前回のコラムでは、次世代型の監視・検知システム「SIEM（シーム、Security Information and Event Management）」が注目され、多くの企業がSIEMを活用し、統合ログ管理・監視を行っている現状をご紹介しました。

 SIEMの導入と運用にはいくつかのパターンがあります。巨大企業の中には、全てを内製で実施する場合もありますが、セキュリティ専門業者と共同で運用するか、全てを専門業者に外注するやりかたが一般的です。では、こうした専門業者を利用するメリットはどこにあるのでしょうか。

 SIEMは、単なるログ管理やコンプライアンスのためのエビデンスではなく、セキュリティ機器や、サーバ、OS、データベースなど、企業システムが生成するログを統合して相関分析することで、埋もれている攻撃の痕跡や予兆をリアルタイムに可視化する仕組みであることは前回述べました。

 相関分析とは、個別では意味をなさないログを複数組み合わせて分析することです。たとえば、「社員名簿の閲覧」というログが上がったとして、新入社員が多数入社した当日であるのか、あるいはオフィス内に誰もいない深夜の時間帯であるのかでは、そのログが示唆する意味は異なってきます。どのような事象をリスクとみなすかは、導入時にルールを設定する必要があります。

 このように、SIEM導入にあたっては、既存のシステム構成や、業務や組織の実態に合わせた精緻なチューニングが必要であり、導入後も、システムの変更や、攻撃手法の変化、セキュリティ要件の変化に合わせたチューニングが求められるのです。こうした際に、システムやネットワークに関する知識を持ち、企業の業務実態を理解することができ、サイバー攻撃の最新動向に知見を有する、専門のセキュリティ企業による支援は、小さくない助けとなるでしょう。