【ITニュース解説】Why SIEM Rules Fail and How to Fix Them: Insights from 160 Million Attack Simulations
ITニュース概要
セキュリティ情報を一元管理し攻撃を検知するSIEMが、実際の攻撃シミュレーションでは7件中1件しか検知できていないことが判明。多くの組織で、脅威を検知するためのルールが十分に機能していない実態が明らかになった。
ITニュース解説
企業のITシステムをサイバー攻撃から守るセキュリティ対策は、現代のビジネスにおいて極めて重要な課題である。その中心的な役割を担うのが、SIEMと呼ばれるシステムだ。SIEMは「Security Information and Event Management」の略で、日本語では「セキュリティ情報イベント管理」と訳される。これは、企業内の様々なIT機器、例えばサーバーやパソコン、ネットワーク機器などから出力されるログ、つまり活動の記録を一元的に集約し、リアルタイムで分析することで、サイバー攻撃の兆候や不審な活動を検知するための仕組みである。いわば、IT環境全体の動きを監視する総合的な警備システムと言える。しかし、この重要なはずのSIEMが、実際には多くの攻撃を見逃しているという衝撃的な実態が、最新の調査によって明らかになった。 Picus Security社が発表した「Picus Blue Report 2025」は、1億6000万件以上もの攻撃シミュレーションに基づいた調査結果をまとめたものである。このレポートによると、企業に導入されているSIEMは、シミュレーションされたサイバー攻撃のうち、実に7件に1件しか検知できていないという。これは、防御側が想定しているよりもはるかに多くの攻撃が、検知されることなく企業ネットワーク内部に侵入し、活動している可能性を示唆している。では、なぜこのような事態が発生するのだろうか。その原因は、SIEMの仕組みと運用方法に深く関わっている。 SIEMが攻撃を検知する際の心臓部となるのが、「検知ルール」または単に「ルール」と呼ばれるものである。これは、「もし、このような条件に合致するログのパターンが発見されたら、それは攻撃の可能性がある」と定義した条件式のことだ。例えば、「あるユーザーアカウントが、1分以内に100回以上ログインに失敗し、その直後にログインに成功した」というルールがあれば、SIEMはこれに合致するログを検知し、ブルートフォース攻撃(パスワード総当たり攻撃)の可能性があるとしてセキュリティ担当者に警告(アラート)を発する。この検知ルールがSIEMの性能を決定づけると言っても過言ではない。 しかし、この検知ルールが多くの攻撃を見逃す原因となっている。第一に、ルールの陳腐化が挙げられる。サイバー攻撃の手法は日々進化しており、攻撃者は検知を回避するために常に新しい手口を編み出す。一方で、多くの企業では一度導入したSIEMの検知ルールを更新しないまま放置しているケースが少なくない。古い地図で新しい道を探すのが困難であるように、数年前に作られた古いルールでは、最新の巧妙な攻撃手法に対応することはできないのである。 第二に、各企業の環境に合わせたルールの最適化、いわゆる「チューニング」が不足している点も大きな問題だ。SIEMには標準的な検知ルールが多数搭載されているが、それらがすべての企業のIT環境に完璧に適合するわけではない。企業ごとに使用しているシステムや業務内容は異なるため、導入したSIEMが自社の環境にとって何が正常で何が異常なのかを正しく判断できるように、ルールを細かく調整する必要がある。このチューニングを怠ると、正常な業務活動を攻撃と誤認して大量のアラートを発生させたり、逆に本当に危険な攻撃の兆候を見逃してしまったりする。 第三の原因として、検知に必要な情報、つまりログそのものが不足している場合がある。SIEMはあくまで収集したログを分析するシステムであり、分析対象となるログがなければ何も検知できない。攻撃の証拠が記録されるはずの重要なサーバーや機器のログが収集対象から外れていれば、たとえSIEMに優れた検知ルールがあったとしても、宝の持ち腐れとなってしまう。 これらの問題を解決し、SIEMの検知能力を最大限に引き出すためには、いくつかの対策が不可欠である。まず、検知ルールを継続的に見直し、最新の状態に保つことが重要だ。そのためには、世界中で発生している最新のサイバー攻撃に関する情報、いわゆる「脅威インテリジェンス」を積極的に活用し、新たな攻撃手法に対応できるルールを追加・更新していく必要がある。 さらに、レポートで言及されているような「攻撃シミュレーション」の活用も極めて有効である。これは、既知の様々な攻撃手法を自社の環境内で安全に再現し、SIEMがそれを正しく検知できるかどうかをテストする取り組みだ。これにより、防御体制のどこに弱点があるのか、どのルールが機能していないのかを客観的に把握し、具体的な改善策を講じることが可能になる。定期的な健康診断で体の異常を早期に発見するように、攻撃シミュレーションによってセキュリティ体制の脆弱性を事前に特定することができる。 SIEMは、導入さえすれば自動的にセキュリティが確保される「魔法の箱」ではない。その真価を発揮させるためには、ルールの継続的な更新、自社環境に合わせたチューニング、そして攻撃シミュレーションによる性能評価といった、地道な運用の積み重ねが不可欠である。今回の調査結果は、多くの組織がSIEMという強力なツールを持ちながらも、それを十分に活用しきれていないという現実を浮き彫りにした。システムエンジニアを目指す者にとって、ツールの機能だけでなく、その効果を最大化するための運用がいかに重要であるかを理解する上で、非常に示唆に富む内容と言えるだろう。