組織のデジタル資産は、セキュリティ情報イベント管理(Security Information and Event Management、SIEM)ソリューションを利用することによって、より適切に保護できます。SIEM は、複数の情報源からの重要なデータを集約し、IT部門がセキュリティ関連の脅威を検出、防止、低減できるようにするためのアラートを提供します。
今日のサイバー犯罪環境では、新たな脅威が絶えず出現しており、ハッカー仲間から称賛を得たくて熱心にあの手この手を考えるハッカーも存在するため、さらに工夫や分析を追加していく必要があります。SIEM コンソールの前に座れば、必要なすべての情報が魔法のようにすぐに表示されるというものではありません。
セキュリティインシデントに関して有益な分析を提供するツールの1つにログ管理があります。SIEM ベンダーは通常、ログ管理をソリューションに組み込んでいますが、期待する要件を満たさない可能性があります。
- SIEM システムでは収集されるログの詳細さに制限があることがあり、貴重な情報が見逃される可能性があります。その場合は、詳細な分析が行えず、ログイベントを迅速に解明できません。
- SIEM ソリューションは、ハッカーがログインしようとしていないかをチェックするために、軽量のエージェントソフトウェアを使用することがよくあります。システムへのアクセスを獲得したハッカーが、エージェントを完全にシャットダウンする可能性もあります。
- テクノロジーは完璧ではありません。SIEM ソリューションでは、ネットワークインフラストラクチャからのノイズで、誤検知が発生することがあります。
- ログを正しく分析するには、組織に適したものにするための広範なカスタマイズが必要です。デフォルト設定だけで必要な詳細ログを得られることはめったにありません。
このような、SIEM ソリューションの一部としてのログ管理とは異なり、ログ管理ソリューションは、すべてのタイプのログとイベントデータをキャプチャし、よりきめ細かい検索機能と実行可能な修復手順を提供します。SIEM エージェントがハッカーによってシャットダウンされ、情報の送信が停止した場合に備えて、ログ管理ソリューションに別のアラームを設定することもできます。
SIEM とログ管理: 相補的なソリューション
SIEM ソリューションは通常、セキュリティに関連する問題への警告を出すことに主眼を置いています。ですが、多発する警告すべてにやみくもに対応しようとするのは効率が悪く、IT部門の生産性が問われます。SIEM が提供する情報を効果的に利用して適切な行動に結び付けるには、問題を適切に絞り込むための広範囲の可視性が必要です。
SIEM とログ管理を組み合わせることで、両方の長所を引き出すことができます。
- 複数のシステムからのログ情報を集中的に管理
- 潜在的な脅威を示唆する警告
- 詳細なログ分析のためにドリルダウンする機能
これらの機能を組み合わせて、脅威の警告が本当に対処が必要なものなのかを効率的に確認し、ログの詳細を収集して正確な分析を行うことができます。ログ管理ツールで、疑いが持たれるアクティビティに関するデータを収集、処理、分析、視覚化できます。
また、ログインの試みと成功したログインについて確認することもできます。このレベルのログ分析で、攻撃者がどこからネットワーク侵入を試みたのか、使用した侵入方法は何か、などの、脅威の性質を明らかにすることができます。
ログはセキュリティ上の脆弱部分を検出するのに役立ちますが、あまりに膨大な量のログが生成されるので、手作業ですべてチェックするのは現実的ではありません。ログ管理だけではセキュリティに関する脅威をリアルタイムで把握することはできませんが、SIEM とログ管理を組み合わせて、すべての情報を SIEM システムに入力して監視することができます。ログの詳細な履歴を分析して、全体的なセキュリティ体制強化の方法を検討することもできます。
SIEM とログ管理を組み合わせてセキュリティ問題を合理的に調査
SIEM とログ管理システムを組み合わせて、ネットワーク全体のログデータを自動的に統合することができます。ログ情報を手作業で探しまわる必要がなく、隠された情報も迅速に検出して脅威からの保護機能を向上させることができます。
2つのテクノロジーを組み合わせることによって得られるセキュリティ調査へのメリットには次のようなものがあります。
- ネットワークインフラストラクチャ全体のセキュリティイベントに関するリアルタイムの警告
- インフラストラクチャに悪影響を及ぼす前に潜在的な問題を検出し、データ侵害を防止
- 脅威の調査にあたって、完全なデータを入手
- 脅威のソースと経路を発見するための詳細な分析が可能
- 何十億ものログイベントを効率的に処理
- 人工知能と機械学習を導入して異常検出能力の改善も可能
これらのメリットを生かして、IT 部門はどのようなイベントが通常起こり得るイベントで、どのようなイベントが異常なイベントとしてすぐに対処すべきかといった理解を深めることができます。また、将来の脅威に対してネットワークインフラストラクチャを強化する方法を検討する際にも、これらから得られる知見を活かすことができます。
ログ管理分析で効率化
すべてのネットワークデバイス上のオペレーティングシステムは、オペレーティングシステムの状態に関する情報を含むログアクティビティを記録します。Syslog、Microsoft イベント、W3C/IIS などの一般的なログタイプを収集して、潜在的な脅威インシデントを識別できます。システムが正常に稼働していない場合、またはサイバー脅威が発生した場合は、ログには、何が問題なのかを解明するための情報が含まれ、IT 部門はその情報に基づいて解決方法を検討することができます。
ログ管理のタスクは、SIEM の背後に隠れて、IT 部門でも見過ごされがちです。ログ管理に時間がかかりすぎると考える人もいます。しかし、適切なツールを使用すると、分析をかなり効率的に実行できます。ログ管理によって、セキュリティ管理体制の強化が可能になるとともに、規制コンプライアンスを満たし、ネットワークパフォーマンスの問題を解決するのに役立ちます。
ログは、USB メモリを使用して機密ファイルを転送している人や、不正行為や違法行為になることをしようとしている従業員など、エンドユーザーが不注意でネットワーク全体を危険にさらす可能性がないかを追跡することもできます。
ログは膨大な量のデータを生成するので、IT 部門のメンバーがすべて手作業でチェックするのは大変過ぎます。イベントログ管理ツール を使うと、プロセス全体が自動化でき、ログを自動的に収集、保存、アーカイブ、およびバックアップして、時間を節約し、人的なミスを低減します。先進的なツールは、大量のログデータをリアルタイムでスキャンし、フォレンジック情報を追跡してデータ侵害のトラブルシューティングを支援します。
Log Management が統合された WhatsUp Gold は、無料でお試しいただけます。
IT 部門は、ファイル、フォルダ、オブジェクトに対する権限の変更など、一般的に監査されているイベントを追跡してレポートすることもできます。規制当局に提出する準備を整えるための分析ができるので、HIPAA、SOX、FISMA、PCI、MiFID、Basel II などの規制へのコンプライアンスに寄与します。アーカイブされた生のログ・データは、セキュリティ担当者やコンプライアンス担当者だけでなく、組織の上層部にもわかりやすい実用的なレポートに簡単に変換できます。
プロテクションを強化してリスクを低減
SIEM の主要なミッションは、潜在的な脅威についてIT部門に警告することですが、修復のために何をするべきかがわからなかったり、侵入の情報が届かなかったりすると、本当の効果につなげることは困難です。適切なログ管理ツールと組み合わせることでこの課題を克服し、脅威がどこからどのように発生するのか、脅威がどのような経路をとったか、影響を受けたシステムは何か、状況を改善するにはどうすればいいかなどを理解することができます。
ログ管理は、脅威の調査に必要なデータを検索する機能によって SIEM のミッションを支援します。また、複数のソースから重要なデータを集計して簡単に分析できるように、視覚化できます。セキュリティ問題がどこまで拡散されているのかが確認でき、さらに深く掘り下げて調査し、修復のためにはどうするべきかを検討することができます。
ログ管理と SIEM とを組み合わせることで、リアルタイムのセキュリティ分析が可能になり、IT 部門の負荷が軽減できす。両方のソリューションを実装することで、デジタル資産に対する最大限のプロテクションを提供でき、サイバーセキュリティの脅威によるリスクを最小限に抑えます。