Nothing Special   »   [go: up one dir, main page]
Skip to content Skip to navigation Skip to footer
定義
仕組み
SIEMベンダーの選択
フォーティネットの製品とサービス
よくある質問

SIEMの定義

セキュリティ情報イベント管理(SIEM)は、 SIM (セキュリティ情報管理)とSEM(セキュリティイベント管理)機能を1つのセキュリティ管理システムに統合するセキュリティ管理アプローチです。 

セキュリティ情報やイベント管理システムは、迅速なインシデント対応を制限する3つの大きな課題に対処します。

  1. 膨大な量の未集約のセキュリティデータが存在するため、何が起こっているのかを把握して脅威に優先順位を付けることは困難です。
  2. ITチームは、サイバーセキュリティスキルのギャップのために人員不足/トレーニング不足に陥っています。
  3. コンプライアンスの実証の必要性は、脅威の特定と対応に時間がかかります。
     

SIEMが重要な理由

SIEMシステムは、脅威の猛威を振るう組織にとって極めてクリティカル。平均的な組織のセキュリティオペレーションセンター(SOC)、1日あたり10,000件以上のアラートを受信しており、最大規模の企業では150,000件以上のアラートが発生しているため、ほとんどの企業には膨大な数のアラートに対応するのに十分な規模のセキュリティチームがありません。しかし、巧妙化が進むサイバー脅威によってもたらされるリスクが増大する中、アラートを無視することは極めて危険です。単一のアラートは、重大なインシデントを検知して阻止することと、インシデントを完全に見逃すことの違いを意味する場合があります。SIEMセキュリティは、アラートのトリアージと調査の効率的な手段を提供します。SIEMテクノロジーを利用することで、チームはセキュリティデータの浪費に対応できます。

セキュリティ情報 / イベント管理(SIEM)ソリューションは、ログを収集し、セキュリティイベントを他のデータとともに分析することで、脅威の検知を加速し、セキュリティインシデント / イベント管理、コンプライアンスをサポートします。SIEMテクノロジーシステムは、基本的に複数のソースからデータを収集し、脅威への迅速なインシデントレスポンスを可能にします。異常が検出されると、より多くの情報を収集したり、アラートをトリガーしたり、アセットを隔離したりする可能性があります。

SIEMテクノロジーは従来、コンプライアンスの実証を必要とする企業や公開企業によって使用されてきましたが、セキュリティ情報やイベント管理の方がはるかに強力であることを理解するようになりました。SIEMテクノロジーは、あらゆる規模の組織にとって重要な脅威検知ツールとして進化してきました。今日の脅威の高度化とサイバーセキュリティスキルの不足が改善していないことを考えると、セキュリティ情報イベント管理によって侵害やその他のセキュリティの懸念クリティカルを迅速かつ自動的に検知することが重要です。SIEM機能によって、中小規模の中組織がセキュリティおよびイベント管理ソリューションを導入するようになっています。

SIEMの仕組み

一部の組織では、「SIEMは何をしているのか」と疑問に思っているかもしれません。 SIEMテクノロジーは、サーバー、 エンドユーザーデバイス、ネットワーク機器、アプリケーション、およびセキュリティデバイスから セキュリティ関連の情報を収集します。セキュリティイベントと情報管理(SIEM)ソリューションは、データをカテゴリに分類し、潜在的なセキュリティ問題が特定されると、事前設定されたポリシー に従ってアラートを送信したり、別の方法で応答したりできます。ネットワーク全体で収集されたデータを集約して分析することで、セキュリティチームは全体像を把握し、侵害やインシデントを初期段階で特定し、損害が発生する前に対応できるようになります。

SIEMシステムは、以下を含むできるだけ多くのソースからログを取り込み、解釈します。

SIEMシステムは、分析、レポート、監視のために、これらのログからイベントデータとコンテキストデータの両方を調べます。ITチームは、これらの結果に基づいてセキュリティインシデントに効果的かつ効率的に対応できます。

SIEMが選ばれる理由:クリティカルメリット

セキュリティ情報やイベント管理ソリューションは、主要な脅威検知機能、リアルタイムのレポート、コンプライアンスツール、長期ログ分析を提供します。主なメリット:

  • セキュリティ効果の向上と脅威への迅速な対応 セキュリティおよびイベント管理ソリューションの活用には、「アナリストが個々のシステムからのデータを見ることで可能なよりも迅速かつ効果的に不審な振る舞いパターンを特定し、対応できるようにすること」が必要です。 真の効果を得るには、侵害を未然に防ぐ必要があります。

  • 効率的なコンプライアンスの実証 SIEMテクノロジーによって、SIEM ITチームは業界や政府の規制やセキュリティ標準へのコンプライアンスの追跡と報告が容易になります。

  • 複雑さが大幅に軽減されます。 複数のアプリケーションやデバイスからのセキュリティイベントデータを統合することで、迅速かつ包括的な分析が可能になります。さらに、反復タスクは自動化され、これまで専門家が必要としていたタスクは経験の浅いスタッフが実行できます。 
SIEMのメリット
大きな画像で見る

SIEMベンダーの選択:購入ガイド

「2018年の世界のセキュリティ情報およびイベント管理市場は25億9,000万ドルを占めており、2019~2027年の予測期間中のCAGRは10.4%で、2027年までに62億4,000万ドルに達すると予想されています」と、Research and Marketsが発表したSIEMの最近のレポートでは述べています。 

この急成長する市場は、多くの競争に拍車をかけるため、セキュリティ情報やイベント管理ソリューションで何を求めるべきかを知ることが重要です。少なくとも、SIEMソリューションでは以下の機能が必要です。

  • すべてのセキュリティデバイスからデータを収集
  • データの集約、相関付け、分析
  • 可能な限り自動化
  • デバイスだけでなくビジネスサービスを監視

SIEMソリューションを選択する上で本当に重要な点の詳細については、eBookをご覧ください。

ほとんどの組織は、セキュリティ情報やイベント管理ソリューションの基本機能だけを必要としません。以下のチェックリストは、投資利益率(ROI)を最大化する特定の機能に関するガイダンスを提供します。

既存のセキュリティおよびネットワークアーキテクチャへのシームレスな統合

セキュリティアーキテクチャがフォーFortinet Security Fabricまたはマルチベンダー環境のいずれに基づいているかにかかわらず、セキュリティ情報 / イベント管理ソリューションはシームレスに統合する必要があります。地域や業界に固有のものを含め、多数のセキュリティやITデバイスからデータを自動的に検出して取り込む必要があります。

最初は、柔軟な展開オプション、迅速な展開、容易なカスタマイズが必須で、プロフェッショナルなサービスを幅広く必要としません。

また、このソリューションはビジネスの成長に合わせて拡張できる必要があります。

高精度で優先度の高いアラート

イベント相互関係付けと分析がなければ、統合されたデータであっても価値はありません。SIEMソリューションは、複数の方法を使用して、データからどのような結論を引き出すべきかを決定する必要があります。

また、インテリジェントなインフラストラクチャとアプリケーション検出エンジンを採用して、オンプレミスとパブリッククラウド/プライベートクラウドの両方の物理インフラストラクチャと仮想インフラストラクチャのトポロジを自動的にマッピングし、イベント分析のコンテキストを提供することも重要です。これにより、この情報を手動で追加した場合に発生する可能性のある無駄な時間とエラーが排除されます。

さらに、上位のSIEMソリューションは、ユーザーアイデンティティをネットワーク(IP)アドレスやデバイスと関連付けます。このイベントコンテキストは、堅牢なルールセットと高度な分析機能と組み合わせることで、脅威の優先順位付けを可能にし、迅速な対応を必要とする脅威のフラグ付けを可能にします。その結果、管理者は高高リスクイベントに迅速に対処し、低リスクイベントを自動レスポンスプロセスにオフロードできます。

インシデントの自動減災策災

理想的なSIEMソリューションは、SOAR(セキュリティオーケストレーションの自動化とレスポンス)を使用して、マルチベンダーのセキュリティデバイスを通じて適切なレスポンスをオーケストレーションします。イベントのリスクと複雑さのレベルに応じて、自動応答や人間のオペレーターへの警告が可能です。この柔軟性は、セキュリティデータの爆発的な増加と脅威の加速に直面した場合に、レスポンススピードと人間による監視のバランスを適切に実現するのに役立ちます。

一元的な価値の高いビジネスインサイト

一般的なセキュリティ情報やイベント管理ソリューションは、ビジネスコンテキストでイベント情報を表示しません。ただし、これは非常に有用であり、含める必要があります。たとえば、SIEMダッシュボードは、そのサービスをサポートする個々のデバイス、つまりサーバー、ネットワーク機器、セキュリティツールのステータスではなく、企業のeコマースサービスのステータスを表示するように構成できます。これにより、セキュリティチームはビジネス分野に有意義な最新情報を提供できます。

あるいは、セキュリティ管理者は、特定のデバイスが利用できなかったり侵害されたりした場合に影響を受けるビジネスサービスを迅速に確認できます。最も重要なのは、1人のスタッフが中央コンソールからすべてのセキュリティ情報とイベント管理アクティビティを監視できることです。

コンプライアンス対応レポート

PCI-DSS、HIPAA、SOX、NERC、FISMA、ISO、GLBA、GPG13、SANSクリティカルコントロールなど、幅広いコンプライアンス監査および管理のニーズをサポートする事前定義済みのレポートを備えたソリューションは、コンプライアンスの職務も担っているセキュリティチームを支援します。SIEMセキュリティチームは、時間を節約し、コンプライアンストレーニングを最小限に抑えることができます。法規制やレポートコンテンツ要件に関する深い知識を習得することなく、監査 / レポート期限を守ることもメリットです。 

フォーティネットの製品とサービス

セキュリティ管理は、アプリケーション、エンドポイント、IoTデバイス、クラウド導入、仮想マシンなどがネットワークに追加されるにつれて、さらに複雑になります。この急増する攻撃対象領域を保護するには、すべてのデバイスとインフラストラクチャをインフラリアルタイムで可視化する必要があります。しかし、コンテキストも必要です。組織は、脅威を表すデバイスと場所を把握する必要があります。

フォーティネットのセキュリティ情報およびイベント管理システムであるFortiSIEMは、可視化、相関付け、自動レスポンス、修復を単一のスケーラブルなソリューションに統合します。

FortiSIEMは、ネットワークとセキュリティオペレーションの管理の複雑さを軽減し、リソースの効果的な解放、侵害検知の改善、さらには侵害の防止を実現します。 さらに、フォーティネットのアーキテクチャは、ログ、パフォーマンス指標、セキュリティアラート、構成変更などの多様な情報源からの統一されたデータ収集と分析を可能にします。

FortiSIEMは、従来監視されてきた分析をSOC(セキュリティオペレーションセンター)とNOC(ネットワークオペレーションセンター)の別々のサイロで組み合わせ、ビジネスのセキュリティと可用性をより包括的に把握します。

 ITオペレーション(ITOps) と ITセキュリティポリシーの詳細をご覧ください。

SIEMに関するよくある質問

SIEMとは?

SIEMソリューションは、ログを収集し、セキュリティイベントを他のデータとともに分析することで、脅威の検知を加速し、セキュリティインシデントとイベントの管理、コンプライアンスをサポートします。

SIEMの仕組み

SIEMテクノロジーは、サーバー、エンドユーザーデバイス、ネットワーク機器、アプリケーション、およびセキュリティデバイスからセキュリティ関連の情報を収集します。 

SIEMのメリット

SIEMソリューションは、主要な脅威検知機能、リアルタイムレポート、コンプライアンスツール、長期ログ分析を提供します。 

サイバーセキュリティリソース

関連リンク

セキュリティ対策のエキスパートに相談する

フォームにご記入いただければ、すぐに知識豊富な担当者がご連絡いたします。