なんとなくわかる「SIEM」

スポンサーリンク

SIEM(Security Information and Event Management)とは

SIEM(Security Information and Event Management)とは、ネットワーク機器やサーバ、ソフトウェアの動作状況や通信状況のログを蓄積・管理してセキュリティインシデントになりうる不正をいち早く検知・分析してシステム管理者にリアルタイムで通知する仕組みです。読み方はシームと読みます。

リアルタイムでログを分析することでマルウェアの侵入や不正アクセスなど攻撃や機密情報の流出などの不正の発生を検知して管理者に連絡を行います。SIEMではあくまでもログの管理と分析を行うのみなのでファイアウォール、マルウェア対策、IDS/IPSなどのセキュリティ対策を組み合わせることで攻撃から守ることができます

SIEMを使うことで複数の機器のログを一元的に管理することができるため脅威の可視化がしやすくなります。特に近年脅威となっている「標的型攻撃」のような1つの企業やシステムを狙って様々な調査で脆弱性を見つけて攻撃する手法に対してSIEMは有効な対策であるとされています。

標的型攻撃ではその組織が使っている電子機器の脆弱性を見つけて攻撃するため、攻撃の前段階の調査で組織が使う様々な機器に対して調査を行います。SIEMでは一元的にログを管理しており、このような調査を受けているログを収集して分析することで標的型攻撃を受ける可能性がある機器を見つけ出したり、調査をしている攻撃者を探知することができます。

SIEMのメリット

標的型攻撃に強い

先ほどを述べたように、SIEMを導入することで標的型攻撃のような1つの機器のログだけでは見つからないような攻撃のログを複数台のログを組み合わせて分析することで攻撃を被害が出る前に検知することができます。

リアルタイムでの分析

SIEMでは収集したログをリアルタイムで分析してセキュリティインシデントになりうる攻撃に対しては管理者にアラートを飛ばすことで被害が大きくなる前に対策を講じることができ、被害の拡大を食い止めることができます。

インシデントの傾向の把握ができる

SIEMのログ分析によってインシデントを可視化できるようになるため、CSIRTへの情報共有や対策を改善するためのPDCAサイクルを回すことができるので自社や業界全体のセキュリティ対策の向上につなげられます。

コメント

タイトルとURLをコピーしました