Innovation Leading Company

特集記事
SIEMのかしこい使い方

ネットワーク&セキュリティ事業本部
ソリューション技術部 第二課 市川 隆一

1. SIEMのルール作りが諸悪の根源

サイバーセキュリティにおいて、もっとも期待されながら、もっとも利用されていないソリューションのひとつがSIEMです。ログにはあらゆる情報が詰まっており、サイバー防御を行う上での宝箱のようなものです。そのログを集めて分析するSIEMのコンセプトは決して間違っておらず、オンプレ環境にもクラウドにもログさえ手に入れば適応できる頼もしいソリューションです。

ところがSIEMは成功談よりも苦労と挫折を聞く方が圧倒的に多いのは何故でしょうか?諸悪の根源はログを分析して脅威を炙り出すためのルールをひとつひとつ人間が作るという報われない作業にあります。ルールが特長のSIEMですが、皮肉なことに成功の秘訣は「ルールを作らないで運用する」と言っても過言ではないでしょう。

人工知能がルールを自動的に作成する時代が到来した時に、本来のSIEMとしての本領を発揮することになりますが、果たしてそれまでSIEMが待ってくれるでしょうか。

2. RSA Conferenceで思うこと(消えたSIEM...)

SIEMに最初に触れたのは今から6年程前。ArcSight社がHP社に買収されてそれほど間がない頃と記憶しています。アナリスト向けトレーニングに管理者向けトレーニングなどが充実しており、資格も取得して...いろいろありましたが時は流れて、ふとしたきっかけからサンフランシスコで開催されたRSA Conference 2017に行くことになりました。Sand box Contestや展示会など盛況でしたが、何処も彼処も聞こえてくるのは「機械学習」。アカウントの特定やインシデントの紐付、振る舞い検知のためのベースライン作成など、いずれもキーワードはMachine Learningでした。昔はあれほど華やかだったSIEMが姿を消していることに気がつくのにかなりの時間を要しました。

3.SIEMって何だっけ?

ネットワークに繋がっているあらゆるデバイスはログを蓄えており、貴重な情報源です。ログを上手く分析すれば過去の出来事だけでなく、リアルタイムに状況を分析・把握することができます。

ログを分析するソリューションとしてSIEMはその花形ですが、SIEMの定義は結構曖昧なのです。CIMとSEMと組み合わせたものなどと言われていますが、簡単に言うとログを集めて、相互に見比べるものです。当然ながら過去の事象を調べることが得意なものや、ログというよりネットフローを見るもの、中には「あれ?これもSIEMと言えるのだっけ?」と首を傾げざるを得ないものまで堂々とSIEMとして売られています。

4. 相関分析は画餅

SIEMの世界では、ログを見比べることを「相関分析」と言います。(英語ではCorrelation Evaluationと言ったりしています)。統計学で使う「相関分析」とは全くの別物ですね。

この相関分析が曲者で、結論から言いますと超が付くほど簡単なルールしか実際使えません。かなり勉強してルールを作ってみても、1時間に数千~数万のインシデントを発生させて、周りから「クレームの嵐」となるのがオチです。
また検知ルールを作ってみても、さてどうやってテストするの?

一般的に正常試験は比較的簡単ですが、異常試験はその異常な状態を疑似的に作り出すことが難しく、SIEMの試験はその最たるものなのです。

5. AIが待たれる

SIEMのコンセプト自体は優れたものですが、問題は人間がルールを書かなければならないことです。そして実際にSIEM事例の多くは、ログをリアルタイム相関分析しないという皮肉な結果になっています。例えばログを貯めて置いて、何かあれば検索する。ログというより、ネットフローをみてデフォルトルールをそのまま使って異常検知するなど。

SIEM本来のリアルタイム相関分析ルールを自動的に作成してくれる人工知能の登場が待たれます。



6. SIEMのかしこい使い方

現在のSIEMをかしこく使う方法があります。精度の高いインシデントログを発生する賢いセンサーと組み合わせることです。賢いセンサーはピンポイントに異常な事象を具体的に表現するログを発信しますので、SIEM側は簡単なルールを作成するだけで運用が可能です。またそういった優秀なセンサーはテストログを発生する機能を備えていますので、SIEMのルールを試験するのも非常に楽になります。