SIEM運用を最適化するために、優先すべきデータソースの選定基準

こんにちは、技術本部のM・Yです。

今回はSumo Logic社が公開している、監視の死角を排除するためのデータソースの選定基準に関する記事を日本語化しました。

原文はこちらをご参照ください。

セキュリティチームは常に、「予算内に収めつつ最大の効果を得るには、どのデータソースをSIEMへ送るべきか」という課題に直面しています。

こうした議論の主な要因は、多くのサービスで採用されている従量課金体系にあります。ログ量の増加はコスト増に直結するため、企業は重要なログソースを厳選せざるを得ません。しかし、その結果として重要なデータが除外され監視の死角が生まれ、アナリストは調査の際、状況を把握するために複数のツールやコンソールを使い分けなければならない状況に陥っています。

多くの組織では必要なログを十分に取得できておらず、関連データを一元管理できている例はさらに稀です。データ制限によってSIEMの可視性が断片的になると、環境全体の動きを正確に把握できなくなります。こうした情報の欠如は、脅威検知やインシデント対応、脅威ハンティングといったセキュリティ運用の実効性を大きく損なう原因となります。

ログの増加に関わらず、セキュリティの可視性を維持すべき理由

従来のコストモデルでは、ログの収集量を制限せざるを得ないケースが多く見受けられます。主要なテレメトリの収集を断念した場合、監視の死角を許容することになり、結果として複数のツールを跨いだ手動の調査で補わざるを得なくなります。

Sumo Logicでは、お客様のデータ資産に最適な手法を選択できる柔軟なライセンス体系を提供しています。これにより、アナリストはツール間の移動に煩わされることなく、本来の業務である調査に集中できます。

「適正かつ信頼できるコストで、あらゆるログやデータソースを柔軟に取り込み、それらを具体的なビジネス価値へと変換できるツールを求めているのであれば、Sumo Logicこそがその答えであると私たちは確信しています。Webhook連携やログ取り込みの仕組みが非常に優れているため、長期間のトレーニングを必要とせず、導入後すぐにデータの活用を開始できました。」

— Brandon Hewgill, 情報セキュリティ責任者, Patrianna社

SIEMへの集約を優先すべき主要なログソース

全体として優先的に取り扱うべきデータタイプがいくつか存在します。その多くは基本的でよく知られたものですが、社内で一元管理できていないケースも散見されるため、まずは以下の項目から着手することをお勧めします。

1. Firewallログ
    Firewallログは、詳細な通信フローを把握するための優れた情報源です。さらに、多くのNGFW（次世代Firewall）を活用すれば、アプリケーションの種類や脅威、マルウェア、C2（Command and Control）に関する詳細なデータも取得可能です。こうしたデータの収集を境界型Firewall（Perimeter Firewall）だけに限定してはいけません。ユーザセグメントとデータセンターの間、あるいはデータセンター内部のマイクロセグメンテーション環境にFirewallを設置している場合は、それらすべてのログをSIEMへ集約すべきです。エンドユーザの接続状況を把握することは、脅威分析や内部脅威の検知において極めて重要な鍵となります。 
   
   
2. ProxyおよびWebフィルタリングのログ
   利用中のNGFWにこれらのデータが含まれている場合もありますが、別途ProxyやWebフィルタリングソリューションを導入しているなら、それらのログもSIEMへ集約すべきです。IPやドメイン、URLなどの情報は、既知の不正なサイトへの接続を特定するために極めて重要です。また、可能であればユーザエージェント文字列も取得するようにしてください。これにより、脅威ハンティングの際、発生している事象をより詳細に把握できるようになります。実際に、環境内のユーザエージェントを監視し、異常な値を調査することで、重大なデータ侵害やセキュリティ上の課題を発見した事例は枚挙に暇がありません。
   
   
3. クラウドコントロールプレーン（Cloud Control Plane）のログ
    現在のクラウド環境における攻撃は、アイデンティティを起点としたコントロールプレーンへの侵害が主流となっています。そのため、AWS CloudTrail、Azureアクティビティログ、GCP監査ログ（GCP Audit Logs）などの主要な管理ログを確実に監視対象に含める必要があります。 
   
   
4. SaaSアプリケーションおよび認証連携のログ
   過去3年間に発生した主要なデータ侵害のほぼすべてにおいて、アイデンティティやSaaSが攻撃の標的、あるいは侵入経路となっています。そのため、Microsoft 365の統合監査ログやOkta、Google Workspaceの監査ログはもちろん、Salesforce、GitHub、GitLab、Atlassian、Zoom、Slackといった主要な業務ツールのログを可視化しておくことが不可欠です。
   
   
5. アイデンティティプロバイダー（Identity Provider：IdP）および認証連携のログ
   これらのログを活用することで、セッションハイジャックやトークン盗難、さらにはフィッシング耐性を持つ多要素認証（Multi-Factor Authentication：MFA）の回避などを検知できます。具体的には、OAuthや各種トークン、MFAイベント、OIDCフロー、SAMLアサーションといったデータが、アイデンティティに紐付く脅威を特定するための重要な鍵となります。
   
   
6. コンテナおよびKubernetes（K8s）のログ
   K8sの監査ログやAPIサーバー、アドミッションコントローラー、コンテナランタイムのログは、モダンインフラの運用において極めて重要です。これらのデータは、攻撃者による横展開（Lateral Movement）や権限昇格（Privilege Escalation）を検知するための強力な指標となります。
   
   
7. アプリケーション認証およびテレメトリのログ
   これらのログを活用することで、ビジネスロジックの悪用やトークンリプレイ、さらには攻撃者の内部移動や既出の内部脅威を検知できます。
   
   
8. その他のネットワークセキュリティ製品
   これらの機能の一部はすでにNGFWに統合されている場合もありますが、個別に専用のシステムを運用しているケースも考えられます。ネットワーク侵入防止・検知システム（Network Intrusion Prevention/Detection System：IPS/IDS）やネットワークデータ損失防止（Network Data Loss Prevention：DLP）、サンドボックス、さらにはルーターのNetFlowデータから得られるログは、SOCのアナリストが脅威を分析する際の貴重な情報源となります。
   
   
9. ネットワークセンサー
   TAPやSPANポートに導入されたネットワークセンサーは、データセンター内の通信(east-west traffic)や外部・インターネットとの通信(north-south traffic)を詳細に可視化します。これらのセンサーは、従来のNetFlowでは捉えきれない、通信フローに関する高度なメタデータを提供可能です。具体的には、SMB(ファイル共有プロトコル)におけるファイルの書き込みや削除、HTTPヘッダー情報、User-Agent文字列といった詳細情報を取得できます。こうした詳細なデータは、横展開の兆候となる異常なアクティビティの検知に極めて有効です。ネットワークセンサーの活用により、他の手法では見逃していた重要なイベントを確実に追跡できるようになります。
   
   
10. Windows認証およびActive Directoryのデータ
    周知の通り、ユーザはネットワーク内を移動し、そのたびに新しいIPを割り振られることが頻繁にあります。セキュリティイベントの発生中にこうした変更が重なると、追跡調査や一連の事象の関連付けが非常に困難になります。しかし、ユーザの認証情報を追跡しておけば、異なるIPに紐付いたバラバラのログを統合し、イベント全体の動きを正確に把握できるようになります。加えて、イベントを特定のユーザに紐付けることで、そのアクセス権限の妥当性を判断する助けにもなります。これにより、万が一手動での対応やデバイスのクリーンアップが必要になった際も、対象の特定を迅速かつ容易に行えるようになります。
    
    
11. エンドポイントのセキュリティデータ
    エンドポイントから得られるデータは、以下の2つの主要なアプローチによって、アラートの分析や調査に極めて重要なコンテキストを付加します。
    
    ・アセット情報の拡充：OSの種類やログイン中のユーザ、所属グループ、システムの状態といった情報は、アナリストがそのアラートの重要性を即座に判断するための有力な材料となります。
    
    ・アラートの相関分析：エンドポイントでのアラートは、最初の攻撃がブロックされたことを示唆しているに過ぎない場合があります。攻撃者は手法を変化させることが多いため、エンドポイントのアラートをネットワーク通信や振る舞いの異常と紐付けて相関分析を行うことで、詳細な調査を要する後続の攻撃活動をあぶり出すことが可能になります。
    
    
12. 脅威インテリジェンス
    脅威インテリジェンスのフィードを活用することで、調査効率は劇的に向上します。無料のソースであっても、アラートの情報を補完し、既知の悪質な指標を特定する上で十分に役立ちます。一方、有料フィードは一般的に情報の精度が高く、より適切なコンテキストや信頼性の高い最新情報が常に反映されます。デバイスログ上で脅威インテリジェンスがヒットした場合、エンドポイントソリューションをすり抜けたマルウェアの存在や、何らかのセキュリティ侵害が発生している可能性を示唆します。また、外部ソースだけでなく自社独自のフィードを取り込むことも可能なため、特定の業界や自社のリスク許容度に合わせて情報を最適化できます。
    
    
13. AIエージェントおよびLLM（大規模言語モデル）のロギング
    自律型AIシステムは、機密データへのアクセスやユーザに代わったアクションの実行が可能なため、セキュリティとコンプライアンスの観点からその活動をログに記録しておく必要があります。これらのログを分析することで、プロンプトインジェクションの試みや権限昇格、その他AI特有のセキュリティリスクを検知できるようになります。AIエージェントの自律性が高まる中、環境内の可視性を維持する上で、このテレメトリ情報の把握が極めて重要になっています。

最優先事項を軸としたSIEMの可視性の確立

セキュリティの状況は、組織ごとに千差万別です。次に取り込むべきデータソースを検討する際は、自社のビジネスにおいて最も重要な要素から着手してください。対象となるログは組織の特性によって様々であり、アプリケーションの認証ログやWebサーバーのエラーログ、SaaS監査ログ、あるいは独自のアプリケーションテレメトリなどが候補に挙がるでしょう。

もし、日々の運用で「このアラートにもっとコンテキストがあればいいのに」と感じたことがあるなら、それこそが次に収集すべきデータを示しています。情報の欠落を埋めるデータを取り込むことで、アナリストが調査のたびにツールを切り替える手間を省き、事象の全体像を一気通貫で把握できるようにしましょう。監視の死角を、自社のセキュリティの弱点にしてはいけません。

Sumo Logic Cloud SIEMとログ分析を活用し、可視性の向上とインシデント調査の迅速化を実現する方法をぜひご確認ください。