あらためてSIEMの効果と限界について知る

ここ数年の間で、「SIEM」と呼ばれるセキュリティ製品が広く使われるようになりました。SIEMという名称は“Security Information and Event Management”の略で、その名の通りセキュリティ情報の分析・収集とイベント管理を一手に担う製品・サービスのことを指します。具体的にはファイアウォールやIPS、ルーター、スイッチなど、さまざまなセキュリティ製品やネットワーク機器、サーバーからログ情報を収集し、イベント管理と組み合わせて一元管理できる仕組みを提供します。

近年のSIEMは、単にログを一元管理するだけに留まらず、不正を検知した際に複数のログの間の相関関係を分析し、その結果をアラートで通知したりレポーティングできる機能まで備えています。これまで人手でログ分析を行っていたSOCなどの現場ではこうした機能が重宝されており、現在急速な勢いでSIEMの導入が進んでいます。

ただし、SIEMは決して万能なソリューションではありません。確かにSIEMは、さまざまな製品からログを1カ所に集めて俯瞰することで、これまで製品単体では検知できなかった脅威を可視化してくれます。しかしその半面、もとの情報はあくまでも各製品内にあり、SIEM上に集まってくる情報は大抵の場合、間引きされたり要約されるなど粒度が荒くなっています。そのため、いざインシデントが発生した際に詳細な分析を行い、感染経路や影響範囲を特定するには、情報が不足する場合があります。

また、インシデントとは直接関係のないデータも広く収集するため、脅威とは無関係のアラートも多く発生します。そのため、拾うべきアラートと無視すべきアラートを見極めるために、少なからぬ手間を要します。場合によっては、無関係なアラートが大量に発生するあまり、本当の脅威を示すアラートが埋もれてしまい、結果的に対応が遅れてしまう可能性もあります。

SIEMに足りない部分をEDRで効果的に補完する

このようにSIEMは、長期間に渡ってデータを保管・分析して傾向を見たり、コンプライアンス対応やレポーティング、監査対応などのためにログを保管しておくためには極めて有用な仕組みですが、一方で脅威を迅速に検知したり、インシデントが発生した際に素早く状況を分析するための仕組みとしては不十分な面もあります。そうした部分に関しては、別のソリューションを導入して補完してやる必要があります。

そのために現時点で最も適したソリューションの1つが、EDR(Endpoint Detection and Responce)です。EDRは、PCやサーバーなどのエンドポイント端末を常時監視して、もし疑わしい動きあった場合は即座に脅威を検知できるソリューションです。例えば弊社が提供するEDR製品「Cybereason EDR」を導入すれば、SIEMに送られる前のエンドポイント上の詳細なログを基に脅威の分析を行い、より確実に脅威の発生や予兆を検知できます。また脅威とは無関係なアラートの発生も最小限に抑えられるため、大量のノイズアラートの中で真の脅威を示すアラートが埋もれてしまうような事態も防ぐことができます。

さらにCybereason EDRは、検知した脅威が攻撃全体の中のどの段階に対応しており、よって現時点でどの程度の危険度があるのかも明確に示してくれます。またその脅威がシステムのどの範囲に影響を及ぼすかも、直観的に分かりやすいビジュアルな形で示してくれます。こうした機能を活用することで、いざインシデントが発生した際の初期対応を迅速に行えるようになります。

このように、EDRはSIEMの足りない部分を効果的に補完してくれます。短期的な対応のためのEDR、中長期的な対応のためのSIEMの両者を組み合わせることで、隙のない包括的なセキュリティ対策が可能になることでしょう。

代表的なSIEM製品との連携インタフェースを備える「Cybereason EDR」

またEDRとSIEMは、「セキュリティ情報の提供元と提供先」という関係にもあります。SIEMは、さまざまなセキュリティ製品・機器からログ情報を収集しますが、EDRもその1つです。事実、Cybereason EDRもさまざまなSIEM製品・サービスと連携して、ログ情報を受け渡せるようになっています。具体的には「IBM Qradar」「Splunk」「Exabeam」といった代表的なSIEM製品との連携アプリやAPIがすでに用意されており、最小限の手間でアラート情報を受け渡せるようになっています。またこれら以外のSIEM製品も、REST APIを用いて連携インタフェースを別途実装することができます。

ただし、Cybereason EDRをSIEM製品と連携させる際には、若干の注意が必要です。というのは、Cybereason EDRからは、一般的なセキュリティ製品よりも多くのログ情報が出力されるからです。具体的には、ネットワークゲートウェイ系の機器から出るログのすべてを合わせるよりも、2倍の量がCybereason EDRから出力されると言われています。これだけ大量のログ情報をSIEMで管理するとなると、ストレージやSIEMソフトウェアのライセンスに掛かるコストや、膨大な量のログの解析にかかる時間などを慎重に考慮する必要が出てきます。

現実的には、ログ情報をそのままSIEMに送るよりは、アラート発生時の概要データのみをSIEMと連携し、詳細な解析はCybereason EDRのコンソールで行うことが多いようです。大まかな切り分けや解析はSIEMで行い、さらに深堀りしたい場合はCybereason EDRのコンソールを使うという具合に、必要に応じて両者を使い分けるわけです。このようにSIEMとEDRの特徴をあらかじめきちんと把握し、互いをうまく使い分けることで、普段のセキュリティ運用を大幅に効率化できることでしょう。

ホワイトペーパー「SIEMとEDRが担うべき正しい役割」

このホワイトペーパーは、SIEMおよびEDRの両テクノロジーの相互補完的な利用に関する論理的根拠を確立することを目的としており、SIEM、EDR、およびSOARのカテゴリーのいずれかに属しているユースケースを紹介するほか、それらすべてのカテゴリー間における統合やコラボレーションについても説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3436/

ホワイトペーパー「SIEMとEDRが担うべき正しい役割」