最新のセキュリティ製品SIEMとNTAとは?その特徴と比較をご紹介!
昨今のサイバー攻撃はどんどん進化(悪化)しており、最近では標的型攻撃による被害や、ランサムウェア(人質型ウイルス)が世界中で猛威を振るうなど、ネットワーク上のリスクは益々高まっています。これに伴い、セキュリティ技術も年々進化を遂げています。その中で、最近よく耳にするのがSIEMとNTAという製品です。
今回は、このふたつのセキュリティ製品に焦点を当て、特徴や双方の比較についてご紹介いたします。
SIEMとは?
SIEMは、Security Information and Event Managementの略で、セキュリティ情報イベント管理と訳されます。SIEMは従来のセキュリティ製品と同様に、各サーバ上のログを統合的に収集して管理することができます。ここまでは、従来技術と変わりません。SIEMの特徴は、収集した大量のログを相関分析することができる点です。相関分析は、時間によるスライスやイベント、アクセス先に着目した相関性など、さまざまな角度で行うことができます。
このログの相関分析によって、これまでの単純なログ収集では発見できなかった脅威を発見できる可能性が格段に高まります。最近問題になっている標的型攻撃への対策に有効ではないか、との期待も高まっています。 たとえば、ある機密情報のファイルがファイルサーバ上にあり、それにアクセスする権限があるユーザが頻繁にアクセスしていたとします。それだけを見ると不審な点はありません。一方、同じユーザの端末から、外部のファイル共有サーバに時々アクセスがあったとします。これも社内で認められている共有サーバなら特に不思議ではありません。しかし、これらのアクセスを時系列で並べてみると、機密情報のファイルにアクセスした後、すぐに外部のファイル共有サーバにアクセスしているのが連続しているとしたらどうでしょうか?なんらかの不正が疑われる状況だと考えられます。
このように、複数のログを総合的に判断することで、これまで発見が難しかった不正アクセスを見つけることができる可能性が高まるのです。欠点を挙げるとすると、すべてのログをSIEMサーバからアクセス可能にする必要があるため、ネットワークトラフィックが高くなること、各サーバに負荷がかかること、運用開始まで時間がかかること、高度なスキルが必要で、コストが高いことです。
とはいっても、ログを分散管理していてはそこに潜む脅威が発見できないリスクが高くなり、結局、ログを取得する意味さえ危ぶまれることを考えると、ログを集中的に収集するための負荷は必要な代償といえるでしょう。
NTAとは?
NTAは、Network Traffic Analysisの略で、名前の通り、ネットワークトラフィックを分析して、脅威の兆候を監視する技術です。
ネットワークトラフィックとは、各端末とサーバ間、サーバとサーバ間、サーバと外部ネットワーク間のデータ通信のことです。NTAは、こうしたネットワークトラフィックを常時監視し、リアルタイムで異常や脅威を検出するのが目的のセキュリティ製品です。
トラフィック監視自体は目新しい技術ではないのですが、最近のNTAは、AIを活用する例が増えてきました。つまり、AIに正常な状態のネットワークトラフィックを大量に学習させ、それを元に異常なふるまいや兆候を検出するというものです。
たとえば、特定の端末と外部のサーバの通信が、正常な業務時間のものと異なるパターンで行われているといった、定常的な監視では気がつかない異常も検知することができます。欠点としては、NTA単体では脅威のブロックや排除ができない点、ログを長期間保存しないのでフォレンジックに向かない点です。
SIEMとNTAの違い
ご紹介した通り、SIEMはログ解析、NTAはトラフィック監視を主体としたセキュリティ製品です。 両者の違いを簡単にまとめると以下のようになります。
比較対象 | SIEM | NTA |
---|---|---|
監視対象 | 様々なログ | ネットワークトラフィック |
導入にかかる期間 | 長い | 短い |
運用スキル | 高度なスキルが必要 | 一般的なスキルでOK |
コスト | 高い | 低い |
この表からわかる通り、様々なログを包括的に監視できるのがSIEMの特徴です。昨今ではサーバログから入退室ログまで、ありとあらゆる場面でログ取得が行われており、それを相関分析で追跡するSIEMの守備範囲は相当に広くなります。
一方、NTAはネットワークトラフィックを常時監視しており、リアルタイム性に優れています。普段と異なるトラフィックや異常が発生した場合は即座にアラートを出すことができ、それが一般的な技術スキルと低コストで実現できるのが強みです。
SIEMとNTAは競合する製品ではなく、それぞれの特徴を理解した導入が必要
このように両者にはそれぞれ得意な分野があり、どちらが優位であるということはできません。 できれば双方を併用して、より高いセキュリティを確保するのが望ましいですが、現実的には難しいでしょう。それぞれの特徴や利点を理解し、自社に合った製品を選択することが必要です。また、どちらの技術にも、今後AIが積極的に利用されていくと思われます。これにより、従来の技術よりも更に脅威の検出率が高くなり、堅固なセキュリティが期待できるようになるでしょう。