組織で日々生成される膨大な量のセキュリティイベントログに圧倒されていませんか?SIEM(Security Information and Event Management)サイズ計算機は、こうした問題に対応できます。SIEMサイズ計算機でセキュリティ・イベントマネジメントの手間を省く方法については、こちらをお読みください。

組織でSIEM(Security Information and Event Management)を最適化することは、どの程度重要なのでしょうか?

SIEMツールは、さまざまなデジタルリソースからのログ情報を統合し、解釈するための一元的なプラットフォームを提供します。あらゆる脆弱性を検出・追跡することで、組織のセキュリティを保護します。

SIEM Optimization illustration

SIEMツールは、ネットワーク、サーバー、アプリケーション、エンドポイントなど、さまざまなセキュリティソースからデータを収集し、アクティブなセキュリティユースケースを提供することで、実用的なインサイトに変換することができます。

このように極めて重要なツールは、その最大限の効率を確保するために、最適な容量で使用する必要があります。SIEMのサイジングは、システムが処理・保存できるデータ量を決定するのに役立ち、セキュリティ戦略の重要な一部分となります。

なぜSIEMのサイジングが必要なのでしょうか?

SIEMの適切なサイジングは、データ量を処理する能力にとって不可欠であり、セキュリティイベントの損失や見逃しを防ぎ、SIEMツールの誤作動を防止することができます。さらに、SIEMが組織のニーズに対して大きすぎる場合、非効率で高い予算が必要になることもあります。SIEMのサイズを適切に設定することで、関連するすべてのセキュリティデータを効果的に監視・分析することができ、かつ費用対効果も高くなります。

SIEMサイジングは、現在のインフラをベースに、SIEMツールの新たな計画を立てるためのガイドとなります。しかし、SIEMツールの購入は大きな投資であることは否定できないため、投資に対するリターンを考慮する必要があります。

SIEMツールのROI(Return on Investment)はどのように測定するのでしょうか。

SIEMツールのROIは、ツールにかかるコストとツールのメリットを比較することで測定することができます。メリットには、セキュリティインシデントの減少によるコスト削減、コンプライアンスの向上、インシデントレスポンスの効率化などがあります。怪しい活動を防止し、イベントを正確に検出する機能を持つSIEMツールは、組織がサイバー攻撃のコスト(例えば、セキュリティ侵害やデータ損失に対する身代金の支払いや罰金)を回避できるようにすることで、投資対効果を発揮します。脅威を早期に検知することでリスクを軽減し、組織への回復不能な損害を防ぐことができます。

ROIを評価するための最適な方法は、最終的には特定のユースケースと組織に依存することになる。ソリューションの所有と運用のコスト、取り込むデータの割合、データの価値、得られるセキュリティ上の洞察のメリットなど、すべてのコストを考慮することが重要です。

SIEMのサイジングはどのように行われるのでしょうか?

SIEMのサイジングでは、組織のサイズに関係なく、その組織におけるSIEMソリューションの見積もりを出すために、その組織のログソースからのデータが必要です。ログデータは、組織の間で量や質が異なるだけでなく、個々のログソース間でも異なることがあります。

ところで、もっと多くのデータをSIEMに取り込まなければならない理由は何だろうという疑問が湧いてくるかもしれません。

ITインフラは常に進化しており、組織のIT環境は拡大し続け、より多くの資産が常に追加されています。さらに、参照するデータを取るためのログの範囲が広ければ、結果の質も向上します。そのため、環境のニーズに適応できる柔軟なSIEMのサイズと構成オプションが不可欠なのです。

SIEMのサイジングでは、監視したいソースの数と必要な詳細度を検討する必要があります。例えば、限られた情報しか持たない少数のソース(ファイアウォールログなど)がある場合、単一のSIEMインスタンスを使用するか、エージェントレスアーキテクチャの一部として構成することができます。一方、ネットワークトラフィックやウェブアプリケーションのログなど、高レベルまたは詳細な情報を持つソースが多数ある場合、それらをすべて監視するために複数のインスタンスが必要になることがあります。

しかし、これらすべてを導入するのは簡単なことではありません。ほかの分野と同様、SIEMツールを扱う際には、守らなければならないルールがあります。

では、どのようなルールが自社の組織に関連するものであるかを、どのように判断しますか?

ほとんどの次世代SIEMは、何百もの "out of box "ユースケースを備えており、これらのルールをすべて有効化すると、最終的にSecOpsチームがアラートを処理するのに多くのノイズが発生することになります。どのルールが組織にとって適切かを判断する際に考慮すべき要因は様々です。業界セグメント(ヘルスケア、フィンテック、製造業など)、既存のセキュリティスタック、コンプライアンスと規制への影響、IT資産と環境、既知の脆弱性とその重要性、陳腐化など、いくつか挙げることができます。ルールを改良する際に考慮すべき点は、攻撃手法や脅威に対して適切なカバレッジを提供することです。

貴社の関連するSIEMルールの詳細については、以下のリンク先をご覧ください。

PositkaのSIEM電卓の仕組みは?

SIEMは、システムごとに要件や機能が異なるため、サイズを決めるのは非常に難しい作業です。

Positkaでは、高度な技術チームの協力を得て、簡単に使用でき、わかりやすく、正確な値を提供する、手間のかからないSIEMサイジング計算機を使用して、お客様のインフラストラクチャごとのSIEMサイジングの効率的な計画を設計済みです。

SIEMの適切なサイズを計算するためには、主にセキュリティ・インフラストラクチャで処理されるデータ量を提供する2つの基準が考慮されます。

  • EPS(1秒あたりのイベント数)
  • GB/日(ギガバイト/日)

SIEMのサイズは、計算機にお客様のネットワークのデバイス数を入力することで確定し、その結果、生成されるEPS/GBが算出されます。見積もりは、提供する統計データに依存するため、リアルタイムのインストール中にデータ量が変化する可能性があります。適切なサイジングを実現するためのガイドを以下に示します。

Guide for SIEM Sizing

セキュリティコンサルタントは、組織に適したセキュリティレベルを達成するために必要なSIEMのサイジング量、必要なアプリケーションやサービスを決定するためのガイドとなります。

 

SIEM インフラストラクチャの素早い見積りをお受け取りください。SIEM サイジングカリキュレーターのページをご覧ください。

スーパーアドミン

著者はPositkaで最新のスマートセキュリティ技術に関する素晴らしいブログを書いている技術ライターです。

お問い合わせ

メッセージの送信

一般的な情報をお探しの方、または特定の質問をお持ちの方、以下のフォームにご記入ください。 または、susan@positka.com まで
ご連絡ください。