[OCI]SIEMはセキュリティインシデントの検出よりもはるかに多くのことを行う (2020/06/30)

SIEMはセキュリティインシデントの検出よりもはるかに多くのことを行う (2020/06/30)

https://blogs.oracle.com/cloudsecurity/a-siem-does-much-more-than-detect-security-incidents
投稿者:David B. Cross | SVP SaaS Security

セキュリティイベントや活動を検知・監視するSIEM(Security, Incident, and Event Management)システムをご存知の方も多いと思います。
このブログ記事では、SIEMが進化し、さらに多くのことができるようになったことを紹介したいと思います。

ほとんどの企業やシステムプロバイダは、システム内のセキュリティ固有のインシデントやイベントについてアラートを取得し、報告するためにSIEMを導入しています。
企業やシステム・プロバイダーは、アプリケーション、プラットフォーム、および環境に基づいて、
特定のセキュリティ・ルール、シグネチャ、およびユースケースを構築し、導入しています。
Oracle SaaSの場合、SIEMは、Automated SaaS Cloud Security Services(ASCSS)インフラストラクチャの主要コンポーネントの1つとして構成されています。


DevSecOpsモデルにおけるSIEM

Oracle SaaS Cloud Security(SCS)は、DevSecOpsモデルを使用してSaaS環境を構築し、保護しています。
しかし、当社のソリューションを市場で最も安全なものにしているのは、SIEMの使用方法と使用場所です。
意図しないアクションや悪意のあるアクションは、エンジニアリング・ライフサイクルのどのフェーズでも発生する可能性があるため、
当社ではSIEMを使用してDevSecOpsライフサイクルのすべてのフェーズでログとアクティビティを監視しています。
すべてのフェーズでSIEMを使用することは、Oracle SaaS Cloud Security(SCS)組織が取り入れているベストプラクティスであり、
すべてのセキュリティ組織が実装して導入すべきことです。


SIEMはDevSecOpsのライフサイクル全体にとって非常に重要です。

この投稿のタイトルから暗示されているように、SIEMはセキュリティに特化したログやイベントだけではなく、より自動化された検出を提供します。
一般的に、常にセキュリティに関連しているわけではないが、検出して対処しなければセキュリティに影響を及ぼす可能性のあるイベントは数多くあります。
SIEMは見た目以上のものであり、ここではDevSecOpsのライフサイクル全体に存在する多くのイベントのうちの3つの簡単な例を紹介します。


例1:意図せずに設定された不正な設定、システム設定、またはアプリケーションの状態の変更
システムのファイアウォールやセキュリティリストが誤って設定されている場合、
攻撃者や悪意のあるユーザーがポート、ルート、アクセスルールを変更して、将来のアクセスを持続させることができることがわかっています。
また、自動化されたインフラストラクチャ管理システムにも変更を加え、同様の不正アクセスを引き起こす可能性があります。
SIEMは、このような構成変更を自動的に検出し、直ちにセキュリティ・オペレーション・センター(SOC)に警告を発して調査を行い、自動修復制御を起動させることができます。


例2:システムの不適切な使用を示すシステム遠隔測定またはログインジケータ
SIEM を使用して、システム・アカウントやインフラストラクチャ・コントロールで多数の失敗した認証や認証が発生した場合に検出することができます。
また、サービスアカウントやデーモンでパスワードを変更した後に、
不正なパスワードが持続することが原因で発生する可能性のあるアクティビティの潜在的なソースを見つけることもできます。
これらの疑わしい障害の原因は、システムのジョブ制御や設定ミスのあるタスクであることが多いです。
ログとアクティビティを相関させることで、サービスデスクは、潜在的なジョブやサービスが誤って設定されていて修正が必要な場所を迅速に判断することができます。


例3: 開発サイクル中に特定されたコードやシステムの不具合
3つ目の、そしてあまり知られていない例として、SIEMがDevSecOpsモデルのコードとテストのフェーズで提供できる価値があります。
新しい機能や機能が開発されテストされると、しばしば誤動作したり、適切に動作しなかったりすることがあります。
SIEMが構築およびテスト中のシステムのネットワークログとアクティビティログを収集すると、
エンジニアは、これらのコンポーネントが本番にリリースされる前に、問題を迅速に特定し、アラートを受け取ることができます。
認証、アクセス、およびネットワークのアクティビティを自動的に相関させて、不正アクセスや意図しないアクセスの可能性を判断することができます。


まとめ
まとめると、SaaSのクラウド環境では、SIEMはセキュリティ・イベントやアクティビティをはるかに超える貴重な検知・監視機能を提供します。
Oracle SaaSでは、SCS組織はインフラストラクチャ全体とDevSecOpsモデルをエンドツーエンドの視点から見て、
すべての資産をすべてのイベントに対して監視していることを確認しています。
SIEMインフラは、オラクルのASCSSインフラの一部として自動的にデプロイされ、保守されています。

今後、SaaSクラウド環境で自動化して検出する具体的なSIEMシナリオについて、もう少し詳しくお伝えします。

コメント

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

Oracle APEX 24.1の一般提供の発表 (2024/06/17)