初めてのSIEM購入で失敗しないために

こんにちは。技術本部のY.T.です。

今回はSumo Logic社の初めてSIEMを購入する方へ向けたブログを日本語化したものになります。本ブログではSumo Logicだけでなく、SIEM製品の導入を検討、選ばれる際に非常に重要な考え方になります。最後までお読みいただけますと幸いです。
原文はこちらをご参照ください。

混乱の世界へようこそ。あなたはSIEMが必要だと言われたのでしょう。CISOから言われたのかもしれません。監査担当者から言われたのかもしれません。あるいは、SOCがログをテープでつなぎ止めて、Pythonスクリプトで凌いでいるかもしれません。でも大丈夫です。あなたは今SIEM購入の旅に出たのです。おめでとうございます…そしてお悔やみ申し上げます。

あなたの予算（とチームの士気）を犠牲にすることなく、初めてのSIEMを実際に購入する手順をご紹介します。

Step1：SIEMが実際に何をするのか理解する

SIEMはSecurity Information and Event Managementの略です。システムからログを収集し、解析・正規化して検索可能にします。そして、イベントを相関分析し、不正なイベントを検出します。

理論上は素晴らしいように聞こえますが、実際はどうでしょうか？ベンダーの半数は、2000年代初頭に開発されたレガシー製品を販売しており、その端に「クラウド」という言葉を無理やりで貼り付けたような状態です。つまり、時代遅れの技術をクラウドに詰め込んだだけでは、クラウドネイティブにはなりません。もう半数は「AI」という言葉を頻繁に使っていますが、カスタムアプリのログを解析するにはコンサルタントチームが必要です。

Step2：実際のユースケースを把握する

これが最も重要な部分であり、SIEM購入者の90%が間違えるポイントです。
下記の項目を自身に問いかけてみてください。

• コンプライアンス要件(PCI、HIPAA、SOC2)を満たす必要があるか
• 環境全体で脅威を検出する必要があるか
• SOCチームがあるか
• ログを検索や、エンティティの影響範囲を相関分析する必要があるか

適切な検索機能を備えたログバケットが必要なのか、それとも本格的な脅威検出プラットフォームが必要なのかは、ユースケースによって決まります。PCI準拠を目指すだけなら、スーパーマーケットに行くためにフェラーリは必要ありません。また、チーム規模に合った適切なツールを選ぶことも重要です。

Step3：アラート疲労の罠に陥らない

「リアルタイムの脅威検出」をベンダーは謳います。それは間違いありません。しかし、彼らが触れていないのは、社内プリンターからのポートスキャンとDNS lookupによって、アラートが1日500件も届いているということです。

必要なのはノイズではなくシグナルです。本当に有効な検出機能を備えた製品を探し、正規表現の博士号がなくても自分で調整できるかどうか確認してください。GUIベースの簡単な調整とルール作成が可能な製品を探してください。たとえ専門知識のないユーザでも、表示されている内容を理解できるはずです。

ヒント：特定の脅威（例えばOktaの不正利用、AWSのキー盗難、または外部からのアクセス）に関する検出結果を教えてもらえるように依頼してください。ベンダーが躊躇する場合は、他の選択肢を検討しましょう。

Step4：価格を確認し、利用規約をよく読む

ほとんどのSIEMは、GB/日、EPS、またはスキャンベースの方式のいずれかで課金されます。
以下が行うべき手順です。

• 現在のログ量（クラウドサービスを含む）を計算してください。
• 30%のバッファを準備してください。
• 実際に役立つ他のログの使用例があるかどうかを確認し、ある場合は追加します。
• 書面で見積もりを取り、追加料金について確認してください。基本料金にストレージ、検索、検出、統合が含まれているかどうかを確認してください。一部のベンダーは「基本的な相関分析」をプラチナレベルのアップセルのように扱っているため、料金に含まれていないか確認してください。
• 保存期間、パーティション、インジェストの制御が可能か確認してください。
• どのような価格保護管理を適用できるか確認してください。

Step5：サンドボックス環境ではなく実際のデータでテストする

デモは素晴らしいですが、洗練され、厳選された幻想に過ぎません。Kubernetesのログ、Oktaのイベント、EDRアラートといった、もっと見苦しいものが欲しいのです。
信頼できるベンダーであれば、実際のデータを使ったトライアルやPOC（概念実証）を提供するはずです。14～30日間の期間で、以下の内容を検証してください。

• あなたのチームは検索クエリを書くことができるか。
• すぐに検出機能を使用できるか。
• 従業員に向けたトレーニングなしで利用ができるか。
• 簡単にダッシュボードを作成できるか。
• その製品やツールは、SOAR、可観測性、インフラなど、他の領域でのコスト削減にも有効ですか？

チームメンバーが使いたくないなら、来年また同じことを繰り返すことになります。一番良いのは、派手なデモに惑わされないよう、事前にスコアカードを作成することです。POV中に実際に使える時間を確保しないと、全員の時間を無駄にしてしまうことになります。

Step6：誰も答えたくない質問を投げかける

いくつか良い例を挙げます。

• ライセンスの上限を超過した場合どうなりますか？
• オンボーディングには通常どれくらいの時間がかかりますか?
• 現状の運用メンバーから人数を増やさず運用できますか？
• 退会したい場合どうなりますか？

もし回答がスキャンダル中の政治家のようなごまかし方の場合、警戒信号だと考えてください。

Step7：過剰な宣伝に騙されない

注意すべき点

• 初期費用の大幅な割引　＝　更新価格が高額になります。
• 「すべてを解決する」と謳うAI。適切に設計されていないSIEMにエージェントを適用しても問題は解決しません。
• 大規模な構造化されていないデータは処理できません。
• 「すべてをできる」と主張する企業は、実際にはすべてを適切に処理できていません。

最後に：SIEMを購入するだけでなく、パートナーシップを購入する

優れたベンダーは、単に鍵を渡して消えてしまうようなことはしません。
彼らはアラートの調整を支援し、ダッシュボードの構築を手伝い、新しいログソースのオンボーディングをサポートし、コンプライアンスの要求が迫ってきた際にも適切に対応できるよう支援します。

初めてSIEMを導入する場合、サポートポータルだけのブラックボックスではなく、チームの一員のような感覚で対応してくれるベンダーを選ぶべきです。Sumo Logicでは、まさにそのようなベンダーを目指しています。