全3756文字
PR

 ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第2回は、様々な種類のログを分析してサイバー攻撃や社内不正を見つけ出す「セキュリティー情報イベント管理(SIEM)」を取り上げる。ゼロトラストにおけるシステム保護に欠かせない仕組みだ。従来はシステムリソースやコストの問題などで導入するのが難しかったが、クラウド化によってハードルが下がっている。

 セキュリティー情報イベント管理(SIEM)とは、セキュリティー装置やネットワーク機器、業務アプリケーション、SaaS(ソフトウエア・アズ・ア・サービス)、サーバーやクライアントで稼働するOS、クライアントを保護するエンドポイント・ディテクション&レスポンス(EDR)などが生成するログデータを収集・分析することで、外部からのサイバー攻撃や従業員による不正行為などを検出するシステムだ。

 SIEMの最も基本的な機能は、異常検出である。ログの時系列分析を行い、普段とは異なる“異常”な動きをリアルタイムで検出し、セキュリティー・オペレーション・センター(SOC)やシステム管理者などに対して警告を発する。

SIEMの概要
SIEMの概要
[画像のクリックで拡大表示]

サイバー攻撃だけでなく不正行為も検出

 SIEMは複数のデータソースから収集したログの相関関係を分析することで、単一のデータソースからでは分からない異変を突き止める機能も備えている。例えば、業務システムへのアクセスログと人事データベース(DB)の変更情報を突き合わせると「退職予定の従業員が、突然大量の業務データをダウンロードし始めた」といった怪しい行為を見つけ出せる。「普段は2~3個の業務システムにしかアクセスしない従業員が、短時間に数十の異なる業務システムにアクセスを試みた」ことがログ分析から分かれば、その従業員のアカウントが乗っ取られたことも判明する。

 近年のサイバー攻撃の傾向を考えると、従業員による不正行為の検出はサイバー攻撃対策としても非常に重要だ。フィッシングなどによって従業員のパソコンを乗っ取り、それを足掛かりに社内サーバーに侵入する攻撃が相次いでいるからだ。アカウントの乗っ取りなどを検出・防御するには、様々なログを統合的に分析し、ユーザーやデバイスの振る舞いを把握する必要がある。こうした機能は「ユーザー・エンティティー・ビヘイビア・アナリシス(UEBA)」と呼ばれる。

表 SIEMの主な機能
機能名概要
コネクターセキュリティー機器や業務アプリケーションなど様々なデータソースからログを収集して、分析しやすい形に変換した上で蓄積する
異常検出ログに対して時系列分析を行い、リアルタイムで異常を検出する
ルールエンジン監視対象とすべき「異常な行動」を定義する仕組み。SIEMのルールを定義するプログラミング言語としては「Sigma」のほか、グーグルが開発した「YARA-L」がある
ダッシュボード/アナライザー特定のミドルウエアやネットワーク機器に特化したログ分析機能と、分析結果を可視化したダッシュボード
相関分析複数のデータソースから収集したログの相関関係を分析して、単一のデータソースからでは分からない異変を突き止める
脅威検出複数のデータソースのログを分析し、サイバー攻撃特有のパターンを見つけ出す
SOAR連携セキュリティー運用の自動化ツールであるSOAR(Security Orchestration, Automation and Response)と連携する機能。SIEMが検出した脅威情報をSOARに即座に送ることで、迅速な対応を実現する
UEBAUEBA(ユーザー・エンティティー・ビヘイビア・アナリシス)。ユーザーの振る舞いを分析して、不審な行動を見つけ出す

“異常な行動”を専用言語で定義

 SIEMにおいてはユーザー側で“異常な行動”をルールとして定義し、それに合致する動きをログから見つけ出すほか、SIEMのベンダーがあらかじめ組み込んだ機械学習ベースのロジックによって異常行動を見つけ出すこともできる。

 監視対象とすべき“異常な行動”の定義は、検索エンジン用のクエリー言語や、SIEM専用のルール定義言語によって記述する。米スプランクの「Splunk Enterprise Security」の場合であればスプランクの検索クエリー言語「Search Processing Language(SPL)」を使用するし、米マイクロソフトの「Azure Sentinel」の場合はマイクロソフトの検索クエリー言語「Kusto Query Language」を使用する。

 SIEM専用のルール定義言語としては、オープンソースの「Sigma」や米グーグルが開発した「YARA-L」が存在する。Sigmaは「汎用のSIEM言語」をうたっており、Sigmaでルールを記述すると、各社のSIEMが採用する専用の検索クエリー言語に沿ったクエリーが生成される。

 Google Cloudのクラウドセキュリティー部門でマーケティング責任者を務めるリック・カッチャ氏はYARA-Lでルールを記述するメリットについて「ユーザーの不審な振る舞いを定義し、それを検出できるようになることだ」と説明する。例えばYARA-Lであれば「ユーザーが未知のファイルを開き、続いて社内の誰も利用したことがないドメインにアクセスして、OSのレジストリー値を変更した」というルールを記述して、フィッシング攻撃を受けたと考えられるユーザーを見つけ出せるのだという。

認可されたユーザーも信頼せずにSIEMで確認

 ゼロトラストにおいてSIEMは、業務システムを防御する上で欠かせない存在である。ゼロトラストとはセキュリティー対策において、ネットワークやユーザー、デバイスを「信頼しない」という考え方だ。そうした考えに立つと、ユーザーがアプリケーションやデータにアクセスする際には、アイデンティティー&アクセス管理(IAM)などの仕組みによって必ず認可をするのが原則となる。さらにIAMが認可したからといっても、そのアクセスが正常なものだと“信頼”してはならない。SIEMによってユーザーによるアクセスを検証することで、アカウントの乗っ取りなどの不正が起きていないかを確認する必要がある。