1.利用可能なすべての情報源からデータを収集して管理する

現代の脅威は、一般的に複数のデータソースにわたって発生します。次世代SIEMが効果を発揮するには、あらゆるデータソースにアクセスして、データを分析して相互に関連付けできる必要があります（図1参照）。これには、クラウドサービスデータ、オンプレミス（自社）のログデータ（セキュリティ制御、データベース、アプリケーションログ）、ネットワークデータ（フロー、パケットなど）が含まれます。

図1：次世代SIEMは、あらゆるデータソースに簡単にアクセスできる必要がある

また、データの一元管理とリモート管理も必要です。すべてのコネクタを構成して稼働させれば、どこからでも簡単に管理（開始、停止、更新、再構成）できるようになります。

2.十分に吟味されたビッグデータアーキテクチャ

多くの従来型SIEMは2000年代前半に構築され、各社独自のテクノロジーを使用しています。当時と今では、技術的に大きな違いがあります。Hadoop、Mongo、Elasticsearch、Sparkなどのプラットフォームは、当時は存在すらしていませんでした。

収集されるデータの量を考えると、今必要なのはデータをスケーリングし、その中でピボットし、高度なデータサイエンスアルゴリズムを活用できるビッグデータアーキテクチャです。

3.ログ取り込みに対するフラットな課金

多くの従来型SIEMは従量課金制を採用しています。データを多く収集すればするほど、組織にかかるコストが高くなります。つまり、図2に示すように、データソースの数を増やさなくても、おそらくわずか数年でコストが大幅に増加することになります。

図1：次世代SIEMは、あらゆるデータソースに簡単にアクセスできる必要がある

例えば、ファイアウォールを最新のモデルに更新すると、ログが10倍に増える場合があります。従量課金では、SIEMライセンス料金も自動的に増えてしまいます。定額モデルなら、取り込むデータを選ぶのではなく、あらゆるソースからデータを取り込みつつ、予算内に抑えることができます。

4.ユーザおよびアセットコンテキストのエンリッチメント

収集するあらゆるデータから有用な結果を引き出す、高度なエンリッチメントが必要です。データサイエンスの進歩により、これまでは経験豊富なアナリストが相互関連付けを行わなければ入手できなかった、以下のような様々な分析情報が得られるようになっています。

• Dynamic Peer Grouping
• IPアドレスと、ユーザ、マシン、タイムラインとの関連付け
• アセットの所有権の追跡
• ユーザやマシンの種別とアクティビティとの関連付け
• サービスアカウントの識別
• 個人メールアドレスと従業員との相互関連付け
• バッジステーションのログアクティビティと、ユーザアカウントおよびタイムラインとの関連付け

コンテキストや意図を理解するSIEMを利用することで、アセットの所有権、ユーザのログイン場所、ピアグループ、その他の情報を検索し、異常な挙動の発見に役立てることができます。

5.ユーザとエンティティの行動分析

最新のSIEMでは、機械学習、統計分析、行動モデルを通じて行動の基準を定義します。これを、UEBA（ユーザとエンティティの行動分析）といいます。

いったんUEBAによって正常な行動を評価すると、異常な行動にリスクスコアを割り当て、指定したしきい値を超えるアクティビティや行動を公開することができます。例えば、いつも米国からログインするユーザが初めて中国からログインした場合、そのような異常行動は攻撃が進行中であることを示しているおそれがあります。

図3：VPNアクセスに基づいたユーザの異常行動の表面化

6.ラテラルムーブメントの自動追跡

過去のインシデントの研究により、攻撃の約60%は「ラテラルムーブメント」を伴うことが判明しています。これは、攻撃者が認証情報、IPアドレス、アセットを切り替えることで、検知の回避や、より高度なアクセス権の獲得を試みる行動です。ラテラルムーブメントを最初から最後まで効果的に追跡するには、そのような関連イベント同士をまとめる機能がSIEMに備わっている必要があります。

7.セキュリティ情報モデルの向上

従来型のSIEMは、おおむね個別のイベントに基づくセキュリティモデルを採用しています。一連のイベントを、構造化された行動のタイムラインに手動で変換するには、非常に多くの時間が必要です。高度な分析を行うためには、セキュリティデータを有用な形式で保存する必要があります。例えば、監視している各ユーザまたはエンティティのスコープ全体が含まれるタイムラインで保存する必要があります。必要なすべての情報をこのように整理することで、異常なイベントを明るみに出す際に、エキスパートシステムが完全なコンテキストをただちに提供することができます。

8.事前構築済みのインシデントタイムライン

一般的に、従来型のSIEMを利用する際には複雑なクエリを組み合わせ、その後で各ソースから共通ファイルに大量のコピー＆ペーストを行う必要があります（リポジトリとして、テキストエディタがよく使われます）。このような調査を行うには、非常に多くの時間、セキュリティ分野に関する深い専門知識、クエリ言語の習熟、結果を解釈する能力が必要です。これらのスキルを備えたエンジニアは人件費が高いうえに、人数も不足しています。

最新のSIEMは、エンリッチメントされたデータが適切な情報モデル内に豊富にあれば、利用可能なあらゆるコンテキストを、簡潔かつフレンドリーなUIで、1つの画面にまとめて提示できます。

図4：ラテラルムーブメントを含むあらゆるイベントを統合する事前構築済みのタイムラインによる、
調査の大幅な合理化

9.インシデントの優先順位付け

SOCが分析する必要のあるデータの量は膨大です。大企業であれば、毎日数億件のログエントリーを生成していることも珍しくありません。

図5：良好に機能する最新のSIEMは、数百万件のログをフィルタリングし、
調査を要する適切なセキュリティチケットのみを生成できる

最新のSIEMは、管理者がドメインのコントロールを取り戻せるくらいにまでS/N比を削減するように設計されています。誤検知を排除し、異常行動のイベントにのみ注目できるようにすることが、堅牢なセキュリティ、スタッフの効率的なパフォーマンス、コストの抑制のためにきわめて重要です。

通常どおりの1日の場合、クラス最高のSIEMソリューションは5億件のログエントリーを6万件のセッションタイムラインに削減し、さらに50件未満の注目イベントのみを明るみに出すことができます。ここから、10件余りのチケットが調査のために生成されることがあります。

10.SOAR（Security Orchestration, Automation, and Response）

SIEMベンダーはこの機能に様々な略称を使用しています。この機能は2つの主な分野で構成されています。

• オーケストレーション
• 1. 事前構築済みのコネクタをITおよびセキュリティインフラストラクチャに展開し、お客様自身がコネクタのスクリプトを書く必要がない
  2. アクセス管理システム、ファイアウォール、メールサーバ、ネットワークアクセスコントローラー、その他の管理ツールに簡単にデータを出し入れ

• オートメーション
• 1. レスポンスプレイブック（対応手順書）を使用して、特定の脅威タイプへの最善の対応をコード化
  2. オーケストレーションの仕組みにプラスされる形で、ワークフローの自動化を実現
  3. 従業員の労力を削減しつつ、脅威対応の自動化を実現
  4. すべてのツールを1か所から管理可能

高度なSOARソリューションを導入すると、高度なスキルを備えたアナリストがプレイブックを作成し、経験の浅いアナリストがプレイブックを実行できるようになります。解決までの時間を短縮しつつ、フルタイム従業員の労力を削減することができます。

以上のような10個の重要な機能を提供するSIEMソリューションにアップグレードすると、ますます高騰する高度なスキルを備えたセキュリティアナリストの人件費や、時代遅れの大量のログや課金モデルを必要とせずに、拡大を続ける脅威に対応することができます。

ORION CASSETTO
Exabeam, Inc. ディレクター、プロダクトマーケティング

お問い合わせ先