SIEMとは、セキュリティーツールやネットワーク機器など各種機器のログを収集・統合し、一元管理する仕組み（基盤）です。収集したログデータを相関分析することで、誤検知の発生を削減しつつ、従来では検知できなかった脅威を可視化します。

本記事ではSIEMの機能や導入メリット、導入時の流れなどを紹介します。ログデータの管理工数削減やセキュリティー対策の強化に取り組んでいる方は、最後までご覧ください。

ログデータの収集は、さまざまな機器からユーザーの操作履歴やアクセス状況などの膨大な記録を集約し、一元管理できる機能です。
SIEMでは主に以下の機器からログデータを収集・管理できるため、システム管理者がデータを集める手間を減らせます。

• データベース
• サーバー
• ネットワーク機器
• ファイアウォール
• 基幹システム
• クラウドサービス

また、さまざまなIT資産からログデータを収集できるため、セキュリティー対策の課題や脅威の有無を早期に発見できます。

SIEMでは、機械学習を用いたログデータの相関分析により、異常の有無を早期に発見できる製品もあります。

相関分析とは、複数のデータを比較し、関連性や異常な傾向がないかを確認する分析手法です。SIEMではサーバー、データベース、基幹システム、ファイアウォールなど、複数の機器のログを組み合わせて分析し、不審な動きを検知します。

たとえば、ファイアウォールのログに異常が見られなかった場合でも、業務時間外に基幹システムへのアクセス履歴が確認された場合、不正アクセスや内部不正の可能性を疑うことが可能です。

このように、単一のログでは分からない異常も、複数のログを関連付けて分析することで発見しやすくなります。

また、SIEMでは機械学習を活用して大量のログデータを継続的に学習できる点も特徴です。運用期間が長くなるほど通常時の傾向を把握できるため、異常な挙動をより高い精度で検知できるようになります。

リアルタイムの相関分析とは、収集したログデータを即時に監視・分析し、ネットワーク内で発生している異常をその場で検知できる機能です。SIEMではログが記録されたタイミングで自動的に分析が行われるため、問題の発生から検知までの時間を短縮できます。

また、あらかじめ設定した検知ルールや過去の分析結果をもとに監視を行うことで、通常とは異なる挙動を即座に判断することが可能です。これにより、不正アクセスやマルウェア感染などのインシデントを早期に把握しやすくなります。

異常が検知された場合は、管理者に対してアラートが通知されます。アラートには発生した機器やログの内容、重要度などが含まれるため、状況を確認しながら迅速に対処できます。早い段階で対応できることで、情報漏えいやサービス停止といった被害の拡大を防ぐことが可能です。

SIEMによってはSOARやEDRとの連携で、仮にサイバー攻撃やマルウェアの侵入などを許した際も、対応を自動化できます。SOAR（Security Orchestration, Automation and Response）とは、インシデント対応を自動化するセキュリティーツールです。
     
SIEMと連携した場合は、SOARのオーケストレーションと自動対応機能で、ネットワーク内で検知した脅威を自動で駆除できます。オーケストレーションで、複数のセキュリティーツールや社内システムと連携し、脅威の検知やツール間でのスムーズな動作を実現します。

脅威を検知した際は自動対応機能の働きで、手順書の内容に沿って脅威の隔離や管理者への報告など、インシデント対応を自動で行う仕組みです。

また、EDRと連携した場合はエンドポイント内に侵入した脅威を検知・駆除し、被害の拡大を防げます。EDR（Endpoint Detection and Response）とは、パソコンやスマートフォンなどに侵入した脅威を検知し、ネットワークから隔離できるセキュリティーツールです。

感染経路や影響範囲を特定する機能などを搭載しており、セキュリティー対策の課題を可視化する用途にも活用できます。

サイバー攻撃や不正アクセスの回数、過去の対応履歴など、ネットワークの現状やインシデント対応の履歴をまとめたレポートを作成する機能です。

作成したレポートは、現状把握や必要なツールの有無など、今後のセキュリティー対策をどのように強化するか、方向性を定める際に役立ちます。

SIEMの導入でログデータの監視と収集、脅威検知などを自動化できるため、セキュリティー対策を効率化できます。システム管理者が、一つひとつの作業を手作業で進める必要はありません。

また、ログデータはリアルタイムで監視され、異常が発生した場合はすぐにアラートが発せられる仕組みです。SIEMによってはインシデント発生後の対応も自動で行うため、システム管理者は別の作業に労力と時間を割けます。

SIEMは社内ネットワークのログデータをリアルタイムで相関分析するため、サイバー攻撃や内部不正の兆候を早期に発見できます。ログデータを分析する際は、過去のデータや対応事例などをもとに異常の有無を判断するため、高精度の脅威検知が可能です。

また、インシデント対応を搭載したSIEMを導入すれば、脅威の隔離・駆除、ネットワークの遮断などを任せられるため、ネットワーク全体への被害を避けられる確率が高まります。

機械学習を活用した相関分析の働きで、誤検知による業務効率の悪化や運用負担の増大などを防げます。

SIEMはデータベースやWebアプリケーションなど、さまざまな機器からログデータを収集します。収集したログデータを相関分析し、データ同士の関連性の高さを調査したうえで、脅威の有無を判断する仕組みです。

SIEMの導入で、複数のログデータを比較してから異常検知の判断を下せるようになり、正常な通信にもかかわらず異常と判断していたケースを削減できます。

SIEMの導入でログデータの収集・分析を自動化できるようになり、インシデントの調査・対応コストを削減できます。通常、ログデータを収集・分析する際は、システムやサーバーなどの対象機器から、手作業でデータを集めなければなりません。

SIEMを導入すればログデータの収集〜分析まで、一連の作業を自動化できるため、システム管理者の負担を削減できます。

また、相関分析では複数のログデータを分析し、関連性の高さから異常の有無を判断するため、検知精度が高まります。

さらに、相関分析で活用する機械学習は大量のデータを学習する際、規則性や傾向を見出す点が特徴です。機械学習の働きでデータ量が増えるほど誤検知の数も減るため、SIEMの運用期間が長くなるほど、調査・対応コストの削減が望めます。

SIEMは多くの機器からログデータを取得するため、大量のストレージ容量を確保しなければなりません。保存先のストレージ容量が不足すると、アプリケーションやデバイスの読み込み速度低下など、通常業務に支障をきたすおそれがあります。

とくに金融機関や製造業などでは、1日に大量のログデータを取得するため、注意が必要です。ログデータの保存先には、クラウドストレージを活用するのが有効です。

クラウドストレージは拡張性に優れたサービスが多く、料金プランの変更やオプションを利用するだけで、ストレージ容量の上限を簡単に拡張できます。容量不足のリスクを抑えやすいものの、サービスによって料金やストレージ容量は異なるため、事前の確認が必要です。

3か月や6か月、1年単位など、自社の保存期間に応じて必要なストレージ容量を概算で見積もっておくと、サービスを選びやすくなります。

SIEMは事前に設定したルールやしきい値にもとづき、脅威かどうかを判別する仕組みです。ログ管理やデータ分析に精通した人材がいないと、誤検知アラートが大量に発生するリスクが高まります。

たとえば、情報漏えいを防ぐため、検知ルールやしきい値を厳しく設定した場合、正常な通信も異常と判断するケースが多くなります。大量のアラートが発せられると、システム管理者はどのアラートが脅威を検知したか、すぐに特定するのが困難です。

また、システム管理者への負担を考慮し、検知ルールやしきい値の設定を甘くした場合は、サイバー攻撃やマルウェアなどの脅威を見逃す確率が高まります。

誤検知を減らしつつ重要な脅威を見逃さない体制を整備するには、ルールやしきい値の設定を定期的に見直すことが必要です。ただし、短期間で実現するのは難しいため、試行錯誤を繰り返しながら、自社が運用しやすい体制を整備する姿勢が求められます。

SIEMの設定や運用を自社で対応するには、専門知識をもつ人材が不可欠です。SIEMの仕組みやログ管理に精通した人材がいない場合、どのようなルールやしきい値を設定すべきか、正確に見極めるのが困難です。

結果として重要な脅威を見過ごす、アラートの誤検知が多発するなどの事態に見舞われ、投資に見合った効果が得られません。また、SIEMの運用にはネットワークやデータベース、セキュリティーなど、さまざまな分野に関する知識が求められます。

自社での対応が難しい場合は、セキュリティーソリューションが豊富な外部の企業に相談するのが有効です。サイバーセキュリティー会社には、豊富な知識や経験を兼ね備えた人材が多数在籍しており、自社の課題や実情に見合った提案が得られます。

「内部統制の強化」「マルウェアや不正アクセスの早期発見」など、SIEMの導入目的を明確化しておくことが重要です。

必要な機能やログデータも導入目的によって異なるため、SIEMの導入でどのような課題を解決したいか、明確にしておく必要があります。

また、SIEMは大量のログデータを収集する分、大容量のストレージを確保しておかなければなりません。クラウドストレージはサービスごとに料金やストレージ容量の上限、機能などが異なります。

事前準備ではSIEMの導入に割り当てる予算とともに、クラウドストレージの費用や必要な容量を算出しておくことも必要です。

事前準備で定めた目的に応じて、収集するログデータの種類と想定される脅威シナリオを整理します。ログには認証ログ、アクセスログ、イベントログなどさまざまな種類があり、監視したいリスクに応じて対象を決めることが重要です。

たとえば内部不正のリスクを想定する場合は、従業員の端末や業務システムの認証ログを取得することで、「いつ・誰が・どのシステムにアクセスしたか」を把握できます。ログイン失敗の回数が急増している場合や、通常とは異なる時間帯のアクセスが確認された場合は、不正行為の可能性を疑うことができます。

また、脅威シナリオとは、どのような攻撃や不正が発生し得るかを想定し、保護すべき機器やシステムを明確にしておくことです。販売管理システムや財務会計システムなど、機密情報を扱うシステムは攻撃対象になりやすいため、優先的にログを収集・分析する必要があります。

このように、想定される脅威に合わせてログの収集対象を決めておくことで、SIEMの分析精度を高め、効果的なセキュリティー対策につなげられます。

事前に機能やコスト、取得可能なログデータの多さなど、サービスを選定する際の決め手を明確にしておくことが重要です。

必要な機能や予算を明確化しておくと、自社の条件に見合うサービスが選びやすくなります。また、SIEMを全社で本格運用する前に、無料トライアルを利用するのも有効です。

有料プランの前に無料トライアルを利用すれば、操作性やサポート体制などを含め、自社との相性を確認できます。仮に導入を見送ったとしても、費用は投じておらず大きな損失につながる可能性は低いといえます。

収集したログデータを脅威か正常なアクセスか、判断する検知ルールとしきい値を設定する作業です。ベンダーからテンプレートが提供されている場合は、自社のセキュリティー対策と照らし合わせつつルールやしきい値を設定します。

ただし、最初から脅威を知らせるアラートだけを発するよう、検知ルールやしきい値を設定するのは困難です。誤検知を最小限に抑えるには、定期的に設定内容のチューニングを繰り返すことが求められます。

最後にログデータの監視やアラートの確認を誰が担当するかなど、運用体制を整備します。SIEMを効果的に運用するには、ログデータの管理や検知ルールのチューニング、レポート作成など、ログデータの収集や分析を繰り返すことが重要です。

ただし、多くの労力と時間を要し、場合によっては24時間365日体制での監視が求められるため、自社だけで対応できるとは限りません。

また、SIEMの運用にはログ管理やセキュリティー、ネットワークなど、さまざまな分野での専門知識が求められます。自社対応が難しい場合は、外部のサイバーセキュリティー会社に相談・依頼するのがおすすめです。

依頼先を選ぶ際は実績やリピート率、得意分野などを確認しておくと、自社の条件に見合う企業を選びやすくなります。