7つのオープンソースSIEM:機能と制約
SIEM(Security Information and Event Management)システムは、かつては大企業のみを対象としていましたが、中規模、さらには小規模の企業による採用がますます進んでいます。オープンソースSIEMはライセンスコストが低く、機能が増え続けているため、新たに導入する企業にとって魅力的です。現在、どのようなオープンソースSIEMが導入可能で、それらは従来型のエンタープライズ向けサービスとどう違うのでしょうか。
この記事で学べる内容:
- SIEMとは何か
- オープンソースSIEMとエンタープライズレベルSIEMとの比較
- オープンソースSIEMの制約
- 上位7つのオープンソースSIEMツール
SIEMとは何か
- SIEM(Security Information and Event Management)は、セキュリティと監査のシステムです。単一のツールではなく、複数の監視および分析コンポーネントからなる「ツールボックス」です。
- SIEMは企業全体にわたる数百ものセキュリティツールやITツールからデータを蓄積し、統計的な相互関連付けとルールを用いてイベントやログエントリーを有用な情報に変換します。セキュリティチームはこの情報を利用して、リアルタイムの脅威検知、セキュリティインシデントに対するフォレンジック調査の管理、インシデントレスポンスの整理、コンプライアンス監査の準備を実行できます。
- SIEMは、いまや標準となったセキュリティアプローチです。サイバー攻撃が増加を続け、セキュリティ規制が厳しさを増す中で、多くの組織がSIEMを採用するようになっています。PCI DSSやEUのGDPRなどの規制の変更によって、システムとアプリケーションのログイベントを個々のサーバから削除し、調査と対応のために安全に保管することが必要不可欠となったのです。
オープンソースSIEMとエンタープライズグレードSIEMとの比較
SIEMは、現代のサイバーセキュリティの基礎となるシステムです。他のセキュリティツールによって表された情報の流れをSIEMで処理して価値を引き出すことができます。すべてのSIEMが同じ機能を備えているわけではありません。組織のニーズに合うSIEMを選ぶことが、組織が破滅的なセキュリティ侵害を防ぐか見逃すかの分かれ目になるかもしれません。
オープンソースSIEM
組織はオープンソースSIEMツールを使用することで、ソフトウェアのライセンスコストを削減するとともに、特定の機能を評価したうえで製品への投資を拡大できます。オープンソースSIEMソリューションは、セキュリティイベント情報のログ記録と分析に着手したばかりの小規模組織のニーズに適した基本機能を備えています。
オープンソースSIEMの制約
- 組織が成長するにつれ、オープンソースSIEMソフトウェアには多大な労力が必要になるおそれがあります。
- ライセンスコストは節約できても、継続的な保守費用がかかる可能性があります。
- 多くのオープンソースSIEMソリューションには、レポート作成、イベントの相互関連付け、ログ収集のリモート管理など、重要なSIEM機能が搭載されていません。
- そのため、オープンソースSIEMを他のツールと組み合わせる必要が生じる場合があります。
- 通常、オープンソースSIEMを効果的に展開するには高度な専門知識と時間が必要です。
- 一般的に、オープンソースSIEMにはストレージやその管理機能がありません。これは、データ量が膨大であることを考えると注意すべき問題です。
エンタープライズグレードSIEM
エンタープライズSIEMソリューションは、構成とインストール、相互関連付けの構成、フィルタ、事前構築済みの可視化など、最もよく見られるユースケースに対応した高度な管理機能を提供します。このようなソリューションを利用することで、大規模なデータセンターのアクティビティを監視し、セキュリティ関連のアプリケーションを一元的に管理および構成できるようになります。
おそらく最も重要な点は、次世代SIEMの機能を提供しているのが、現状ではエンタープライズSIEMだけだということです。次世代エンタープライズSIEMは、セキュリティチームの時間を節約し、インシデントの検知とレスポンスを劇的に向上させる2つの新しいテクノロジーを備えています。
- UEBA(ユーザとエンティティの行動分析)は、ルールと相互関連付けからさらに進化した機能で、AIと機械学習を活用してユーザとITシステムの行動パターンに注目し、脅威を示している可能性のある高リスクな異常を発見します。
- SOAR(Security Orchestration, Automation, and Response)は、エンタープライズシステムに統合される機能で、システムのオーケストレーションによってマルウェアやデータエクスフィルトレーション(データの持ち出し)攻撃の緩和などのインシデントレスポンスプロセスを自動化します。
上位のオープンソースSIEMツール
オープンソースSIEM | デプロイメントオプション | 主な機能 | 制約 |
ELKスタック Elasticsearch、Logstash、Kibanaという3つのオープンソース製品の集合体。これら3つのツールを使用して、ITイベントの可視化と分析を実現。 |
仮想環境、物理ハードウェア、プライベートクラウド、パブリッククラウド内のプライベートゾーン、パブリッククラウド(Google、Azure、AWSなど)。 |
|
|
Apache Metron 業界で比較的後発組となる製品。複数のオープンソースプロジェクトを1つのプラットフォームに組み合わせるセキュリティフレームワーク。 |
現在、HBase、HDFS、Elastic Searchの3つのデータストアで動作。 |
|
|
SIEMonster オープンソーステクノロジーに基づく。無料版と有料ソリューション(プレミアムおよびMSSPマルチテナンシ)を利用できる。 |
Dockerコンテナを使用したクラウド上、VMおよびベアメタル上(Mac、Ubuntu、CentOS、Debian)。 |
|
|
Prelude 他の各種のオープンソースツールを統合。同名の商用ツールのオープンソース版。 |
Linux、OpenBSD、FreeBSD、NetBSD、Sun/Solaris、MacOSX、Tru64、その他のUNIXベースシステム。 |
|
|
OSSIM イベント収集、正規化、相互関連付けを含むSIEMプラットフォーム。 |
オンプレミスの物理環境と仮想環境。 |
|
|
オープンソースのメリットとコストの比較
オープンソースSIEMは、ここ数十年で大幅な成熟を遂げ、多くの組織で正常に展開されています。しかし、採用が促進された主な理由はライセンスコストの削減であるにもかかわらず、ライセンスコストはSIEMシステムのTCOのごく一部でしかないことはよく知られています。SIEM本体より大きい可能性のある他の構成要素には、以下のものがあります。
- ハードウェアとストレージには、特に中規模から大規模の企業にとって多額のコストがかかり、管理も複雑になります。
- アナリストの時間は、ほとんどのセキュリティチームで最も貴重なリソースで、SIEMアラートを何らかの形で活用するにはアナリストが不可欠です。
Exabeamは、Elasticsearchをベースにしたエンタープライズグレードのプラットフォームとして構築された次世代SIEMプラットフォームで、前述の2つの問題を解決しコストセンターに対応します。
- 固定費用で無制限のクラウドベースストレージを提供
- UEBAやSOARなどの次世代SIEMの機能を利用してアナリストの時間を劇的に削減
ORION CASSETTO
Exabeam, Inc. ディレクター、プロダクトマーケティング
お問い合わせ・資料請求
株式会社マクニカ Exabeam 担当
- TEL:045-476-2010
- E-mail:exabeam-sales@macnica.co.jp
平日 9:00~17:00