SIEMを最大限に活用し、運用コストを削減する方法

SIEM とは

SIEM(セキュリティ情報イベント管理)とは、セキュリティに関する統合ログ管理ツールの機能を持ちながら、常時、リアルタイムに高速な分析を行って、異常を検知した際にはアラートを発し、レポート機能により異常を分かりやすく可視化できるツールです。
サイバー攻撃の巧妙化や、大量情報漏えいを引き起こす内部不正の増加により、このSIEMツールへの注目が高まっており、導入する企業が増えています。

SIEM 導入時に考慮すべき課題

SIEM に送られるログが完全であると言い切れますか?不完全なデータではセキュリティ脅威を見逃すこともあり得ます。また改ざんや盗聴の心配もあります。 SIEM の性能を超える大量のログが送られればデータの処理に時間がかかかるなど、パフォーマンスが低下します。 企業のログソースもログデータも年々増加し続けます。SIEMツールはデータの処理量によって値段が変わることも多く、運用・維持には多額の費用がかかります。


解決策 : syslog-ng Store Box(SSB) をSIEMのフロントエンドログ管理インフラとして利用する

1. データの安全性と信頼性
SSBは、サーバー、ネットワーク、セキュリティ機器、アプリケーションなどのログを確実に、そして安全に収集します。ハンドシェイク転送プロトコルの使用により、ログ喪失は発生しません。
また、SSBのTLS暗号化メッセージ転送は、機密データの第三者による改ざん、盗聴を防ぎ、アプリケーションレベルで信頼性を確保します。

2. パフォーマンス
SSBは数千のログ送信元のログメッセージを数千~数万件/秒で高速処理します。
そのため、大規模かつ複雑に分散しているログの収集と管理を集中化することが可能です。
また、分析する必要のない不要なログメッセージをフィルタリングすることでSIEMの負荷を軽減し、処理能力を最大化します。

3. 拡張性と費用
SSBのライセンスは、処理されたデータの量ではなくログを送信するホストの数で決まります。
ログデータの総量や速度の増加によって費用が加算されることはありません。



SIEMツールのコストを最小化し、性能を最大限にするツール、それがsyslog-ng Store Box です。

既存のSIEMとの連携

既存のSIEMをSSBと連携できれば、わずかな追加費用でその効果を劇的に改善できます。
SIEMによる高品質な情報を提供し、コンプライアンスの要求に対応する、信頼度の高いレポートを作成できます。
SSBは多くのログ解析ソフトやSIEMと互換性があります。
SIEMの多くはsyslog-ng互換性を明記しているはずです。ぜひ一度お確かめください。

ご不明な点がありましたらお気軽にお問合せください。

SIEM最適化に関するビデオと資料ダウンロード

SSBでSIEMを最適利用する方法について分かりやすく動画でご紹介します。
(英語音声、日本語字幕)


Syslog-ng Store Box (SSB)でSIEM製品を最適利用する方法ビデオはこちらです

※ブラウザにより再生できないことがあります。その場合は、別のブラウザをお試しください。



SIEMツールの最大活用