7つのオープンソースSIEM:機能と制約

SIEM(Security Information and Event Management)システムは、かつては大企業のみを対象としていましたが、中規模、さらには小規模の企業による採用がますます進んでいます。オープンソースSIEMはライセンスコストが低く、機能が増え続けているため、新たに導入する企業にとって魅力的です。現在、どのようなオープンソースSIEMが導入可能で、それらは従来型のエンタープライズ向けサービスとどう違うのでしょうか。

この記事で学べる内容:

  • SIEMとは何か
  • オープンソースSIEMとエンタープライズレベルSIEMとの比較
  • オープンソースSIEMの制約
  • 上位7つのオープンソースSIEMツール

SIEMとは何か

  • SIEM(Security Information and Event Management)は、セキュリティと監査のシステムです。単一のツールではなく、複数の監視および分析コンポーネントからなる「ツールボックス」です。
  • SIEMは企業全体にわたる数百ものセキュリティツールやITツールからデータを蓄積し、統計的な相互関連付けとルールを用いてイベントやログエントリーを有用な情報に変換します。セキュリティチームはこの情報を利用して、リアルタイムの脅威検知、セキュリティインシデントに対するフォレンジック調査の管理、インシデントレスポンスの整理、コンプライアンス監査の準備を実行できます。
  • SIEMは、いまや標準となったセキュリティアプローチです。サイバー攻撃が増加を続け、セキュリティ規制が厳しさを増す中で、多くの組織がSIEMを採用するようになっています。PCI DSSやEUのGDPRなどの規制の変更によって、システムとアプリケーションのログイベントを個々のサーバから削除し、調査と対応のために安全に保管することが必要不可欠となったのです。

オープンソースSIEMとエンタープライズグレードSIEMとの比較

SIEMは、現代のサイバーセキュリティの基礎となるシステムです。他のセキュリティツールによって表された情報の流れをSIEMで処理して価値を引き出すことができます。すべてのSIEMが同じ機能を備えているわけではありません。組織のニーズに合うSIEMを選ぶことが、組織が破滅的なセキュリティ侵害を防ぐか見逃すかの分かれ目になるかもしれません。

オープンソースSIEM

組織はオープンソースSIEMツールを使用することで、ソフトウェアのライセンスコストを削減するとともに、特定の機能を評価したうえで製品への投資を拡大できます。オープンソースSIEMソリューションは、セキュリティイベント情報のログ記録と分析に着手したばかりの小規模組織のニーズに適した基本機能を備えています。

オープンソースSIEMの制約

  • 組織が成長するにつれ、オープンソースSIEMソフトウェアには多大な労力が必要になるおそれがあります。
  • ライセンスコストは節約できても、継続的な保守費用がかかる可能性があります。
  • 多くのオープンソースSIEMソリューションには、レポート作成、イベントの相互関連付け、ログ収集のリモート管理など、重要なSIEM機能が搭載されていません。
  • そのため、オープンソースSIEMを他のツールと組み合わせる必要が生じる場合があります。
  • 通常、オープンソースSIEMを効果的に展開するには高度な専門知識と時間が必要です。
  • 一般的に、オープンソースSIEMにはストレージやその管理機能がありません。これは、データ量が膨大であることを考えると注意すべき問題です。

エンタープライズグレードSIEM

エンタープライズSIEMソリューションは、構成とインストール、相互関連付けの構成、フィルタ、事前構築済みの可視化など、最もよく見られるユースケースに対応した高度な管理機能を提供します。このようなソリューションを利用することで、大規模なデータセンターのアクティビティを監視し、セキュリティ関連のアプリケーションを一元的に管理および構成できるようになります。

おそらく最も重要な点は、次世代SIEMの機能を提供しているのが、現状ではエンタープライズSIEMだけだということです。次世代エンタープライズSIEMは、セキュリティチームの時間を節約し、インシデントの検知とレスポンスを劇的に向上させる2つの新しいテクノロジーを備えています。

  • UEBA(ユーザとエンティティの行動分析)は、ルールと相互関連付けからさらに進化した機能で、AIと機械学習を活用してユーザとITシステムの行動パターンに注目し、脅威を示している可能性のある高リスクな異常を発見します。
  • SOAR(Security Orchestration, Automation, and Response)は、エンタープライズシステムに統合される機能で、システムのオーケストレーションによってマルウェアやデータエクスフィルトレーション(データの持ち出し)攻撃の緩和などのインシデントレスポンスプロセスを自動化します。

上位のオープンソースSIEMツール

オープンソースSIEM デプロイメントオプション 主な機能 制約
ELKスタック
Elasticsearch、Logstash、Kibanaという3つのオープンソース製品の集合体。これら3つのツールを使用して、ITイベントの可視化と分析を実現。
仮想環境、物理ハードウェア、プライベートクラウド、パブリッククラウド内のプライベートゾーン、パブリッククラウド(Google、Azure、AWSなど)。
  • ログ記録とログ分析
  • 収集したログデータの処理、フィルタリング、相互関連付け、拡張
  • 時系列データのインデックス付けと格納
  • 汎用のログ分析 - SIEMシステムとして設計されていない
  • 組み込みのレポート機能およびアラート機能なし
  • 組み込みのセキュリティルールなし
Apache Metron
業界で比較的後発組となる製品。複数のオープンソースプロジェクトを1つのプラットフォームに組み合わせるセキュリティフレームワーク。
現在、HBase、HDFS、Elastic Searchの3つのデータストアで動作。
  • 新しいデータソース用の新しいカスタムパーサーを追加できるプラガブルフレームワーク
  • エンリッチメントされたテレメトリデータを格納
  • リアルタイムで適用可能な異常検知および機械学習アルゴリズム
  • 限られた数の環境とオペレーティングシステムにのみインストール可能
  • UIは開発の初期段階にあり、認証に対応していない
SIEMonster
オープンソーステクノロジーに基づく。無料版と有料ソリューション(プレミアムおよびMSSPマルチテナンシ)を利用できる。
Dockerコンテナを使用したクラウド上、VMおよびベアメタル上(Mac、Ubuntu、CentOS、Debian)。
  • 脅威インテリジェンス処理フレームワーク
  • 格納、収集、処理、可視化にはELKスタックを使用
  • 無料版には、製品版のユーザ行動分析、機械学習、HoneyNet、Threat Killの機能はない
  • オンラインドキュメントがない
Prelude
他の各種のオープンソースツールを統合。同名の商用ツールのオープンソース版。
Linux、OpenBSD、FreeBSD、NetBSD、Sun/Solaris、MacOSX、Tru64、その他のUNIXベースシステム。
  • 相互関連付け、フィルタ処理、アラート
  • 分析および可視化機能
  • ごく小規模環境での研究、評価、テストに使用
  • メーカーによれば、Preludeオープンソース版のパフォーマンスは商用のPrelude SIEM製品より大幅に低い
OSSIM
イベント収集、正規化、相互関連付けを含むSIEMプラットフォーム。
オンプレミスの物理環境と仮想環境。
  • アセット発見
  • 脆弱性評価
  • SIEMイベントの相互関連付け
  • 侵入検知
  • 行動監視
  • 大規模になるとパフォーマンスの問題が発生
  • ログ管理機能が非常に限定的
  • 単一サーバにのみ展開可能
  • UEBAソリューションとの統合なし
  • アプリケーションやデータベースの監視機能が限定的
  • グラフデータベース機能が限定的で、ネイティブなユーザ分析が部分的にしかできない
  • DAM、CASB、DAP、DLPツールのサポートと統合なし

オープンソースのメリットとコストの比較

オープンソースSIEMは、ここ数十年で大幅な成熟を遂げ、多くの組織で正常に展開されています。しかし、採用が促進された主な理由はライセンスコストの削減であるにもかかわらず、ライセンスコストはSIEMシステムのTCOのごく一部でしかないことはよく知られています。SIEM本体より大きい可能性のある他の構成要素には、以下のものがあります。

  • ハードウェアとストレージには、特に中規模から大規模の企業にとって多額のコストがかかり、管理も複雑になります。
  • アナリストの時間は、ほとんどのセキュリティチームで最も貴重なリソースで、SIEMアラートを何らかの形で活用するにはアナリストが不可欠です。

Exabeamは、Elasticsearchをベースにしたエンタープライズグレードのプラットフォームとして構築された次世代SIEMプラットフォームで、前述の2つの問題を解決しコストセンターに対応します。

  • 固定費用で無制限のクラウドベースストレージを提供
  • UEBAやSOARなどの次世代SIEMの機能を利用してアナリストの時間を劇的に削減
ORION CASSETTO

ORION CASSETTO
Exabeam, Inc. ディレクター、プロダクトマーケティング

お問い合わせ・資料請求

株式会社マクニカ  Exabeam 担当

平日 9:00~17:00