多くのネットワーク環境において、さまざまなセキュリティ機器やネットワーク機器で構成され、より複雑化している現在、セキュリティ・イベント管理(Security Event Management: SEM)ソリューションも、その規模および範囲において、とかく大がかりなものになりがちです。その結果、コスト超過や導入期間の長期化、期待どおりの成果が得られないなどの問題が発生しています。現在の SEM 市場には、大がかりなカスタマイズを必要とする非常に複雑なソリューションから、「プラグ・アンド・プレイで動作可能」と謳うアプライアンス製品まで、数多くの SEM 製品が出回っています。したがって、直ちに効果が得られることを期待して SEM の導入を検討している企業は、次の 5 つの項目についてよく検討する必要があります。すなわち、インストールとメンテナンスの容易性、各種のセキュリティ・デバイスおよびネットワーク・デバイスのサポート、相関ルールの調整機能、リアルタイムでの攻撃のブロックおよび被害の修復への対応、ネットワークの規模に応じたコスト・パフォーマンス性です。
インストールとメンテナンスの容易性
これ以上余力がないというぎりぎりの状態で業務にあたる多くのネットワーク管理者が最もやりたくないことは、扱いが困難で大がかりなカスタマイズを必要とするハードウェアおよびソフトウェアをメンテナンスすること、および新しいセキュリティ管理のインタフェースを覚えることです。したがって、SEM
ソリューションは、統合セキュリティ管理インフラストラクチャの一部である必要があり、既存のネットワーク・デバイスとその構成に容易に統合可能なものである必要があります。また、ベンダーのサポート・サービスを必要とすることなく、自社のネットワーク管理者が、数時間内にインストールして容易に操作できるものでなければなりません。
各種のセキュリティ・デバイスおよびネットワーク・デバイスのサポート
SEM ソリューションは、すでにネットワーク上にあるセキュリティ・デバイス(ファイアウォール、ルータ、侵入検知システム、脆弱性評価システム、アンチウイルス・システムなど)の大半をサポートしたものである必要があります。また、後から新しいデバイスを追加する場合も、システムを大幅にカスタマイズすることなく容易に追加行える柔軟性を兼ね備えている必要があります。
相関ルールの調整機能
各企業のネットワークには、それぞれ保護すべき固有の資産とセキュリティ上の脆弱性が存在します。相関ルールが事前定義されている
SEM ソリューションは、各ネットワークに固有のイベントとネットワーク・アクティビティの周期的な変化を識別できるように、容易にカスタマイズできる必要があります。また、通常のネットワーク・アクティビティを「学習」するか、または基準値を定めることにより、必要に応じて事前定義のルールを調整するよう管理者に提案してくれるものが理想的です。
リアルタイムでの攻撃のブロックおよび被害の修復への対応
ネットワークに深刻な被害を及ぼす攻撃が行われた場合、セキュリティ管理者は、直ちにその攻撃を認識して対処するために、正確な情報を入手できなければなりません。そのため
SEM ソリューションは、状況に応じて管理者が攻撃をシャットアウトできるように、ほぼリアルタイムでアラートを発し、事後分析のためにイベント・データを記録して、自動的にイベントに対応できる必要があります。
ネットワークの規模に応じたコスト・パフォーマンス性
手動でログ・ファイルをチェックせずに済むようになることでネットワーク管理者が得られる効率性と、攻撃をリアルタイムで阻止できるようになることで得られるセキュリティの向上は、SEM
ソリューションの TCO(統合およびメンテナンスのコストを含む)と比較して評価する必要があります。小規模な企業ネットワークでも、適切な事前導入計画を準備し、初期導入の範囲を限定することで、SEMソリューションの導入を妥当なコストで行える場合があります。
より大きな観点では、SEM ソリューションは、導入およびメンテナンスが容易でありながら、ネットワークの規模拡大および複雑化に合わせて拡張できる柔軟性を備えていることが重要です。