を14日間無料で試してみる
を14日間700以上ものツールと連携。システム障害を自動的に検出・診断するだけでなく、適切な障害対応メンバーをアサインし、デジタル業務全体の修復ワークフローを自動化します。
現代の企業は、予測困難なサイバーセキュリティの脅威に直面しています。攻撃を受けると、重要なデータやシステムに大きな影響をおよぼすことになりかねません。
そこで、この脅威に対処するために、多くの企業がベストプラクティスとしてSIEM(Security Information and Event Management/セキュリティ情報イベント管理)を採用しています。
SIEMを活用すれば、IT環境全体でデータの集約と分析により、セキュリティの脅威に対する実用的なインサイトと包括的な状況の把握が可能です。
本記事では、SIEMを利用した具体的なセキュリティ使用事例を5つ紹介します。
各事例を通じて、SIEMがどのようにして実際のセキュリティ対策に役立っているのかを見ていきましょう。
目次
セキュリティを検知・分析するSIEMとは?
SIEMとは、ネットワーク機器やセキュリティ製品といったIT機器のログを、一元管理して解析するツールです。
SIEMの活用により、サイバー攻撃などの脅威を検知・解析して、迅速なインシデント対応が可能になります。
具体的な活用方法は以下のとおりです。
- リアルタイムで多様なログデータを解析して、異常を検知する
- 複数のIT機器から収集したログを一元管理して、セキュリティ運用の効率化と信頼性の向上を図る
- ログデータの解析を自動化して、人的リソースの負担を軽減する
SIEMは、おもにログデータの収集・解析を通じて、多様化するサイバー攻撃への迅速な対応を目指すツールとして開発されました。
そのため、「PagerDuty」のような、インシデント対応プロセスの効率化を目的としたツールとは異なります。
セキュリティ使用事例その1:従業員または内部者からの脅威を検知
セキュリティの脅威は外部だけでなく、内部からも発生する可能性があります。
例えば、自社のITチームや委託業者により危害が加えられるケースです。
従業員が勤務時間外に何度もシステムにアクセスする、会社のデータを個人的なクラウドストレージや外部ドライブに転送するといった行動には、警戒が必要でしょう。
これらのケースは、SIEMのログデータ収集・解析・異常検知機能によって、効果的に対処できます。
SIEMを活用すれば、普段は問題と見なされないような動きも細かくチェックできるでしょう。
使用事例その2:特権アカウントアクセスを監視
特権アカウントは、顧客情報やサーバーの設定など、システムの重要な部分にアクセスできるため、サイバーセキュリティの観点から非常に重要な管理対象です。
このアカウントが侵害されると、企業のセキュリティシステムが危険にさらされることになりかねません。
近年では、セキュリティの攻撃対象が広くなっているため、あらゆる場所からシステムやデータが攻撃される可能性があります。そのため、予想外の場所や時間にアクセスがあった場合には監視が必要です。
SIEMシステムは、アクセスログをリアルタイムで監視して、業務時間外や通常の使用場所以外からのアクセスがあった場合は、すぐにアラートを発します。
もちろん、VPNを使って特定の場所に絞ったアラートも発信できますが、こうしたセキュリティは現在でも有効です。
また、サイバー犯罪者に狙われやすい「admin」や「administrator」といった一般的なアカウントは使わないようにしましょう。
セキュリティ使用事例その3:脅威を追跡
現代のIT環境は、多くのアプリケーションやデバイスが連携して動き、複雑化しています。そのため、インシデントを予防して対応するには、組織全体の状況把握が必要です。
SIEMを活用すれば、システム全体のデータをリアルタイムで監視・分析して、可視性の向上を図れます。
例えば、脅威インテリジェンスに基づいてSIEMのアラートを設定すると、これまで検知できなかった新たな脆弱性や異常を見つけられます。
また、自動化の導入により、人の目では見逃してしまう小さな危険も発見することが可能です。
セキュリティ使用事例その4:MITC(Man in the Cloud/クラウドを狙う中間者攻撃)を監視
SIEMは、MITC攻撃の監視・検出も可能です。
MITC攻撃は中間者攻撃(MITM)の一種で、攻撃者がサービスを利用するユーザーとプロバイダーの間に割り込み、やり取りされるデータを盗む手法です。
一般的に知られる中間者攻撃では、通信を傍受してログイン情報などの機密データを盗みます。
それに対し、MITC攻撃はOneDriveやDropboxなどのクラウドサービスを利用する際に使用される、OAuthトークンを悪用します。
OAuthトークンとは、ユーザーがインターネット上のサービスやアプリケーションにアクセスするための認証情報のことです。
OAuthトークンが盗まれると、攻撃者は正規のユーザーになりすましてサービスにアクセスし、データを盗み取ることができます。
リモートログインの利便性は、サイバー犯罪者に侵入の隙を与えてしまいます。そのため、攻撃を受けないように、SIEMなどを活用して対策しなければなりません。
SIEMは、クラウドサービスへのアクセスログをリアルタイムで監視し、不正なアクセスや異常なデータの移動が検出された場合にアラートを発します。そのため、MITC攻撃に対して非常に効果的です。
具体的な活用方法として、まずSIEMを使ってクラウドインスタンスへの接続を監視し「誰が、いつ、どのように接続しているのか」をチェックします。
さらに、CASB(Cloud Access Security Broker/クラウドアクセスセキュリティブローカー)を活用して、セキュリティ対策を強化します。
CASBはクラウドサービスの利用時に、監視・制御・保護する役割を果たし、セキュリティを強化するためのツールです。
例えば、ある企業が使用するDropboxアカウントに対して未承認の地域から異常なログインが検出された場合、SIEMはすぐにセキュリティチームに通知します。
同時に、CASBはそのセッションを隔離して、ユーザー認証情報の変更や追加のセキュリティ検証を要求するのです。
クラウドサービスにおけるMITC攻撃は、企業データにとって重大な脅威になります。SIEMとCASBを組み合わせてMITC攻撃を効果的に検出し、未然に防ぎましょう。
セキュリティ使用事例その5:攻撃またはインシデントを調査
IT企業は、インシデント発生時に同様のトラブルを防ぐため、トラブルの原因を迅速かつ詳細に調査する必要があります。
しかし、システムやプロセスが複雑になるほど、インシデントの発生確率は高まります。
そのため、インシデント対応後は、その原因や影響を詳細に分析する事後検証(ポストモーテム)が必要です。
SIEMを活用してポストモーテムを実施すれば、数百または数千ものデータポイントをチェックして事後検証ができます。
具体的には「何が、いつ、どこで、どのように起こったか」など、関連するデータポイントを詳細に把握します。そのため、より効果的なポストモーテムの実施が可能です。
さらに、SIEMの自動化と機械学習を活用して、人間では見逃しやすいパターンや異常を検出することで誤検知を減らせます。
SIEMを使用すれば、データ侵害が発生した場合でも、侵害の正確な時間、場所、関与したユーザーを特定できます。
さらに、どのデータが影響を受け、どのようにアクセスされたかも詳細に追跡が可能です。
PagerDutyとSIEMを組み合わせてセキュリティ分析を強化
SIEMは、企業内のネットワーク、デバイス、サーバー、アプリケーションなどからセキュリティ関連のデータを集約して、解析・分析するツールです。そして、SIEMから検出された警告やアラートは「PagerDuty」に連携できます。
これらのツールを連携することで、「PagerDuty」はそれぞれのアラートの緊急度に基づいて、適切な対応チームや担当者に通知します。
さらに、SIEMによる詳細なログ情報と、「PagerDuty」のインシデント対応データを組み合わせてポストモーテムを行なえば、より詳細な原因分析ができるでしょう。
SIEMやPagerDutyはこのように、システムやサービスで異常や問題が発生した際に、即座に通知を送る仕組みを持つため、IT企業にとって重要なツールといえるでしょう。
それぞれのツールを活用してインシデントが発生した際に迅速かつ効率的に対処し、サービスの信頼性と安全性を高めましょう。
「PagerDuty」に興味のある方は、ぜひ14日間の無料トライアルをご利用ください。
14日間の無料トライアル
https://ja.pagerduty.com/sign-up/
「PagerDuty」は、システムの状態を一目で把握できる見やすいダッシュボードを提供しています。これにより、問題が発生した際には、具体的な対処方法を示してインシデント対応をサポートします。
また、重要なアラートだけをわかりやすく表示するため、平均修復時間(MTTR)の短縮にも役立つでしょう。
まとめ:多様な使用事例と先進ツールを駆使してセキュリティ対策を強化しよう
現代のIT企業は、常に新たなセキュリティ脅威と戦わなければなりません。
そこで、SIEMを活用すれば、不審なアクセスや異常なデータを迅速に特定して、システムやネットワークを保護できます。
この記事で紹介したSIEMの使用事例は、その対応策の一部です。
また、SIEMを「PagerDuty」と組み合わせると、組織全体でのセキュリティ監視とインシデント対応が統一されます。
自動アラート管理機能や効率化されたインシデント対応プロセスにより、セキュリティチームの負担が軽減されるなどのメリットを得られるでしょう。
2つのツールを駆使して、効果的かつ効率良くセキュリティ対策を強化してください。
「PagerDuty」に関する資料や導入事例は、以下のページからダウンロードいただけます。
https://www.pagerduty.co.jp/resources
この記事が気になったら
PageDuty公式アカウントをフォロー
この記事の著者
関連ブログ記事
人気記事
検索
タグ目次
