自社SOCとSIEM製品でセキュリティ対策強化は実現するか？

自社SOCとSIEM製品でセキュリティ対策強化は実現するか？
期待が膨らむ「理想」と厳しい「現実」…

大手企業が自社内にSOCを立ち上げてSIEM（Security Information and Event Management）を導入する動きが増えている、そんな情報を多く耳にするようになった。しかし、SIEMを有効活用し対策効果があったという声を耳にすることは少ない・・・そこにある理想と現実のギャップとは何か…運用視点から考察する。

SIEM製品で取得する「ログ」とは

SIEMとは、ネットワーク機器やアプリケーションから得られる膨大なログを集約し、インシデント発生時に管理者に通知したりその対策方法を知らせるなど、セキュリティ情報を俯瞰して管理できる手法のことである。インシデントを迅速に把握し対応できることから、大手企業を中心にSIEM製品の導入が広がりつつある。

SIEM製品で集約するログは、主に「インシデントログ」、「ログインログ」、「OSイベントログ」であり、それぞれのログを俯瞰的視点で関連付けることで適切な対策手段が導き出される。
インシデントとログをマッチングさせるという分析手法で活用できるかどうかがSIEM製品導入効果へ大きく影響を与えることになる。

しかしながら、現実に運用するとなると、この関連付け（俯瞰的に分析する視点）が難しい…とされ、SIEM製品の導入効果が発揮されているという事例を耳にすることが少ないのである。

SIEM製品…導入後そのまま使えるケースは実は少ない

SIEM製品によっては関連付けのテンプレートが複数用意されている。しかしながら、顧客環境は千差万別である。複数のテンプレートが用意されているとはいえ、多種多様なセキュリティ製品やネットワーク機器の組合せに応じた実用的なテンプレートが実装されていることはごく稀であり、実際に活用するとなれば何らかの手を加えて調整する必要がある。

立ち上げ間もないSOCの要員とノウハウでは自社環境に応じたテンプレートを構成することが運用上の大きな障壁となり、結果として、SIEM製品本来の機能を活用するに至らず、単にログを集めるだけのツールと化す。

導入効果を発揮するためには、「ログ」をアセスメントできるシステム管理者がいるか、運用をサポートしてくれる専門のセキュリティベンダーの存在が不可欠となる。「運用をサポートする」というのは、インシデント発生時にスポット的に対応することではなく、日々インシデントの状況を把握して予防処置の提案ができ、対応の要否への適切な判断を与えることである。

SIEM製品は導入してもなかなか有効活用ができない…。といわれているが、導入がゴールとならないよう、運用面は専門のベンダーに委託し、ノウハウを蓄積した上で自社運用に切り替えるというステップを描きながら導入を計画することがSIEM製品の有効活用への近道となるであろうと考える。

SIEM製品導入成功のカギ

いきなり自社で運用するのではなく、導入時は運用面を専門のベンダーに委託し、ノウハウを蓄積しながら自社運用に切り替えていくこと