こんにちは。私はSumo LogicのSIEMソリューションを提案している営業です。今回は、製品の細部には触れず、Sumo Logicを導入およびサービス基盤としてご利用いただいているお客様からの声を交えながら、Sumo LogicのクラウドネイティブSIEMがもたらす価値についてご紹介します。ご興味ございましたら、ぜひお気軽にお問い合わせください。
複雑化するセキュリティ対策と増加するアラート
近年のセキュリティ対策では、ゼロトラストセキュリティの概念やNIST CSF、各団体のセキュリティガイドラインへの対応が求められており、それに対応するための包括的な対策が重要視され、EDR、SASE、IAMなど様々なソリューションを導入する企業も増えていますが、それに伴って増加するアラートへの対応が大きな課題となっています。
実際、各システムから飛び交う大量のアラートを個別に調査するには、多くの人手と専門知識が必要です。しかし、現実にはセキュリティ人材は限られており、アラート確認やログ調査が後手に回り、結果として重要なインシデントを見逃すリスクが高まっています。
このような状況の中で注目を集めているのが、Sumo Logic社のクラウドネイティブで提供されるSIEM ”Cloud SIEM Enterprise” です。これは、次世代のSIEMとして、SOC業務を効率化し、インシデント対応の迅速化を手助けするソリューションとして、今、多くの企業やMSS/SOC事業者に注目されています。
従来SIEMが抱えていた課題とは?
従来のSIEMは主にログの統合管理や可視化を目的としており、アラートの設定や分析は高度なクエリスキルが必要でした。また、オンプレミスで導入するケースが過去には多く、今もなお、システム自体の運用や保守(維持管理)費に多くのコストがかかっています。
その結果、多くの企業が以下のような課題を抱えています。
- アラートを検知しても、分析が追いつかない
- インシデントの深刻度を見極められず対応が遅れてしまう(見逃してしまう)
- ログ量増加に伴いライセンスコストの上昇
- SIEM基盤自体の維持・管理コスト
Sumo LogicのCloud SIEM Enterpriseが選ばれる理由
こうした課題を根本から解決するために設計されたSIEMがSumo Logic社が提供するクラウドネイティブ型のSIEM(Cloud SIEM Enterprise)になり、以下のような特長を有しています。
アラートの自動トリアージ (※1)
複数のセキュリティ製品(エンドポイント、ネットワーク、クラウド、メールなど)のアラートログを横断的に分析し、重要度の高いインシデントを自動で抽出することが可能です。仕組みとしてはEntity(IP、ホスト名など)をキーに相関分析し、大量のアラートから「本当に対処が必要なインシデント」を自動で導き出します。更にAIによるアラートチューニング支援機能で誤検知の抑制を行うことも可能です。
豊富なダッシュボードと可視化機能
240種類以上の製品やSaaSと連携し、取り込んだログを分かりやすく可視化できるダッシュボードを専門的なクエリを書くことなく利用可能です。
脅威インテリジェンスの活用
外部の脅威情報データベースと標準連携し、既知の脅威を即座に把握可能です。
自動化対応(Automation機能)
標準搭載された多数のPlay bookにより、感染端末の隔離やアカウントロックなど、対応の自動化を実現可能にし、SOCチームの負担削減が可能です。
クラウドネイティブ基盤により維持管理コストの削減
クラウドネイティブサービスのため、オンプレミスのようなハードウェア管理は不要です。
導入も用意且つ短時間で行うことができ、スケーラビリティも高く、従来のSIEM基盤の運用コストを大幅に抑えることが可能です。また、監査目的でログの長期保管を行う場合には、低コストで大量のログデータを取り込めるライセンスとなっています。
※1 複数のセキュリティ製品のアラートログを収集し、対処が必要なインシデントに絞り込むイメージ
TDIR(検知・調査・対応)要素の強化
Sumo Logic の Cloud SIEM Enterprise は、 TDIR (Threat Detection, Investigation, and Response) を以下のサイクルで迅速に行うことが可能です。
- Detect(検知)
日々アップデートされる標準の検知ルールでリアルタイムに脅威の検知が可能
Threat Intelligenceとの連携で脅威検知が可能 - アラートの自動Triage(見極め)
大量のアラートから対処が必要なインシデントに自動で絞り込み可能 - Investigate(調査)(※2)
インシデント発生までの調査をTime line(時系列)機能を用いて容易に実現
調査対象のEntityと関連のあるその他EntityをグラフView機能で全容を可視化可能 - Respond(対応)
Automation機能が提供するPlaybookで自動隔離やネットワーク遮断などの
即時アクションを自動化させることが可能
こうした一連の検知から対応のサイクルを一つの統合プラットフォームで実現でき、SOC運用の効率を飛躍的に向上させることが可能です。
※2 [Entity Timelines]
特定のEntityによってトリガーされたイベントやアラートを時系列で視覚的に表示
※2 [Entity Relationship Graphs]
インシデントの中心となるEntityと、指定期間内にコンタクトまたは 通信 を行った他のEntityを表示
従来SIEMから次世代のクラウドネイティブSIEMへ
多くの企業では「SIEM=ログを集めてクエリを書いて調査する製品」という従来のイメージがあります。しかし、Sumo LogicのCloud SIEM Enterpriseはその常識を覆しています(お客様の声より)。
従来SIEMが得意としていた「ログの統合管理/可視化」などに加え、XDRのような高度な検知・対応機能を備えていることから、Sumo Logicは、次世代のSOC基盤にとって、非常に重要な役割を担うサービスです。
今後、セキュリティ人材不足はさらに深刻化すると予想される中で、アナリストに依存しない、自動化され、網羅的なインシデント対応を可能にするのがSumo LogicのCloud SIEM Enterpriseです。
Sumo LogicはAIの活用を今後さらに進め、よりスマートなセキュリティ対策の実現に貢献していくことを目指しており、SOC運用を一段階進化させるソリューションとして、今後の更なるアップデートにぜひご期待ください。
