SIEMはサーバーやネットワーク機器などからログファイルを収集し一元管理できるセキュリティソリューションで、セキュリティインシデントの早期発見、ログファイルの収集・整理に要する手間の削減など様々なメリットがあります。一方で、SIEMは社内にある様々な機器からログを収集するため、ネットワークトラフィックが増大するというデメリットがあります。ネットワークトラフィックの増大は業務効率低下を招く要因にもなるので、導入時はログ収集に耐えられるネットワークを設計することが大切です。セキュリティインシデントとは無関係なアラートが発生する可能性もあります。
SIEMではセキュリティインシデントを発見した際に管理者にアラートなどで通知する機能が搭載されていますが、大量のログを収集するという特性上、セキュリティとは無関係なアラートが発生することも考えられます。その都度、アラートの発生が正常なものなのか異常なものなのかを判断する必要があるため、担当者の負担が増える恐れがあります。そのため、SIEM運用の際はセキュリティ感度の調整を行っておくことが大切です。また、SIEMでは各機器に保存される全てのログファイルを収集するのではなく、分析に必要なもののみに絞って収集が行われることがあります。
収集されたログの粒度が荒くなっている可能性もあるので、セキュリティインシデントが発生した際の原因調査の際は、ログの再収集が必要になるかもしれません。
Leave a Reply