SIEMとは「SecurityInformationandEventManagement」の略で、ログを統合的に管理するツールです。ネットワーク機器やセキュリティ機器を含むあらゆる機器のIT機器のログを一元管理・解析し、インシデントにつながるログを検知します。従来のセキュリティの考え方では、攻撃方法が単純だったために、いくつかのセキュリティ製品を導入して「攻撃を防ぐ」だけで十分でした。しかし、近年では攻撃方法が多種多様化し、脅威からの攻撃を完全に防御することが不可能になってきています。
完全な防御を目指せば、セキュリティ対策が過度に複雑化し、技術も予算でもコストが甚大で非現実的なものになってしまいます。このような状況踏まえて、迅速なリスクの見地とその後の事故対応の効率化を目指したセキュリティシステムの構築でした。これを実現するために生まれたのがSIEMです。SIEMの特徴は攻撃の防御ではなく、脅威の早期発見にあります。
SIEMではファイアウォールやIDS/IPS、プロキシから出力されるログやデータを一元的に管理し、それらのデータを組み合わせて相関分析します。それによりネットワークの監視やサイバー攻撃やマルウェア感染などの脅威を素早く検知することが可能です。また、組織内で利用されるデバイスやソフトウエアのログも収集し、ただ集約管理するのみではなく、ダッシュボードでログの可視化や分析を見やすい形で提供します。これにより、人的な管理と脅威への対処を容易にします。
わずか数秒で大量のデータを取り込んで解析し、異常な行動を検出するとアラートを送信しますが、対処のためにリアルタイムでインサイトを監視する必要があります。しかし、SIEMが行うイベント管理はとても大量で、人間の手作業では不可能です。
Leave a Reply