インシデント▼の調査には、ネットワーク機器やセキュリティー製品が出力するログやアラートの収集および分析が不可欠だ。だが、これらの収集や分析は年々難しくなっている。
これは利用する機器の増加やクラウド利用の拡大により、発生するログやアラートが膨大になっているからだ。すべて手動で収集・分析することはほぼ不可能になっている。収集や分析には専用の仕組みが必要だ(図1)。
そこで今回は、専用の仕組みである「SIEM▼」と「SOAR▼」を解説する。これらを活用すれば、表面上は分からない危険をログやアラートから見抜けるようになる。
導入進むも活用が難しいSIEM
SIEMとはネットワーク機器やアプリケーション、SaaS▼などのログやアラートを収集・分析し、外部からのサイバー攻撃や内部不正を検出する仕組みだ。以前はオンプレミスとして提供されていたが、近年ではクラウドサービスのSIEMも登場している。
10年以上前からある仕組みだが、最近までなかなか導入が進まなかった。オンプレミスでSIEMを利用するには、ログの保存のために大容量のストレージが必要になり、コストがかかったためだ。だが自前でストレージを用意しなくてもよいクラウド版SIEMの登場により、導入する企業が増えている。
一方で、導入しても十分に活用できている企業は少ない。SIEMを使いこなすにはスキルが必要だからだ。SIEMに期待される役割はログの収集だけではない。収集したログからインシデントの兆候や発生を見抜くことも期待される。だがそのためには、ログを分析する高度な人材が必要となる。セキュリティー人材が不足する現状では、一般の企業で用意するのは難しいだろう。
サイバー攻撃の高度化も、ログの分析を難しくしている。正規の利用者になりすます攻撃や、正規のツールを使ったLiving Off The Land(LOTL:環境規制型/自給自足型)などと呼ばれる攻撃は、ログから見抜きづらい。また標的とした企業のネットワークに侵入後、長期間にわたって潜伏する攻撃も増えている。攻撃者はネットワーク内を移動して様々な機器に侵入、情報を窃取する。いわゆるラテラルムーブメント▼である。このような場合、特定の機器のログだけから攻撃を把握するのは困難だ。
以上のような理由で、インシデントを見抜くツールとしてではなく、ログを収集・保存するツールとしてしか使えていない企業は多い。
