各システムやアプリケーションのログを統合管理し、セキュリティ対策などへ活用するしくみ
SIEMは「Security Information and Event Management」の略。セキュリティに関する情報やイベントの管理ソリューションを指す。従来のログ管理ツールをさらに進化させたもので、エンドポイント、サーバー、ネットワーク機器、セキュリティ対策製品など、ハードウェアやソフトウェアから収集したログを集中管理し、さらに相関分析を行うことで、個々のログデータだけでは発見できなかった脅威や、その兆候を捉える。
SIEMは、「Security Information Management(SIM)」と「Security Event Management(SEM)」の概念が組み合わさって成り立っている。「SIM」とは、データを記録、長期保存し管理する機能である。例えば、インシデント発生時に関連するログを分析し、原因や攻撃経路の特定、被害の想定、対策に必要な情報の調査などを行うのもSIMの機能の1つといえる。また、ユーザーのログオンや操作ログを管理することで、セキュリティポリシーの監査やコンプライアンス対策としての活用も可能だ。
一方の「SEM」とは、ログをリアルタイムに分析することで、脅威やその兆候を発見し、アラートを発したり、セキュリティ製品と連携して防御したりする機能である。
内部犯行や標的型攻撃によるマルウェア感染の拡大を受け、リアルタイム監視機能によって攻撃の早期検出を可能にするSIEMの製品やサービスに注目が集まっている。
用途
ログ解析によるインシデントの詳細調査
インデント発生時に、関連するログを相関分析し、原因調査などに必要な情報を得る。
リアルタイム監視によるマルウェア感染の早期検出
各イベントログをリアルタイムに解析して、内部に感染したマルウェアの不正アクセスを検出し、感染拡大や情報漏洩を防ぐ。
内部関係者の操作ログを監視してリスクの高い行為を検出
ユーザーの操作を監視して、セキュリティリスクの高い行為や不正アクセス、ポリシーに違反するコンプライアンス違反を検出する。
