サイバーセキュリティが進化するにつれて、攻撃の手法と範囲も進化します。SecOpsチームは、内部および外部の脅威から組織のアセットを保護するという課題に常に直面しています。SIEMプラットフォームは、企業のセキュリティポスチャの全体像と、インシデントや異常に関するインサイトを提供することを目的としていますが、ログ管理プラットフォームは主に、あらゆる種類のデータを収集するように設計されており、それに加えて、最適化されたストレージ、検索、集約、視覚化機能も提供されます。

ログ管理とセキュリティ情報およびイベント管理 (SIEM) ソリューションは、多くの場合、補完的であり、場合によっては競合することもあります。ただし、これは検討されているソリューションの種類によって異なります。SIEMとログ管理プラットフォームは、多くの場合、どちらもイベントデータを処理するという点で重複し、同じユースケースへの対応に使用することができます。また、最新のログ管理プラットフォームを使用して独自のSIEMを設計する柔軟性を求める人もいますが、これには多くの場合、プラットフォームのコアコンセプトとその内部の仕組みをよく理解することが必要になります。

SIEMとログ管理ツールをより完全に理解するために、それらの機能を3つのカテゴリに分けてみましょう。主にSIEMに見られる機能、主にログ管理に見られる機能、そして2つを併用する利点です。

SIEMとログ管理の定義

SIEMとは

SIEM（セキュリティ情報およびイベント管理） は、ITシステムからマシンデータを収集し、分析して相関付け、セキュリティの脅威を検出するツールです。

SIEMロギングとは

SIEMソフトウェアは、複数のソースからログを収集し、それらを中央のロギングシステムに転送します。ほとんどのSIEMプラットフォームには、さまざまなシステムからログを取得するための組み込みの統合機能があります。また、コミュニティで構築されたアプリや、あまり知られていないシステム用の統合機能のリポジトリがある場合もあります。

SIEM統合の一般的な種類には、次のものがあります。

• エージェント：SIEMソフトウェアのログコレクターエージェントは、ターゲットソースサーバーにインストールされ、個別のサービスとして実行されます。これらのエージェントは、さまざまなログを読み取り、それらのログの内容をSIEMソリューションに送信します。
• API接続：ログは、APIエンドポイントを介して、APIキーを使用して収集されます。これらは通常、サードパーティのクラウドアプリケーションです。
• アプリケーションの統合：これらはSIEM側にあります。ソースシステムから送信されるデータは、任意の形式にすることができ、特定のプロトコルを使用できます。これらの統合は、ソースシステムによって生成されたデータと連携できるため、関連フィールドを抽出し、ユースケースに適した視覚化を作成できます。多くの統合には、さまざまなユースケースに対してすぐに使用できる視覚化もあります。
• Webhook：これは、多くの場合、SIEMソリューションから別のプラットフォームにデータを送信するために使用される方法であり、ルールに基づいてトリガーできます。この典型的な例は、調査が必要な問題をチームに通知するために特定のSlackチャネルにアラートを送信するSlackの統合です。
• カスタムスクリプト：エンジニアは、ソースシステムからデータを収集し、ログデータをフォーマットしてSIEMソフトウェアに送信するカスタマイズされたスクリプトをスケジュールして実行できます。

ログ管理システムとは

ログ管理システム (LMS) は、さまざまなソースからのログデータとイベントログを一元的に収集、並べ替え、保存するソフトウェアソリューションです。ITチーム、DevOps専門家、SecOps専門家にとって、ログ管理ソフトウェアシステムは、関連するあらゆるネットワークデータとアプリケーションデータにアクセスする際の一元的な窓口となります。データはすぐに検索可能であるため、ITチームは、ネットワークの正常性、リソース割り当て、セキュリティに関する意思決定を行う際に必要なデータに簡単にアクセスできます。

ログ管理ツールは、企業全体で生成される大量のログデータを組織が管理できるように支援する目的で使用されます。これらのツールは、以下を判断する際に役立ちます。

• ログに記録する必要があるデータと情報
• ログを記録する際のフォーマット
• ログデータを保存する期間
• 不要になったデータを廃棄または破棄する方法

特徴と機能

SIEMの主な特徴：

• 相関ルール
• 限られた量のデータを検索する機能
• セキュリティ関連ログの選択的取り込み
• セキュリティ関連のレポート機能

理論的には、SIEMは、データをフィルタリングしてユーザー向けの実用的なアラートにするように設計されています。しかし、何層にもわたるアラートと複雑さにより、「干し草の山から針を見つける」ではなく「針の山」になってしまうことがよくあります。SIEMは、本質的な複雑さのために、展開、運用、保守に費用がかかる場合があります。SIEMでは、機能の範囲を網羅するために、しばしば速度と信頼性の点で妥協が行われます。SIEMでは、価格設定モデルを通じて、可能性のあるデータソースの一部を含めないように縮小が行われることがよくあります。

ログ管理ソリューションの主な特徴：

• ログ管理のオーバーヘッドの削減
• すべてのデータソース（IT、セキュリティ、DevOps、ビジネス分析）の包含
• 高性能なアーキテクチャ
• データの長期保持
• 広範なクエリ、集計、視覚化機能
• ニーズと結果に基づくユースケース
• データ分析と相関機能

最新のログ管理ツールは、さまざまなソースからデータをできるだけ早く取り込み、データが取り込まれたらすぐにユーザーが包括的な方法で検索できるようにすることに重点を置いています。これらのツールは、毎秒数百万のイベントを収集して保存し、効率的に圧縮して保存するように構築されています。ログ管理の中核となる強みは、SIEMに関する多くの懸念に対処します。システムからのすべてのデータの全体像を低コストで、少ないメンテナンスで、SIEMよりも長く保存することができます。

ログ管理とSIEMを併用する利点：

• ターゲットを絞ったアラートと組み合わせた柔軟な大規模検索
• 非常に大量のデータを検索する機能
• コンプライアンスルールおよび要件への適合
• アラートと自動化の提供
• 大量のデータをログ管理に移行することで支出を削減

1. ログデータの広範な使用：

どちらのツールもログデータを広範囲に使用します。SIEMは、そのデータがエンドユーザーに届く前に精選、分析、フィルタリングすることに重点を置いています。ログ管理は、すべてのデータへのアクセスと、習得しやすい検索言語を通じて簡単にフィルタリングおよび精選する手段を提供することに重点を置いています。

2. 脅威ハンティングのユースケース：

SIEMとログ管理はどちらも脅威ハンティングに使用できます。一般的に、SIEMでは、ユーザーに脅威を警告するのにより時間がかかり、完全なデータセットがないために一部の脅威を見逃す可能性があります。ログ管理では、ユーザーに脅威をより迅速に警告し、脅威ハンティングに対するより実践的で包括的なアプローチをサポートできます。

3. 監査とレポート：

SIEMとログ管理プラットフォームはどちらも監査とレポートを提供できます。ただし、多くの場合、SIEMプラットフォームはセキュリティに重点を置いたデータに限定されるのに対し、ログ管理プラットフォームにははるかに広範なデータが含まれます。

4. アラートと自動化：

ログ管理とSIEMはどちらもアラートと自動化を提供します。リアルタイムの検索結果を活用することで、ログ管理はSIEMよりも短時間でアラートを共有し、対応をトリガーすることができます。SIEMでは、SIEMベンダーが提供する自動対応のプレイブックを作成できるため、自動化された対応をより複雑に管理できます。SIEMオプションでは、多くの場合、SOAR（セキュリティのオーケストレーション、自動化と対応 ） ベンダーとの多くの事前構築済み統合を利用できます。

次世代SIEMおよびログ管理のための世界をリードするAIネイティブプラットフォームをお試しください

SIEMとログ管理ための最高水準のAIネイティブプラットフォーム、CrowdStrike Falcon®プラットフォームでサイバーセキュリティを強化しましょう。ペタバイト規模でのセキュリティログを体験してみてください。クラウドネイティブ型または自己ホスト型での展開が可能です。ボトルネックの生じない、強力でインデックスフリーのアーキテクチャを利用してデータをロギングすれば、1日あたり1PB以上のデータを取り込んで脅威ハンティングに役立てることができます。リアルタイムの検索機能により攻撃者をしのぐスピードで対策を実施できます。複雑なクエリを実行しても、そのレイテンシーは1秒未満です。360度の可視性によりデータを統合してサイロ化を解消し、セキュリティ、IT、DevOpsチームがシームレスに脅威のハンティング、パフォーマンスのモニタリング、コンプライアンスの確保を行うことができます。30億件ものイベントにわたる作業でも1秒未満で実施できます。