SIEMの光と闇、全てお話します。

そもそものSIEMについてですが、「Security Information and Event Management」の略で、セキュリティ情報に関するイベントを管理するための製品です。具体的には、サーバーやクライアント端末、ネットワーク機器、そして最近ではクラウドサービスといった、さまざまな機器のログをまとめて収集・分析し、セキュリティの異常を検知したり、有事の際に証明をしたりする仕組みです。

例えば、収集したログから不正アクセスに気づく、内部不正の兆候を見抜く。あるいはインシデント発生時に客観的な記録で経緯を再現し、第三者への説明に耐える形で提示するといった役割を果たします。

何か1つのログだけで判断するには限界があるので、1つの事象から「他の機器ではどうだったのか」という一連の流れを見ることが非常に重要です。SIEMがないと、結果的に調査効率が悪くなったり、重大な見落としが発生したりするリスクがある。まさに、個々のセキュリティ製品の一段上に立って、全体像を把握するための仕組みというイメージですね。

ありがとうございます。まさにおっしゃる通りで、SIEMは点と点を時系列や相関関係でつなぎ、攻撃の一連の流れを描き出すのが得意な製品です。フィッシングメールから始まる侵害や内部不正の兆候など、単発のログでは見抜けない「変化のつながり」を見つけることができます。

ただ、一つ気になるイメージがあって。展示会などで話を聞くと、デバイスごとに追加料金がかかるなど「じゃあ、ちょっと高いかもな」という印象を持っていますね。これはセキュリティ製品全般に言えることですが。

そのあたりについては、後ほどしっかりご説明させていただきますので、ご安心ください。

SIEMというものは実際に「使いこなせるのか」という部分が大きな壁になっています。そこで私たちが「カンタンSIEM」というアプローチで提供しているのが「ALog」です。

ALogは他のSIEM製品と同様に、サーバー、クライアント、ネットワーク機器、クラウドサービスなど様々なログを集約し、攻撃や不正の全体像を“物語”として可視化します。各種ガイドラインへの対応やサイバー攻撃、内部不正の検知にも役立ちます。ログの収集はもちろん、AIによるリスクスコアリング機能や、導入後にお客様環境ですぐに使えるレポート・ダッシュボードも標準で搭載しており、分かりやすい検索画面で直感的に操作できるのが特徴です。

検索は本当に大事ですよね。インシデント対応の時なんて特にそうですが、あちこちに散らばったログを一つひとつ集めてくるのは、ものすごく手間と時間がかかります。その間に被害が拡大することもあるので、ログが一箇所に集約されて横断的に検索できるのは、運用上とても楽になります。

おかげさまで、ALogは2023年度の国産SIEM製品としてシェアNo.1を獲得することができました。

「No.1」のマークが堂々と出ていますね。

はい（笑）ただ、生成AIに「ALogってSIEM製品ですか？」と聞いてみたら、「ALogはSIEM製品ではなく、サーバーログを収集する製品です」と回答されてしまったんです。同様にして、お客様の中には、「ALog = サーバーログを収集する製品」というイメージをお持ちの方が多いかもしれません。しかし、この機会にぜひ「ALog = SIEM」だと覚えていただけると嬉しいです。

ここで今回のテーマであるSIEMの「光と闇」について、特に海外製品と比較しながらご説明します。こちらの図は、縦軸が導入・運用の難易度、横軸がコストを表しています。

海外製の多機能なSIEM製品についてお客様にヒアリングすると、「多機能だけど価格も高い」「導入が非常に難しい」「検索に専門的なコマンドやクエリが必要で、運用が属人化してしまう」といった声をよく聞きます。これが、阻むいわゆるSIEMの「闇」の部分、つまり導入の障壁になっている点です。

それに対して、私たちALogは国産SIEMとして「難しいをカンタンに」をコンセプトに、お客様にいかに使い続けていただけるかを追求してきました。具体的には、シンプルな導入手順、初心者でも直感的に操作できる分かりやすい検索機能や管理画面、導入後すぐに使える監視ルールやレポート定義の標準搭載、そして手の届きやすい価格設定といった特徴があります。

いろいろな面で「導入のハードルが低い」というのは、非常に大きなポイントだと思います。よくあるのが、高価な製品を導入したはいいけれど、結局使いこなせていないというケースです。バックアップと同じで、取ってはいるつもりがいざという時に活用に足るものではなかったみたいな。

昨今、セキュリティ人材が不足していると言われている中で、製品の機能だけがどんどん増えていっても、誰も扱えないものになってしまうのではないでしょうか。だから、ALogのように「まずはこれだけあれば十分」というスターターキットのようなアプローチは、私は非常に好きですね。

ありがとうございます。これまでの内容をまとめると、ALogの特徴はこの3点に集約されます。

ここからは、実際にALogをご利用中のお客様が、どのように脅威を検知したのか、具体的な事例をご紹介します。

最初にご紹介するのは、外部からの不正アクセスをALogで検知した製造業のお客様の事例です。

こちらのお客様は、Active Directory（以下、AD）サーバー、資産管理ツール、アンチウイルスソフト、UTM、プロキシなど、多種多様なログをALogで収集されていました。

ある日、ALogがADサーバーへの異常なアクセスを大量に検知しました。具体的には、存在しない端末や存在しないアカウントによるログイン試行です。これをきっかけに、すぐさま海外拠点とのネットワークを遮断する対応を取りました。
その後、ALogで海外拠点のログを詳しく調査したところ、特定のPCがマルウェアに感染していることが判明。さらに調査を進めると、そのPCが偽の政府系サイトにアクセスした際にマルウェアに感染したことが原因だとわかりました。その感染を起点として、内部で被害を広げようとする『ラテラルムーブメント』の痕跡も確認されたのです。

なるほど。攻撃者が侵害範囲を拡げていく、横展開の動きですね。

はい。最終的には、ALogを使って全てのログを横断的に確認し、不審なアカウントが他に作成されていないか、他のフィッシングサイトへの通信が発生していないかを徹底的に調査しました。

1つ気になる点がありました。2番目の段階でネットワークを遮断していますが、その対応は攻撃に間に合ったのでしょうか？結果的に、ラテラルムーブメントによって本社側に実害は及んだのでしょうか？

良いご質問ありがとうございます。こちらのお客様は、異常を検知後すぐに海外拠点とのネットワークを遮断したため、本社への影響はなく、大きなインシデントには至りませんでした。

それは素晴らしいですね。監視をしていても、検知が遅れて実害が出てしまうケースは残念ながら起こりえます。ALogを導入していたことで、被害が本社に及ぶ前に、攻撃の連鎖を断ち切るといったスピード感で対応できた、ということですね。

まさにその通りです。ADサーバーへの異常アクセスという一つの事象を起点として、一連の攻撃の流れを迅速に把握できた事例です。

次は内部不正に関する事例です。

こちらのお客様では、Google Workspace、Gmail、ファイルサーバー、資産管理ツールなどのログをALogで取得し、内部不正の観点で日常的に確認されていました。

ある日、Gmailのログを監視していたところ、特定のユーザーが個人で利用しているGmailアドレス宛に「取引先の一覧」を添付して送信しているのを発見しました。

なかなか大胆な行動ですね。

はい。調査したところ、その方は間もなく退職する予定の従業員でした。これはまずいということで、ALogを使ってさらに詳細なログを調査しました。ファイルサーバーへのアクセス履歴、PCログからUSBメモリによるデータ持ち出しの有無、プロキシログからクラウドストレージへのアップロード履歴などを確認した結果、取引先情報だけでなく、自社の製造技術に関するデータも持ち出そうとしていたことが判明しました。

内部不正って、実は証明するのがものすごく大変なんです。「こいつがやったに違いない」と社内で確信していても、いざ警察に相談すると「このログはないんですか？」などと言われ、証拠不十分で受理されなかったり、時間がかかったりするケースがよくあります。

被害に遭った企業側は、犯人が分かっているだけにモチベーション高く協力するのですが、肝心の証拠が足りないことが多い。その点、このように複数のログを突き合わせて「いつ、誰が、何をしたか」を時系列で示せることは、法的措置を取る上で極めて重要になります。

ただ、ログとは少し話が逸れますが、一点注意が必要です。その持ち出された情報が「秘密情報である」ということを、会社が従業員にきちんと周知していなければ、「それは秘密管理性が満たされていない」と反論されて不起訴になる可能性があります。ログを取ることと、そのログに記録されている情報が会社の重要な秘密であることを周知徹底すること。この二つはセットで対策しないと、いざという時にひっくり返される危険があるので注意が必要ですね。

なるほど、ありがとうございます。ログの重要性、そしてそれを支える社内ルールも大切だということですね。最終的に全てを確認するのは、やはりログなんです。この事例のように、しっかりと証拠になるログを取っておくことで、不正を行った従業員を特定し、適切な対応を取ることができます。

ただ、インシデントが起きた時に、すべてお客様側で対応するのは現実的に難しい場合も多いかと思います。そこで、私たち網屋では製品の提供だけでなく、ALogをいかにご活用いただくかという点に注力したサービスもご提供しています。

冒頭で私が言った「導入したはいいけど使いこなせない」という課題を、ここで回収するわけですね。

はい。お客様のスキルやリソースに合わせて選べる「松・竹・梅」の3つのラインナップをご用意しています。

実際には、どのプランを選ばれるお客様が多いのですか？

これまでのお客様では、ALogの運用までお任せしたいというニーズが非常に多く、松プランをお選びいただくケースが最も多いです。やはりログの分析には専門性が求められるため、「自社で対応できる人材を確保するのが難しい」というお声が背景にあります。

中小企業だと、担当者が一人辞めたらもう誰も分からない、といった状況も起こり得ますからね。ちなみに、松プランには月次の報告会なども含まれるのでしょうか？

はい、含まれております。月に一度、お客様環境のログを調査した結果をまとめたレポートをご提出し、報告会を実施するところまでがサービスに含まれています。

リアルタイムの監視はもちろん最も重要ですが、経営層に対して「今月も問題ありませんでした」と定期的に報告することも、セキュリティ担当者の大事な仕事です。報告書や報告会までセットになっているのは、非常に心強いですね。

それでは、本日のまとめに入らせていただきます。

多機能・高価格な海外製SIEMが主流の中、ALogは『原点に立ち返るSIEM』として、本来の役割に忠実なシンプルさと使いやすさを追求しています。

そして、「導入だけで終わらない」をモットーに、お客様にいかに使い続けていただけるかを見据えた運用支援サービスにも力を入れています。

「SIEMを導入したいけど、何から始めればいいか分からない」
そうお悩みのお客様は、ぜひ私たち網屋にご相談いただければと思います。