What is Security Information and Event Management?

セキュリティ情報・イベント管理（SIEM）は、ログやイベントデータを収集・統合し、ITチームやサイバーセキュリティチームが潜在的な脅威や脆弱性をプロアクティブに認識し、対処できるようにします。

What does SIEM stand for?

SIEMとは、Security Information and Event Management（セキュリティ情報およびイベント管理）の略。

セキュリティ情報とイベント管理

セキュリティ情報とイベント管理とは何か？

セキュリティ情報・イベント管理（SIEM）は、ログとイベントデータを収集・統合し、セキュリティ・オペレーション・センター（SOC）が潜在的な脅威や脆弱性をプロアクティブに認識し、是正できるようにします。SIEMソリューションは、セキュリティ情報管理（SIM）とセキュリティイベント管理（SEM）を単一の統合プラットフォームに統合し、セキュリティログを収集し、リアルタイムでネットワークアクティビティを監視します。当初は単純なデータ管理とセキュリティ・アラート・システムの形態でしたが、SIEM ソリューションはその後、UEBA（User and Entity Behavior Analytics）やより高度なデータ・オーケストレーションなどの機能を組み込むように進化してきました。

SIEMは、セキュリティ・インシデントをより適切に特定、追跡、対応するために必要な洞察と情報を提供します。

SIEMのメリット

SIEMの主な利点は以下の通りである：

組織のネットワーク・インフラ全体にわたるリアルタイムの脅威検知
セキュリティインシデントやイベントの平均検出時間と平均対応時間が大幅に改善された
一元化された監査とレポーティングによる規制遵守の合理化
潜在的な脅威を含む、セキュリティデータの単一で統一されたビュー。
高度な脅威インテリジェンスへのアクセス
ユーザー、デバイス、アプリケーションのモニタリングにおける透明性の向上
より簡単で効果的な事故後の調査

SIEMの仕組み

SIEM ソリューションは、ログとイベント・データを集約・分析し、人手が気付かない可能性のある脅威を特定します。SIEMソリューションが収集するデータの範囲は一般的に非常に広く、システム、アプリケーション、デバイス、セキュリティ・ツールからのログが含まれます。SIEMツールはまた、ログインの失敗や悪意のある活動の可能性など、事前に定義された特定の脅威にフラグを立てるように構成されています。

SIEM ツールが潜在的な脅威を特定すると、セキュリティアラートが生成され、通知として SOC に転送されます。これらのアラートは一般に分類されておらず、カテゴリ分けもされていませんが、セキュリティチームは事前に定義されたルールセットを適用することで、インテリジェントな優先順位付けを行うことができます。例えば、ログインに3回失敗し、その後1回成功したユーザは、パスワードを忘れただけである可能性が高い。

SIEMの特徴と機能

SIEMツールの中にはより高度なものもあるが、どのツールも最低限以下の基本的な機能を備えている。

ログ管理

SIEMソリューションは、組織のネットワーク全体からイベントデータを収集し、その情報をリアルタイムで保存・分析する。このデータの範囲は通常非常に広く、ユーザー、アプリケーション、物理資産、仮想資産、クラウド環境、セキュリティツール、ネットワーク資産によって生成された情報が含まれる。SIEM ソリューションは通常、コンプライアンス目的でこのデータを分類して保存する。

SIEMプラットフォームの中には、外部の脅威データやサードパーティの脅威インテリジェンスを組み込んでいるものもあるが、この機能は通常、セキュリティ・オーケストレーション、自動化、レスポンス（SOAR）ツールに留保されている。

イベント相関

イベント相関は、SIEM の分析部分が登場するところです。SIEMソリューションはイベントデータを収集しながら、潜在的な脅威の存在を示す可能性のあるデータのパターンを特定する。SIEMにUEBAとサイバーセキュリティAIを適用することで、この機能はさらに強化され、SIEMツールは組織のネットワーク上の各ユーザーとシステムのベースラインを作成し、このベースラインからの逸脱に不審の可能性があるとしてフラグを立てることができる。

インシデント・モニタリング

SIEMプラットフォームは、ログやイベントデータを受動的に収集するだけではありません。各社内資産をリアルタイムで能動的に監視します。これにより、セキュリティチームはネットワークの可視性が大幅に向上するだけでなく、インシデントや脅威の発生をより効果的に監視・管理できるようになります。

セキュリティ・アラート

SIEMソリューションが潜在的な脅威を検出すると、組織のセキュリティチームに通知するための通知が生成される。そのままでは、アラートの重要度や優先度はほとんど区別されません。IT担当者は、通知疲れの可能性を減らすために、追加のルールを適用する必要があるかもしれない。

コンプライアンス管理と報告

SIEM はイベントデータをどのように統合して保存するかによって、組織のコンプライアンスへの取り組みをサポートするのに適しています。ほとんどの SIEM プラットフォームは、GDPR、HIPAA、SOX、PCI-DSS など、複数の基準に対するコンプライアンス・レポートをリアルタイムで生成できます。また、潜在的なコンプライアンス違反や脅威を検出し、警告するように事前に設定することもできます。

SIEMとXDRの比較

Extended Detection and Response（XDR）は、どちらも複数のソースからデータを収集、集約、分析するため、表面的にはSIEMと共通点が多い。しかし、XDRはSIEMよりもかなり高度である。例えば、SIEM ツールでは、複数のエンドポイントや環境にまたがるサイバー脅威に対するリアルタイムの対応を自動的に編成することはできませんし、脅威を無力化するためにネットワーク防御をプロアクティブに調整することもできません。

最も先進的なSIEMツールでさえ、主に検出と優先順位付けの手段として存在しているのであって、修復の手段として存在しているわけではない。

XDRは、SIEMとは若干焦点が異なるため、完全な代替品として扱うべきではない。SIEMがログとイベントの管理に重点を置いているのに対し、XDRはエンドポイントセキュリティと脅威インテリジェンスに重点を置いている。SIEMソリューションは、XDRプラットフォームが利用できる脅威インテリジェンス・フィードを追加で提供することができるため、この2つは互いにうまく連動します。

SIEMとSOARの比較

XDRと同様、SOARはSIEMよりもかなり広い範囲をカバーする。内部ソースだけでなく、サードパーティの脅威インテリジェンスや外部ツールからも情報を引き出します。また、組織のSOC向けにインテリジェントなアラートの優先順位付けと事前定義された調査パスを提供する。ここでもXDRと同様、違いはほぼ補完的である。

SOARはSIEMより優れているわけではない。SIEMツールは潜在的なインシデントに関するインテリジェントなアラートを提供するが、SOARプラットフォームはそれらのアラートにさらに優先順位をつけて管理することができる。

最終的に、サイバーセキュリティのインシデントとイベント管理に対する完全なアプローチは、SIEM、SOAR、XDRを、対立するソリューションとしてではなく、まとまった全体の一部として組み込むことになる。

CylanceGUARD 24x7x365 サイバーセキュリティ

大企業も中小企業も、増え続けるデバイスと戦っており、それぞれが攻撃対象として増えている。同時に、ほとんどの企業はサイバーセキュリティのスキル・ギャップとリソース不足に直面している。サイバーセキュリティの人材確保は、中小企業にとって特に厄介な問題です。

人間中心のサブスクリプション型24時間365日マネージドXDRサービス、 CylanceGUARD^®は、企業が必要とする専門知識とサポートを提供します。CylanceGUARD が具現化する包括的な専門知識と、AI ベースのエンドポイントプロテクション（EPP）を組み合わせています。 BlackBerry Cybersecurity Servicesを通じたAIベースのエンドポイントプロテクション（EPP）と組み合わせています。 CylancePROTECT^®による継続的な認証と分析 CylancePERSONA^™による継続的な認証と分析、そして CylanceOPTICS^®.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーをビジネスに提供します。

詳細はこちら