なぜSIEMが必要なのか
IT環境では、システムやアプリケーションを含む幅広い種類のデバイスで大量のログが日々生成されています。
ですが、それらはさまざまなフォーマットで出力されるため、ログデータの分析は容易ではありません。
そのような現状から、データを自動で相関分析し、その可視化により潜在的な脅威を特定できるSIEMが注目されています。
SIEMとは
SIEM(セキュリティ情報イベント管理)とは、セキュリティイベントやインシデントのシステム監視、脅威検知、警告を行うツールです。
収集したログのリアルタイム分析、検知アラート、レポート出力などにより異常をわかりやすく可視化することが可能です。
サイバー攻撃の巧妙化や、大量情報漏えいを引き起こす内部不正の増加により、このSIEMツールへの注目が高まっており、導入する企業が増えています。
SIEM 運用を最適化するために
SIEMはデータ分析には優れていますが、ログデータの見落しにつながる信頼できるログ収集、転送、保管においては十分とは言えません。
それでは、SIEMをより効率的に運用するには、どのようにするのがよいでしょうか。
SIEM導入時に考慮すべき課題とは
SIEM に送られるログが完全であると言い切れますか?
不完全なデータではセキュリティ脅威を見逃すこともあり得ます。また、改ざんや盗聴の心配もあります。
SIEM の性能を超える大量のログが送られれば、パフォーマンスに影響し、正しく分析できなくなる可能性があります。
企業のログソースもログデータも年々増加し続けます。SIEMツールはデータの処理量によって値段が変わることも多く、運用・維持には多額の費用がかかります。
解決策: syslog-ng Store Box(SSB) をSIEMのフロントエンドログ管理インフラとして利用する
フロントエンドに 統合ログ管理製品 SSB を使用することで、上記の課題を解決し、SIEM運用を最適化することが可能となります。
SIEM 運用の課題解決に SSBが適している理由
ログが改ざんされる危険
安全で信頼たる根拠に
SSBは、サーバー、さまざまな機器のログを確実かつ安全に収集します。
ハンドシェイク転送プロトコルの使用により、ログロストを防止します。
また、SSBのTLS暗号化メッセージ転送は、機密データの第三者による改ざん、盗聴を防ぎ、アプリケーションレベルで信頼性を確保します。
SIEMのパフォーマンスの低下
SIEMの負荷を軽減
SSBは、数千のログ送信元のログメッセージを高速処理(数千~数万件/秒)できるため、大規模かつ複雑に分散しているログの収集と管理を集中化することが可能です。
また、不要なログメッセージをフィルタリングすることでSIEMの負荷を軽減し、処理能力を最大化します。
予測しにくい料金
ログが増えても一定の料金
SSBのライセンスは、処理されたデータの量ではなく、ログを送信するホストの数で決まります。
ログデータの総量や速度の増加によって費用が加算されることはありません。
既存のSIEMとの連携
既存のSIEMをSSBと連携できれば、わずかな追加費用でその効果を改善できます。
SIEMによる高品質な情報を提供し、コンプライアンスの要求に対応する、信頼度の高いレポートを作成できます。
SSBは、多くのログ解析ソフトやSIEMと互換性があります。
syslog-ngとの互換性につきましては、ご利用のSIEMにてご確認ください。
弊社取り扱いのSIEM製品につきましては、こちら をご参照ください。
ご不明な点や製品のご相談などありましたら、お気軽にお問い合わせください。
SIEM最適化に関するビデオと資料ダウンロード
SSBでSIEMを最適利用する方法についてわかりやすく動画でご紹介します。(英語音声、日本語字幕)
製品ガイドダウンロードとお問い合わせ
製品に関する詳細は製品ガイドをご覧ください。
ご不明な点がありましたら、お気軽にお問い合わせください。
本製品はエンタープライズ向けの製品です。
エンタープライズ以外のログサーバーをお探しの場合こちらをご参考ください。