された文脈情報の問題
SIEM利用者が抱える大きな課題のひとつは、関連するセキュリティ事象の診断や調査が難しい点です。SIEMアプリは、重要なデータとそうでないデータを区別できず、受け取る情報の質に依存してしまいます。
たとえば、あるIPアドレスからのネットワーク活動の増加が示されても、そのトラフィックの原因となるユーザーやアクセスされたファイルは特定されません。実際、その事象は重大なデータ窃盗か、許可されたデータ転送のいずれかに該当する可能性があります。もし後者であれば、文脈情報の不足したアラートにより、ITチームが無駄な調査に追われることになります。
許可されたファイル活動と実際の悪意ある脅威を区別できず、アラームが頻繁に作動すると、次第にセキュリティチームが慣れてしまい、SIEM自体の価値が損なわれる恐れがあります。
SIEMの価値を最大化する
SIEMの真価を引き出すためには、どの課題に取り組むべきかを見極める必要があります。SIEMは、ダッシュボードウィジェット、アラートレポート、保存済み検索など、既製のソリューションを備えています。しかし、マルウェア対策のように共通の問題に対処するアンチウィルスソフトとは異なり、SIEMは文脈に依存する側面が強いのです。
持続的な価値を得るためには、ソフトを貴社固有の課題や変化するニーズに合わせてカスタマイズする必要があります。SIEM管理者は、通常時と定義されたセキュリティ事象時の企業システムの挙動を示すプロファイルを作成することで対処します。幸い、システムには既定のルール、アラート、レポート、ダッシュボードが組み込まれており、各企業が細かく調整することが可能です。これにより、貴社の使用ケースを明確にできます。
例えば、取引詐欺に懸念がある企業では、SIEM管理者が一定期間内に平均取引額を所定の割合以上上回る活動に対してアラートを発する相関ルールを設定することが可能です。
さらに、次世代SIEMも存在
従来のSIEMが、文脈情報不足、対応の遅れ、セキュリティワークフローの問題などを解決できない中、現代のSIEMはユーザーイベント行動分析(UEBA)やセキュリティオーケストレーション・自動化(SOAR)などの先進技術を搭載しています。
以下に、次世代SIEMの利点を示します
複雑な脅威の識別
現代のSIEMは、自動的な行動プロファイリング機能により、内部脅威、標的型攻撃、詐欺などの高度な攻撃を検知します。UEBAを活用し、AIやディープラーニングにより人間の行動パターンを監視することで実現されています。
資産の挙動分析
行動パターンの検知能力は、企業内の重要資産にも及びます。SIEMは、ネットワーク機器それぞれの特徴的なパターンを学習し、脅威を示唆する異常な活動を見つけ出します。
大量データでの効果発揮
企業は日々膨大なデータにさらされ、その量は増加の一途をたどっています。現代のSIEMは、データが多ければ多いほどその性能を発揮します。より多くのデータが解析担当者に詳細な視点を提供し、IT担当者が脅威に迅速に対応できるようになるのです。
柔軟性と拡張性の向上
企業が成長するにつれて、拡大に対応できるシステムの必要性も高まります。SIEMは、業務の変化に合わせて成長する能力が向上しており、オンプレミス、クラウド、さらにはハイブリッド環境での展開が可能です。機械学習やAIの導入により、実装期間の短縮や維持管理負荷の軽減も実現されています。
調査能力と対応の強化
SOARにより、次世代SIEMは企業システムと連携し、攻撃者が手を動かす前に影響を受けた資産に対して自動で対応が可能です。攻撃者は、IPアドレス、認証情報、各種機器を頼りにネットワーク内の重要資産を探索するため、SIEMはITインフラ全体のデータを分析して横展開を検知し、他のセキュリティ技術と連携して初期対応を自動化します。
セキュリティ人員の削減
現代のSIEMは、高度な自動化によりセキュリティアナリストの負担を大幅に軽減します。機械学習の能力により、多くのプロセスを自動で処理できるため、手作業による介入が不要となります。脅威検知力、文脈把握、行動分析の向上により、必要なセキュリティ人員が大幅に削減され、その結果、維持費用も軽減されます。
ルールや署名に頼らない検知
相関ルールだけでは、複雑な攻撃の文脈を十分に把握できない場合が多々あります。従来のSIEMが特定用途向けにカスタマイズされていなければ、未知の事象を見逃す可能性もあるのです。さらに、高度な攻撃者は既知の署名を回避する手法を用いることもあります。
新たなSIEMプラットフォームは、機械学習によって事前定義された攻撃署名に頼らずに事象を検知します。また、内部脅威の検出やコンプライアンス遵守といった既定の使用ケースも装備しているため、ログ収集後すぐにシステムとITアナリスト双方の生産性が向上します。
安定した価格体系の保証
従来、データ使用量に基づくSIEMの料金は予測が困難でした。データ増加を見越せず、システムの総維持費を算出することは難しかったのです。しかし、現代のSIEMは、ログ送信機器の数に基づく料金体系が採用されており、IT資産をしっかり把握することで所有コストを予測しやすくなっています。さらに、セキュリティの拡大に伴うハードウェア強化費用の管理も容易です。
結論 - なぜSIEMが必要なのか?
技術革新が絶え間なく進む現代、企業はこれまで以上に多くのデータを収集しています。そのため、行動やセキュリティ事象を一元管理できる中核的なセキュリティソリューションの重要性はさらに高まっています。SIEMの制約にもかかわらず、多くの企業がSIEM導入で大きな成果を上げています。
次世代SIEMの登場により、膨大なデータから事象同士の関連性を見出す能力はさらに向上しました。十分な理解と継続的なメンテナンスが前提となれば、適切に導入されたSIEMは企業のセキュリティ基盤に計り知れない価値をもたらします。
FAQ
参考資料
最新情報を購読
