SIEMって実は“期待外れ”？ MITRE ATT&CKの約4分の1しか検出できないことが判明

CardinalOpsは、エンタープライズ向けSIEMがMITRE ATT&CKの攻撃テクニックのうち24％しか検出できず、一部のSIEMルールは機能不全にあるなど、企業の期待に反してリスクの高い状態にあると報告した。

[後藤大地，有限会社オングス]

　セキュリティ企業のCardinalOpsは2023年6月27日（現地時間）、SIEM（Security Information and Event Management）に関する調査結果をまとめた年次報告書「State of SIEM Detection Risk」を公開した。

　今回で第3回となる同調査は、企業におけるSIEM利用の厳しい現状を指摘した。「MITRE ATT&CK」（ATT&CK）で定められた攻撃テクニックの多くをカバーできず、企業の期待に反してリスクの高い状態にあるという。

CardinalOpsは「State of SIEM Detection Risk」を公開した（出典：CardinalOpsのWebサイト）

ATT&CKの攻撃テクニックのうち、SIEMが検出できるのは約4分の1

　State of SIEM Detection Riskで指摘されている主な内容は以下の通りだ。

• エンタープライズ向けSIEMは、ATT&CK v13フレームワークが定める196のテクニックのうち24％しか検出しないことが分かった。これはサイバー攻撃者がATT&CK v13フレームワークの150近いテクニックをサイバー攻撃に利用できることを意味している
• エンタープライズ向けSIEMはATT&CK v13フレームワークが定める196のテクニックのうち94％を検知するのに十分な量のデータを収集している
• エンタープライズ向けSIEMは、調査対象の「Windows」やネットワーク、IAMといったセキュリティレイヤーの96％を監視できている。しかしコンテナの監視については32％にとどまっている
• データソースの設定ミスやフィールドの欠落などが原因で、SIEMルールの12％が実際には機能していない

　調査によると、企業はSIEMによって多くの脅威を検出することを期待しているが、実際にはソリューションがMITRE ATT&CK v13フレームワークの24％ほどしかカバーしておらず、さらに不適切なルールなどによって設定したルールの1割が動作していないといったように、期待とは程遠い状態にあることが明らかになった。

　SIEMで収集されるデータは十分な量だが、そこから脅威を検出する部分に多くの課題があることが指摘されている。また、検出対象はコンテナの割合が低く、動的に起動して使うコンテナの防御に苦慮している状況が見える。

　CardinalOpsは脅威を検出するための管理体制に関するベストプラクティスとして以下のアドバイスを挙げた。

• 現在のSIEMプロセスを見直す
• 検出コンテンツの開発を管理に関してより意図的になる
• ユースケース管理プロセスを構築またはアップデートする
• 計測と継続的な改善を実施する