SIEMという選択(後編) – SIEM製品を選択する基準とは?

ADAudit Plus, EventLog Analyzer, セキュリティ | November 30, 2018 | 1 min read

Reading Time: 1 minutes

記事の前編では、企業がSIEMを選択すべき理由について解説しました。後編となる今回は、SIEM製品を選定する際の基準についてご紹介します。

■ SIEM製品の選定で重要となる「予算面」

SIEM製品を選定する際、予算というのは非常に重要な検討項目の一つです。SIEM製品によっては、処理するログ流量がライセンスの課金対象となっているものもあれば、監視対象となるデバイス数に基づき課金されるものもあります。デバイス数に基づく価格設定となっており、ログ流量には影響されない場合、生成されるログのボリュームの量にかかわらず金額が一定となるため、コストの見積もりが容易になります。

しかし、予算以外にも重要な事項はもちろん存在します。そのいくつかを、以下でご紹介したいと思います。

SIEM製品を選定する際に考慮すべき4つの事項

1.対応デバイスの範囲:ルーター・スイッチ・ファイアウォール・IDS/IPSなどのネットワークデバイスに加え、アプリケーション、サーバー、ワークステーション、さらにはクラウドサービスなど、様々なデバイス・サービスが企業で利用されています。SIEM製品を導入する際には、監視対象とするデバイスを一つのツールで包括的に管理できるかどうか、さらにデバイスの登録に多くの工数を必要としないかという点も併せて確認することが大切です。

ManageEngine Log360は、750を超えるデバイスからのログ収集に対応しています。また、「追加フィールド機能」を使用することで、正規表現を使用した解析ルールを自由に定義することができ、可視性を高めることが可能です。

 

2.ログを分析・可視化するレポーティング機能:SIEM製品の特長として、複数ログに対する横断的な分析への対応が挙げられます。ログ管理プロセスを自動化し、重要なメッセージを監視することで、脅威の早期検知に寄与します。そのためには、セキュリティ面だけでなく、対応が必要なコンプライアンスの双方に対して有用なレポートがデフォルトで搭載されており、効率よくログの可視性を高めることができるSIEM製品が推奨されます。また、重要性の高い情報を一画面に集約したダッシュボード画面と、そこから必要な情報を数クリックで掘り下げて確認できるドリルダウン機能が含まれていることで、分析に伴う作業の効率性をさらに高めることが可能です。

ManageEngine Log360には、サポートデバイスを対象とした1,000以上の定義済みレポートが用意されています。また、PCI-DSS・SOX・GDPRをはじめとする各種コンプライアンスに対応したコンプライアンスレポートにより、コンプライアンス対応をスムーズに行うことが可能です。

 

3.フォレンジック分析:ログ分析にかかる時間は、攻撃を検知するまでにかかる時間と比例します。記事の前編でもご案内しましたが、「攻撃の検知」は「攻撃の遂行」と比べて大幅に時間がかかる傾向にあります。したがってSIEM製品に求められるのは、幅広いデバイスから受信する大量のログを取りこぼしなく収集し、それを相関的に分析するとともに、疑わしいログが発生した際に即座に通知を行うような機能の搭載です。また、インシデントが発生した際に過去のログを遡って調査ができるよう、ログを長期保管できる仕組みも大切です。

ManageEngine Log360コリレーション機能を使用することで、異なるデバイス、異なるログ種別から発生したログを相関的に分析して、ネットワーク間で発生している不審な動きを検知することが可能です。また、ログの長期保管を行う場合は、アーカイブ化を行うことで圧縮した状態での保存ができ、さらに必要に応じて暗号化や改ざん検知の設定を行うことで、よりセキュアにデータを保持できます。

 

4.柔軟なカスタマイズ:たとえSIEM製品にセキュリティ(コンプライアンス)レポート、アラートプロファイルや相関分析のルールが豊富に組み込まれていたとしても、それが企業の運用ルールに合致していない、あるいは使いづらいなどで利用が難しい場合、無駄なものとなってしまいます。そこで、アラートプロファイルのしきい値を微調整したり、レポートの項目を変更するなど、企業に合わせた柔軟なカスタマイズが必須です。故にSIEM製品には、「豊富なレポートの提供」と、それに対して簡単に変更を加えられる「カスタマイズ性」の2点が備わっていることが求められます。

ManageEngine Log360コリレーション機能は、企業の運用に合わせて自由にしきい値を変更したり、ルールの再定義を行うことが可能です。

 

以上がSIEM製品を選定する際の基準についてのご紹介でした。

なお、本記事で登場した「Log360」とは、ManageEngineが提供するSIEMソフトであり、あらゆるログの収集・長期保管、そしてActive Directoryログの可視化を低コストで実現します。
SIEM製品を検討されており、少しでもLog360にご興味を持っていただきましたら、ぜひ30日間の無料評価版にて実際の操作感をお確かめください。

▼ManageEngine Log360の評価版をダウンロード▼
https://www.manageengine.jp/products/Log360/download.html

▼ManageEngine Log360の概要資料をダウンロード▼
https://www.manageengine.jp/download/enter.php?Category=ManageEngine&dl=DL_5&nickname=Log360&No=2645

capture

【SIEMの選び方ガイド】
SIEMの主要な機能と、ツール選びの際に確認すべき7つの項目についてご紹介


<< SIEMという選択(前編) – なぜSIEMが選ばれるのか?

関連ホワイトペーパーをCHECK! >> コリレーション機能を活用したサイバー攻撃の検知
関連ホワイトペーパーをCHECK! >> 情報セキュリティ対策に必要な重要アラートTOP5


Tags : SIEM / アラート / 相関分析
ManageEngine事業部

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。