Azure Managed Service Column ＜Azure運用コラム＞Microsoft Sentinel（旧 Azure Sentinel）とは？企業のセキュリティを総合的に高めるインテリジェントな方法を解説

セキュリティ情報イベント管理、セキュリティ オーケストレーション自動応答とは？企業のセキュリティ強化を Azure Sentinel を用いて実現する方法を解説

近年、クラウドを取り入れる企業が増えていますが、様々な事情から、移行の過程でオンプレミスとクラウドを両立させるケースが増えています。そのような中、有識者や対応時間不足のために社内のログ管理やセキュリティ強化まで手が回らない企業も多いのが実情です。

Azure では、こうした問題を解決するために Microsoft Sentinel というサービスを提供しており、マイクロソフト公式サイトでは「スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 （ SIEM ）および セキュリティ オーケストレーション自動応答 （ SOAR ） ソリューション」と解説されています。

本記事では、組織が抱えるセキュリティ課題と、その課題を解決するソリューションである SIEM と SOAR の概要とメリット、 Microsoft Sentinel が持つ SIEM ・ SOAR の機能の解説に加え、料金体系などの導入時の留意点についても解説します。

1. 組織が抱えるセキュリティ課題

近年のデジタル技術の発展と社会への浸透と共に、セキュリティリスクの高まりとサイバー攻撃の複雑化と多様化は恐るべきスピードで進行しており、その対処は困難を極めています。ここでは現在の組織が抱える主なセキュリティ課題を 2 つ取り上げて解説します。

サイバー攻撃の複雑化と多様化

現在、システムの脆弱性を狙う従来からの攻撃に加え、サプライチェーン攻撃や RaaS （ Ransomware as a Service ：サービスとしてのランサムウェア）など様々な種類のサイバー攻撃が、日常的に検知されています。

DX や働き方改革によってリモートワークが浸透したことにより、サイバー攻撃の標的となる対象と攻撃のパターンが増え、セキュリティ担当者には高度なスキルが求められるようになっています。

セキュリティ人材不足

世界の中でも特に日本ではセキュリティ人材が不足しています。NRI セキュアテクノロジーズ株式会社が 2022 年に実施した、日本、アメリカ、オーストラリア 3カ国の企業を対象とした調査「 NRI Secure Insight 2022 」によると、セキュリティ人材が不足していると感じる企業の割合は、日本企業で 89.8% 、アメリカの 9.7% 、オーストラリアの 10.8% と、日本ではセキュリティ人材が圧倒的に不足しています。

さらに、この状況は過去10年以上にわたって改善が見られていないという報告も示されています。

また、CISO （最高情報セキュリティ責任者）を設置している企業の割合で見ると、日本では全体の 39.4% であり、アメリカの 96.2% やオーストラリアの 96.0% と比較して大幅に低い結果となっています。

前述のサイバー攻撃の複雑化と多様化により攻撃の分析と対応にもより多くの時間が必要となっており、これも人材の不足に拍車をかける一因になっています。

2. 課題解決ソリューション SIEMとSOARとは？

このような「サイバー攻撃の複雑化と多様化」「セキュリティ人材不足」の課題解決に役立つソリューションとして SIEM・SOAR があります。SIEM・SOAR は、セキュリティ製品分野の名称です。両者の違いを理解して適切に選択して利用することで、組織の様々な場所で発生する種々のデータをセキュリティ対策に活かすことが可能になります。

SIEM と SOAR はあまり馴染みのない言葉かもしれません。まずは SIEM と SOAR の概要と違いについて解説します。

SIEM とは

SIEM は Security Information and Event Management （セキュリティ情報・イベント管理）の略称です。

サーバー、ネットワーク機器、データベースなどの IT インフラや、他のセキュリティ製品などのソフトウェアといったデータソースから出力されるログやイベントデータを一元的に収集し、それらのデータを組み合わせて相関分析を行う製品です。

これにより、ネットワークの監視や、サイバー攻撃やマルウェア感染などセキュリティインシデントを検知することが可能です。SIEM を活用すれば、脅威の可視化とインシデント発生時の迅速な対応を実現できるため、セキュリティ運用の効率性を向上させることが可能です。

また、さまざまなログやイベントを一元管理できるので、セキュリティ監視とコンプライアンス管理を徹底することができます。SIEM 製品のリアルタイム分析により、複雑化・多様化するサイバー攻撃の潜在的セキュリティ問題の検出が容易となります。

SOAR とは

SOAR は Security Orchestration, Automation and Response （セキュリティのオーケストレーションと自動化によるレスポンス）の略称です。SOAR は Gartner 社が提起した言葉であり、米国を中心に発展を続けている、セキュリティ人材不足に対応するためのセキュリティ・ソリューションです。

セキュリティに関する設定やセキュリティインシデントの監視、分析、意思決定、対応のプロセスを自動化することで効率化を図ります。

SOAR の特徴は、インシデント対応の自動化と、インシデントを単一のプラットフォーム上で管理することです。初動対応の自動化によって事態が深刻化する前の対処が可能となり、多様化し巧妙化するサイバー攻撃に柔軟に対応することができます。

また、セキュリティ担当者にとって時間のかかる誤検出や手動の作業を大幅に削減することで、少ない人員でも効率的にセキュリティインシデントへの対応ができるようになっています。

SIEM と SOAR の違い

SIEM と SOAR は互いに補完する関係にあります。SIEM は対象システム内で発生するアクティビティを可視化し、脅威をリアルタイムに特定するための管理システムであり、セキュリティデータのリポジトリとして機能します。利用可能な全てのデータを効率よく検索、相関付け、分析することが主な目的です。

一方、SOAR は主にインシデントの調査分析、意思決定とアクションまでを自動化することを目的としています。手動では不可能な作業を行う点、インフラ上に分散したサーバーやデバイス、アプリケーションなどのデータソースからデータを集約するという点は両者に共通しています。

多くのベンダーは SIEM と SOAR を両方とも提供しており、今後は 1 つのプラットフォームに統合されるケースが増えていくと考えられています。

3. SIEM・SOAR を提供する Microsoft Sentinel

Microsoft Sentinel は、「スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 （ SIEM ） および セキュリティ オーケストレーション自動応答 （ SOAR ） ソリューション」との定義どおり、SIEM と SOAR 両方の機能を備え、対象システムの全てのログの収集と、収集したログからアラートを検出し、調査と対処を自動で実施する製品です。

＜Microsoft Sentinelとは＞

図版出典：Microsoft公式サイト

Microsoft の Azure 上で動作する製品ですが、Azure 以外のシステムからもデータの取得が可能であり、他ベンダーのクラウドやオンプレミスも対応対象なので、マルチ・クラウドや、ハイブリッド・クラウド全体のセキュリティ管理を統合することが可能となります。他社の製品やサービスとの連携を考えている場合は、豊富なデータソースコネクタを持つ Microsoft Sentinel は有力な選択肢となるでしょう。

Microsoft Sentinel は SIEM・SOAR ソリューションとして十分な機能を持ち、セキュリティ対応の運用負荷を減らすための自動化の機能も備えています。これら全てを統合された 1 製品として利用できるのが Microsoft Sentinel の強みです。

なお、Microsoft Sentinel は以前 Azure Sentinel と呼ばれていましたが、複数のクラウド ソリューションにわたって保護を行うという機能の幅広さを反映する目的で、Microsoft 社により Microsoft Sentinel に名称が変更されています。

4. Microsoft Sentinel の主な機能

Microsoft Sentinel は SIEM と SOAR の機能を併せ持つサービスですが、具体的にどのような機能を持っているのでしょうか。ここでは、Microsoft Sentinel の主な機能について解説します。

セキュリティログの収集

Microsoft Sentinel では様々なデータソースからログを収集することが可能です。オンプレミスや、他ベンダーのクラウドを問わず、全てのユーザー、デバイス、アプリケーション、IT インフラ、サードパーティ製の製品・ソリューションに対してコネクタが提供されています。このコネクタを使用して包括的なデータ収集を行うことでセキュリティの一元管理が可能となります。

また、Microsoft Sentinel では不審なデータのパターンが豊富に蓄積されており、これらのパターンとの照合により問題のあるログはすぐに特定されます。

脅威の検出

複数のソースから集約したデータの中に脅威とみなされるものが検出された場合にアラートを発生させます。これにより問題や攻撃の検知を、人手を介さずに自動で行うことができます。さらに、アラートの関連性を詳しく調査することで脅威の本質を把握し、対処方法を見つけやすくすることが可能です。

脅威の検出は、下記のルールや機能を組み合わせて行われます。

• 既存の検知エンジン
• アラートルール
• マイクロソフトが収集した脅威情報との突き合わせ
• 相関分析
• 機械学習

検知のルールは、用意されたテンプレートをそのまま使用可能であり、組織の要件に沿って柔軟に細かくカスタマイズして使用することもできます。

インシデントの調査

脅威が検出されると、インシデントとして Microsoft Sentinel のシステム内に登録されます。登録されたインシデントは AI を用いた調査が行われ、重要度の管理と攻撃範囲の特定がなされます。

セキュリティ管理に AI を採用するメリットは、機械学習とこれまでマイクロソフトが蓄積してきた膨大な分析により、誤った判定を軽減できることです。また、過去に発見した脅威はもちろん、新たな脅威の検出も可能です。優先順位を付与したアラート一覧から数多くのセキュリティイベントの相関分析を行い、サイバー攻撃の範囲全体を把握することが可能となります。

相関分析は、インシデントと関わりのあるエンティティを可視化してくれます。関連する全てのアラート情報を視認できるため、インシデントの重要度や範囲の特定が容易になります。また、クエリ言語によるログの検索や、Python、Jupyter Notebook を用いたより詳細な解析を行うことも可能です。

インシデントへの自動対応

セキュリティ対策をくぐり抜ける新しい攻撃手法を編み出し続けている最新のサイバー攻撃に対して、手作業での対応を行うことは困難です。このような状況では自動化・統合化されたシステムを用いる必要があります。

Microsoft Sentinel は、SIEM と SOAR の両方の機能を統合的に備えていますが、SOAR の機能として、セキュリティインシデントへの自動対応を行う機能があります。インシデント発生時に、Azure Logic Apps のワークフローをベースとした「オートメーションルール」と「プレイブック」によって定義した処理を自動実行することで、攻撃によって影響を受ける端末の隔離、感染したウイルスの拡散の最小化、悪意のあるトラフィックのブロックなどを自動で行うことが可能となり、企業のデータ資産やシステムを脅威から保護します。

Azure Logic Apps とは、クラウドサービスとオンプレミスを問わず、システム同士を連携可能とするツールです。

5. Microsoft Sentinel 導入のメリット

多くの役立つ機能を持つ Microsoft Sentinel を導入することにより様々なメリットが得られますが、導入のメリットを3つ説明します。

高度な脅威検知が可能となる

Microsoft Sentinel の AI を活用した高度な脅威検出機能は、従来のセキュリティ製品よりも大量広範囲な対象における不審な活動の検知を強力に支援します。

また、こうした高度な分析や検知能力は、継続的にその性能を向上させており、攻撃者が新たな手法の攻撃を編み出したとしても、新たな予測データに基づいての対応が可能です。

これにより、セキュリティ担当者はサイバー攻撃を未然に防ぐことができ、組織の安全性を維持し続けることが可能となります。

セキュリティ運用の人的負担を軽減できる

SOAR 機能により、インシデントの調査分析から対処までのセキュリティ運用作業の大部分を自動化できます。これにより、多くの人手や時間が必要だった工程も、迅速かつ正確な対応が可能となります。

Microsoft Sentinel を導入することで運用にかかる人的負担を軽減することができ、セキュリティやインフラに対する高度なスキルを持つ人材がたとえ少人数であったとしても、インシデントに対応することが可能となります。

クラウド・オンプレミスを問わずに活用できる

現状ではクラウドとオンプレミスを併用するハイブリッド・クラウドを採用している組織が多く、他ベンダークラウド上のサービスやオンプレミスの製品を問わず対応可能な Microsoft Sentinel には、単一ソリューションの導入で資産全体のカバレッジを確保できるという大きなメリットがあります。

＜導入のメリットにつながる Microsoft Sentinel の機能解説＞

図版出典：Microsoft公式サイト

6. Microsoft Sentinel 導入時の留意点

実際に導入を検討する際に必要となる料金体系や導入における留意点などをご紹介します。

Microsoft Sentinel の価格、料金体系

Microsoft Sentinel の料金体系は、容量予約制と従量課金制の2つの体系があります。

従量課金制では、Microsoft Sentinel で取り込まれ、Azure Monitor Log Analytics に保存されるデータ量（ GB ）単位で課金されます。

容量予約制では、選択したコミットメントレベル（ 1 日あたりの予約容量）に応じた固定料金が請求され、従量課金と比較して割引が適用されます。

なお、Microsoft Sentinel は Log Analytics と併用することが前提であるため、Log Analytics の料金も必要となることに留意が必要です。

Microsoft Sentinel 導入までの工程

Microsoft Sentinel の導入には事前の準備段階から下記のような工程を踏むことが一般的です。

• 監視対象の選定
• 監視/インシデント対応の現状分析、問題点把握
• 運用基本設計
• Microsoft Sentinel 機能への落とし込み
• Microsoft Sentinel 構築
  – ログ収集/分析テンプレート設定
  – プレイブック設定
  – ダッシュボード設定
  
• 運用テスト
• 運用手順書作成

導入にあたっては、自組織の現状分析、導入計画・準備を十分に行うことが重要となります。検討・実施すべき作業項目は多く、また、セキュリティ運用のあるべき姿を自組織内だけで検討することには限界もあります。自組織だけで行うのではなく、セキュリティと Microsoft Sentinel の専門家の助けを借りるのが得策でしょう。

Microsoft Sentinel 導入後の運用

Microsoft Sentinel は優れた自動化機能を持っていますが、全ての運用が自動で行われるわけではありません。発せられるアラートは何を問題と判断したかを説明してくれますが、必ずしも攻撃や脅威を示しているとは限りません。アラートには誤検知の可能性が常にあり、インシデントの重大度が実際とは外れている場合もあり得ます。

そのため、継続的な誤検知のチューニングやルールのアップデートが必要となります。Microsoft Sentinel の機能に頼り切ることなく、その高度な機能を活かし、自組織に合った運用を行うことで、そのポテンシャルを最大限に引き出すことが可能となります。

7. まとめ

サイバー攻撃が社会問題となる中、企業のセキュリティを適切に保つことは企業にとって喫緊の課題となっています。Azure ではオンプレミスとクラウドのセキュリティを一元的かつ効率的に管理・保護するサービスを提供しています。セキュリティの設定に漏れがあると大きな問題に繋がる恐れがあるため、ノウハウを持つプロフェッショナルの支援を受けながら導入することを検討してはいかがでしょうか。

Tag： Azure Sentinel Azureセキュリティ

• 

  Azure Logic Appsとは？Azureで簡単にノーコード／ローコード開発を行う方法を解説

• 

  Microsoft Fabricの全体像と導入のメリット