SIEMのリプレースが必要な5つの兆候

unnamed-14.png

セキュリティ情報およびイベント管理(SIEM)にすでに投資している場合、データをさらに取り込んでインデックスするにはそのSIEMベンダーに追加で料金を払わなければならないケースがあります。最近のレポートによると、ほぼ半数(44%)の組織が、現在のSIEMソリューションの強化またはリプレースが必要だと考えているそうです。

本稿をお読みのあなたの組織も、SIEMをリプレースすべきタイミングかもしれません。

でも、ご心配には及びません。Elasticは、初期費用をほとんどあるいはまったくかけずに、新しい強力なSIEMを試せるソリューションです。このソリューションはオープンなアプローチを採用しており、データを無料で取り込むことができます。1つのソリューションに無制限にデータを収集することができるので、チームの能力がアップします。 

実際にリプレースが必要かどうか、おわかりでしょうか。以下に示す5つの問題が発生していたら、SIEMのリプレースが必要な可能性があります。

1.データの取り込みと保存に桁違いのコストがかかっている

今利用しているSIEMベンダーがデータの保存に料金を課している場合、予算の都合で多数の重要なコンテキストデータが活用できないままになっている可能性があります。残念ながら、アクティビティデータとコンテキストにすばやくアクセスできないと、チームが十分に能力発揮できず、組織を適切に保護できません。 

2.調査の実行速度が遅い

クエリ実行に何時間もかかっている場合、リアルタイムで必要な回答を得られるようにする最新ツールの導入を検討すべきタイミングです。数秒以内に結果を得られるSIEMソリューションを探すことをお勧めします。 

3.プラットフォームの柔軟性が低い

多くの従来型SIEMは、チーム固有の仕事スタイルに合わせて調整できるようには作られていません。カスタムの統合、ダッシュボード、ワークフローを作成できる柔軟性は、さまざまな成果を出すうえで役立つ強力な加点要素です。

4.オンプレミス専用である

使っているSIEMソリューションがマルチクラウドに対応していない場合、最新のSIEMだけが提供できるスケーラビリティと自動化を実現するために補完的なツールが必要になります。

5.ユーザーコミュニティの規模が小さい

セキュリティにオープンなアプローチを取っていないベンダーの場合、幅広いユーザーコミュニティからの意見を取り入れていない可能性があります。そのようなベンダーは、ユーザーの協力やフィードバックを得られず、進化を続けるサイバー脅威の状況に合わせてSIEMの革新を続けることができません。 

従来のSIEMではうまくいかない

現在のSIEMソリューションが抱えている課題の多くは、そのSIEMを開発する基盤となったインフラストラクチャーに原因があります。SIEMの要件は大幅に拡大し、セキュリティデータの静的な収集、保存、分析だけではなくなりました。そのデータから得られる動的でアクション可能なインサイト、環境全体の相関関係、統合された脅威インテリジェンス、関心のある領域を詳しく調べるリアルタイム調査機能も求めるられるようになっています。 

クラウドサービスの統合を続けていくと、攻撃ベクトルがさらに増えます。現在では、ユーザー、アプリ、行動などを横断的に監視することが、実務者の日課となっています。

Elastic CISOのマンディ・アンドレスは次のように説明します。「クラウドへのワークロードの移行に伴い、クラウドデプロイの監視がビジネスに欠かせない要素となっています。従来のSIEMの中には、たくさんの保守とデータ読み込みが必要なものがありました。現在のIT環境では、大量のデータが発生します。従来のSIEMはデータをたくさん読み込むことはできますが、分析機能を備えていません。読み込まれたデータの分析にかかる時間は数時間から数日におよぶこともあります。それが障害となって、不審なアクティビティを短時間で調査することができません」

リプレースを進める

SIEMのリプレースを決定したら、次のステップは当然、セキュリティ関連のイベントログすべての収集、可視化、分析に使えるスケーラビリティと柔軟性の高いプラットフォームを探すことです。また、リプレース先のSIEMには、コンプライアンス要件を満たすために、既存のSIEMに生のログや変換したログを選択的に転送する能力も必要です。 

リプレースによって、元のSIEMが即座に不要になるわけではありません。元のSIEMは引き続き、複雑な相関付けルール、ケースワークフロー、インシデント対応管理、コンプライアンスレポートなど、それまでの長期にわたる調整の賜物である機能を提供することになります。

Elasticを既存のSIEMと組み合わせると、クラウドの速度と規模でデータを活用して、進化を続ける脅威の効果的な検出、調査、応答ができるようになり、セキュリティ運用をモダナイズできます。さらに、Elasticの料金体系はリソースベースなので、データの取り込みに料金は発生しません。リソースに投資する前にソリューションの使用感を確かめられるため、導入に際してのハードルが低くなっています。

実際のユースケース

USAAは、Elasticを使用して自社のSIEMを強化したところ、すぐにその効果に気付きました。1つ目の効果に気付いたのは、Webプロキシ帯域幅の消費源を分析するためにインタラクティブな調査をしていたときです。チームは、帯域幅の過剰消費にすばやく気付き、数分のうちにネットワークの不適切使用の原因を特定できました。

もう1つの効果は、速度の速さで知られるElasticを使用したことで、ほぼリアルタイムの調査ができるようになったことです。顧客向けアプリがネットワーク経由でスキャンされていることを検知したときには、それから2 - 3分以内にポートスキャンアクティビティの原因を特定できました。一方、既存のSIEMを使うと、同じ時間で最初の検索の2%しか完了しませんでした。

このようにパッシブなデータ収集からアクティブな調査にシフトしたことで、USAAのチームはセキュリティの"収集者"からElasticを使った"ハンター"に変化しました。SIEMとセキュリティ分析用の一元化されたオープンプラットフォームを導入することで、チームのセキュリティ成熟度を高めることができます。

始めよう

SIEMのリプレースは、いくつもの工程があるプロセスです。Elasticのセキュリティエキスパートが、リプレースをして目的の結果が得られるよう、最初から最後までお客様をサポートします。 

先進的なSIEM導入に向けた次のステップに進む準備ができたら、まずはこちらのSIEMの購入者ガイドをご覧ください。