サイバー攻撃の手法は日々進化していて、対策をしていても攻撃をしかけられるケースが少なくありません。その際、大きなセキュリティインシデントに発展する前に異変を検知する必要があります。この記事では、サイバー攻撃を受けたときに活用される相関分析や、相関
相関分析とは
まず、相関分析そのものについて解説します。相関分析とはどのようなものなのか、知っておきましょう。
2つのデータの関係性を数値で表すもの
相関分析は、2つのデータについてどのような関係があるのかを分析する手法です。データの関係性は相関係数という数値で表されます。相関係数は-1から+1の間の数値になり、相関係数の絶対値が大きくなるほど2つのデータの関係性が強くなります。
絶対値とは0からの距離を表し、正負は関係ありません。相関係数が正の場合は、絶対値が大きいほど正の相関関係があり、相関係数が負の場合は、絶対値が大きいほど負の相関関係があるといえます。
相関関係とは
相関関係とは2つのデータに関連があるという意味です。「正の相関関係がある」とは、一方のデータに変化があればもう一方も同じようなデータ変化がある関係を表します。「負の相関関係がある」とは、一方のデータが変化すると、もう一方のデータはその逆の動きを示します。
回帰分析との違い
データの関係性を調べる手法として、相関分析の他に回帰分析があります。回帰分析は2つのデータ間の相関関係を分析するのではなく、複数のデータを使って別のデータを予測するときに使う手法です。回帰分析のために相関関係を使うこともあります。
セキュリティ関連では、ロジスティック回帰分析を活用して未知のマルウェアを分類する場合などに役立てられています。
SIEM は相関分析を使用したセキュリティツール
SIEM は、相関分析を使用したセキュリティツールです。ここでは SIEM の概要について解説します。
SIEM とは
SIEM は、Security Information and Event Management の頭文字を取ったもので、直訳すると「セキュリティ情報とイベント管理」という意味になります。SIEM はサイバー攻撃やマルウェアからの影響を予防する、もしくはその被害を最小限に食い止めるための仕組みです。
ファイアウォールや各種サーバー、各種デバイスなど、複数の機器を監視してログを収集し、セキュリティインシデントの検知をいち早く行えるのが、SIEM の特長です。
SIEM は相関関係を活用する
SIEM は、収集したログに異常があるかどうか、相関関係を活用して分析します。複数の機器のログについて自動で相関分析を行い、異常を検知するという仕組みです。
近年のサイバー攻撃は巧妙化しており、それぞれの機器のログを単体で分析するだけでは異常を検知できないケースがあります。しかし、SIEM の分析方法は対策が難しいとされる標的型攻撃に対しても有効ではないかと期待されています。
SIEM の機能とは
SIEM には、いくつかの機能が備わっています。ここでは、SIEM の機能について詳しく解説します。
ログを自動で収集する
SIEM は、デバイスやネットワーク、セキュリティ機器などからログを自動で収集します。様々な機器からログを収集するため、ログを一括で確認できます。ただし、収集するログの種類が多すぎるとシステムに負荷がかかり、分析結果が適切なものにならない可能性もあります。そのため、セキュリティリスクの高い機器を選定してログを収集する必要があります。
ログを正規化する
様々な機器から収集したログは、フォーマットや規格が異なります。ログの様式がバラバラでは正しい分析は行えません。そのため、SIEM には収集したそれぞれのログを正規化し、正しく分析が行える状態にする機能が備わっています。ログの正規化も自動で行うため、人が手間をかける必要はありません。
リアルタイムで相関分析を行う
SIEM のもっとも特長的な機能が、リアルタイムの相関分析です。SIEM は、収集して正規化したログを使って相関分析を行い、危険なサーバー攻撃やマルウェアなどのセキュリティインシデントを検知します。この作業をリアルタイムで行うため、攻撃を未然に防いだり、攻撃を早期発見したりするなどの対応が可能になります。
セキュリティインシデントの管理・可視化
SIEM の製品の中には、抽出した問題を可視化し、レポート化できる機能を持つものがあります。情報がわかりやすくレポート化されていれば、ログイン失敗の回数増加や極端なアクセス数の増加など、不審なログを管理者が目で確認できます。システム全体のセキュリティ状態を把握できるというメリットもあり、システム運用方法の改善などにも役立てられるでしょう。
SIEM を使用するメリット
SIEM を使用すると、様々なメリットが得られます。ここでは、SIEM を使用するメリットについて解説します。
進化しているサイバー攻撃に対応できる
標的型攻撃など、サイバー攻撃は日々進化しており、従来のセキュリティ対策では不十分な可能性があります。SIEM は、多様化・巧妙化するサイバー攻撃に対してリアルタイム分析を行うため、これまでのセキュリティ対策では検知できなかった攻撃も検知が可能です。
2015年に起きた日本年金機構のセキュリティインシデントでは、標的型攻撃によって125万人分の個人情報が流出しました。このように、企業の信用問題にかかわるような取り返しのつかない事件が起こる可能性もあるため、進化するサイバー攻撃に対応できる SIEM に期待が高まっています。
セキュリティ人材不足対策となる
先述のとおり、SIEM はログの収集・正規化・分析を自動で行います。製品によっては分析結果の可視化も可能です。これにより、社内ネットワークやシステムを管理するセキュリティ対策にかかる手間を削減できます。SIEM を使えば人が分析を行うよりも早く結果が出せるため、業務の効率をアップさせる効果もあります。
脅威を早期発見できる
SIEM によってログの収集や分析がリアルタイムで行われると、脅威を早期発見できるというメリットもあります。サイバー攻撃への対応は時間との勝負という側面もあり、SIEM を使えば被害が広がる前に事態を収束できる可能性が高まります。攻撃されていることにいち早く気づき、適切な対処ができるかどうかで、被害の大きさは変わってくるでしょう。
SIEM の選び方
SIEM 製品は、複数の企業から提供されています。ここでは、自社に合った SIEM 製品の選び方について解説します。
監視速度は十分か
SIEM はリアルタイムで分析を行いますが、分析結果が出るまでにかかる時間は製品によって異なります。SIEM を導入するときは、監視速度が十分かどうかチェックするようにしましょう。監視速度が遅いとサイバー攻撃を受けていると気づくのが遅れ、致命的なセキュリティインシデントにつながる可能性があります。
自社のログに対応できそうか
SIEM がログを収集して正規化するためには、その製品が対応できるログ形式である必要があります。すべてのログ形式に対応しているわけではないため、自社が使用している機器のログ形式に導入したい SIEM 製品が対応しているかどうか、事前に確認しましょう。ログの保管期間や保管できる量なども製品によって異なるため、これらもあわせて確認が必要です。
設定の難易度
SIEM を導入する際、自社で運用できそうか、どのくらいのサポートを受けられるかなども確認が必要です。攻撃を検知するためのルール設定などを自社で行わなければならない場合は、そのための人員を用意しなければなりません。設定の難易度を確認し、自社で運用できるレベルかどうかを事前に確認しておきましょう。
SIEM を活用するときの注意点
SIEM を活用するには、いくつか注意しなければならないポイントがあります。ここでは、SIEM を活用するときの注意点について解説します。
導入や運用にかかるコストを算出しておく
SIEM を導入すると、複数の機器から収集される膨大なログを保存する場所や、SIEM を運用するための人材、自社で運用が難しい場合は運用を外注するコストなどがかかります。SIEM を導入して運用するための十分な予算が確保されているかどうかの確認が必要です。
ただし、セキュリティ性を高めて顧客からの信用を守るためには、SIEM 導入のためのコストを捻出することをおすすめします。
ルールの設定は必要
SIEM はログの管理や分析は自動で行えます。しかし、設定やこまかいチューニング、分析するログの選定などは人間が行わなければなりません。そのためには、専門知識を持つ人材が必要です。自社に対応できる人材がいない場合は、外部サービスに一任する方法もあります。自社の状況や予算にあわせて行っていきましょう。
まとめ
SIEM は、複数の機器からログを収集し、相関分析によってセキュリティインシデントを早期発見するためのセキュリティツールです。サイバー攻撃は日々進化しているため、SIEM による高度な分析と早期対応で攻撃に備えましょう。SIEM 導入のための人材が不足している場合は、外部に対応を一任するという方法もあります。
SBテクノロジーでは、SIEM の導入と運用をサポートする「SIEM 構築・運用支援サービス for Microsoft Sentinel」を提供しています。SIEM の自社運用に対する負荷を軽減し、当社専任エンジニアが最大2週間、運用設計を行うなどの対応が可能です。また、SIEM によるセキュリティ対策を強化するため、24時間365日のセキュリティ監視を行う「マネージドセキュリティサービス(MSS)」の提供もしており、セキュリティインシデントへの対策を行えます。SIEM 導入を検討されている場合は、まず資料請求ください。