デジタル化が進む中、自社システムのセキュリティを確保する重要性が高まっている。今回は、システム環境を総合的に監視し、攻撃の早期発見に役立つSIEMツールを紹介する。
目次
近年の情報技術の発展やリモートワークの普及、またデジタルトランスフォーメーション (DX)の推進により、企業を取り巻くIT環境がますます複雑になってきています。それに伴い、サイバー攻撃や情報漏洩など、甚大な被害が発生することも珍しくありません。日本国内だけでも、 2021年に146 件のランサムウェア被害が届けられ、警察庁の調べによると被害件数の過半数 (54%) は中小企業が占めています。
そこで、SIEM (シーム) の通称で知られる「セキュリティ情報/イベント管理」が注目を集めています。 ガートナーの定義 (英語) によると、SIEMとはシステム環境のセキュリティを総合的に監視・管理し、標的型攻撃やデータ漏洩を発見するための仕組みです。ネットワークとデバイスの利用状況や、データ通信履歴などの記録のことを「ログ」と呼びますが、 SIEMソフトウェアは、そのログ記録の収集、保存、分析を行います。そうすることにより、インシデントの未然防止や早期解決を実現することができ、社内のセキュリティ強化に役立ちます。
ここでは、インターネットでの調査 (検索ボリュームなど) をもとに、最も話題となっているSIEMソリューションを4つご紹介します。
選定方法の詳細は文末をご参照ください。なお、掲載はアルファベット順としています。
評価ポイント (5つ星満点中)
- 総合評価 4.5星
- 使いやすさ 4.3星
- カスタマーサービス 4.4星
- 機能 4.5星
- 価格の妥当性 4.3星
IBM Security QRadarは、機械学習と人工知能 (AI) アルゴリズムによって脅威を検知し、ネットワークを監視するためのソリューションです。多数のデバイスからのセキュリティデータが可視化されて、ダッシュボードの一覧画面で管理することができます。また、自動分析により、優先順位付けされたアラートのリストが生成されます。
標準搭載の機能として、ログの自動解析と正規化 (読み取りやすくするための加工)、脅威インテリジェンス、関連アクティビティの相関分析などがあります。それに加えて、アドオンを利用すればユーザー行動分析やフォレンジック (過去ログの調査) を行うこともできます。
オンプレミス版では一括購入、またはサブスクリプションのどちらかの支払い方法から選べますが、SaaS (クラウド) 版ではサブスクリプションのみとなります (詳細はベンダーのwebサイトをご確認ください)。また、全ての機能が利用可能な無料トライアルも提供されています (クラウド版では14日間)。
主な機能
- 脅威インテリジェンス
- イベントログ
- 行動分析
- ネットワークモニタリング
- コンプライアンス管理
- フォレンジック分析
2.
評価ポイント (5つ星満点中)
- 総合評価 4.6星
- 使いやすさ 3.8星
- カスタマーサービス 4.3星
- 機能 4.8星
- 価格の妥当性 4.3星
LogRhythmは、ログデータの管理、セキュリティ分析、ケース管理、インシデント対応などを含むさまざまな機能を一つのソリューションに統合したプラットフォームです。パターン認識と相関分析をもとに、内部脅威、高度なマルウェア (悪意のあるウイルスやソフトウェア)、標的型攻撃などを検知することができます。
また、セキュリティ分析ツール郡を通じて、イベントが発生したコンテキスト (環境や状況) に沿ってリスクを評価し、組織に対する脅威度を明らかにします。
購入方法は、永久ライセンスとサブスクリプションライセンスがあります。本製品は英語のみの対応になっていますが、日本の販売代理店を経由して導入することもできます。価格の詳細については、ベンダーまたは代理店のwebサイトをご確認ください。
主な機能
- 脅威インテリジェンス
- イベントログ
- 行動分析
- ネットワークモニタリング
- コンプライアンス管理
3.
評価ポイント (5つ星満点中)
- 総合評価 4.6星
- 使いやすさ 4.8星
- カスタマーサービス 4.9星
- 機能 4.6星
- 価格の妥当性 4.9星
Log360は、ログ管理機能とネットワークセキュリティ機能を持ち合わせたソリューションです。
機械学習を用いて各ユーザーの行動を分析し、逸脱した活動の兆候を検出することにより、内外の脅威を特定します。また、ファイルやフォルダへのアクセス、変更などを監視し、機密情報の安全性を確保します。
本製品には2種類のライセンスが用意されています。 1年ごとに更新される年間ライセンスでは年間保守サポートサービスが含まれており、無期限の製品ライセンスでは初年度のみの年間保守サポートサービスが含まれています。詳細はManageEngineのwebサイトをご覧ください。
主な機能
- 脅威インテリジェンス
- イベントログ
- 行動分析
- ネットワークモニタリング
- コンプライアンス管理
- フォレンジック分析
4.
評価ポイント (5つ星満点中)
- 総合評価 4.6星
- 使いやすさ 4.1星
- カスタマーサービス 4.3星
- 機能 4.5星
- 価格の妥当性 4.3星
Splunkは、アプリケーションのパフォーマンス監視を行い、異常の検出とリアルタイムフィードバックを提供するプラットフォームです。
AI分析およびトラブルシューティングをもとに、根本原因の究明と問題解決を支援します。メトリクスとイベントデータをグラフなどで可視化して分析し、その結果からアラートを作成することも可能です。
さらに、ワークロード管理機能で、組織の優先順位に基づいてシステムリソース (CPUやメモリなど) を確保することができます。それにより、取り組みや検索など、重要度の高いワークロードのためにシステムリソースを割り当てられます。
Splunk Enterpriseはオンプレミスまたはクラウドで導入可能で、取り込みデータ量ベースと、ワークロード (検索や分析に必要な処理能力) ベースの価格オプションから選択できます。60日間の無料トライアルもあります。詳細は、ベンダーサイトをご確認ください。
主な機能
- 脅威インテリジェンス
- イベントログ
- 行動分析
- ネットワークモニタリング
- コラボレーションツール
- コンプライアンス管理
SIEMは複数機器のログを自動で一元管理できる頼もしいツールですが、ログの範囲や付随する機能によって費用が異なります。導入にあたっては、必要とするセキュリティ機能、収集したいログの種類、保管期間、保管方法の他、導入後の運用体制を確認した上で製品を検討しましょう。
本記事で取り上げた製品の選定方法
本記事で紹介する製品を選定するために、シークレットモードで「SIEM製品」をGoogleで検索し、検索結果の2ページ目までに表示された製品をリストアップした (検索日:2022年9月7日)。
候補となったツールは、以下の基準で絞り込んだ。
- 市場定義 キャプテラによる「SIEMツール」の定義に該当するツールであること。すなわち、「脆弱性情報をもとに、アプリケーションの脆弱性や脅威を検出・ブロック」すること
- 中核機能 ログ管理、リアルタイムモニタリング、脆弱性管理など、このソフトウェアカテゴリーの中核となる機能を備えているツールであること
- サーチボリューム 日本国内で最も検索数の多いツール
- ドメインオーソリティ ドメインオーソリティ (DA) が最も高いベンダーwebサイト
注意:掲載内容は2022年9月時点での情報です。最新の情報は各ベンダーへご確認ください。
