「SIEM(シーム)」とは、複数のセキュリティ製品やネットワーク機器のログやイベントデータを収集・分析し、セキュリティ上の脅威を早期に検知・対応するシステムです。SIEMは「Security Information and Event Management」の略称で、日本語では「セキュリティ情報イベント管理」と訳されます。SIEMの機能、SOCとの関係性や活用にあたってのポイントについて解説します。
SIEMとは
SIEMは、2005年に米国のIT調査会社のガートナー社によって提唱されました。
従来のセキュリティ対策では、ファイアウォールやアンチウイルスソフト、IDS/IPS(侵入検知・防御システム)など個々のセキュリティ製品が独立して脅威を監視・検出していました。しかし、サイバー攻撃が高度化・巧妙化する中で、単体の対策だけでは複雑な攻撃の検知・防御が困難になっています。
SIEMは、さまざまなIT機器のログを統合的に分析することで、従来は発見が難しかった潜在的な異常や、複数の製品をすり抜けて侵入した脅威の早期発見を可能にします。
SIEMの主な機能
SIEMは、統合的なセキュリティ管理を実現するために、次のような機能を備えています。
ログの収集と管理
ファイアウォールやIDS/IPS(不正侵入検知/防御システム)、アンチウイルスソフトなどからログやイベントデータを収集して保存する機能です。検索や分析がしやすいように、フォーマットを統一して管理します。
相関分析による異常検知
収集したログデータを相関分析し、通常とは異なるパターンや不審な活動を検知する機能です。複数のログを相関分析することで、単体では見逃されがちな異常も発見できます。
アラート通知
分析によってセキュリティ上の脅威を検知した場合、担当者にアラート通知を行う機能です。これにより、人手による監視の負担を軽減しつつ、迅速な対応を可能にします。
ダッシュボードによる可視化
収集したログデータや検出した脅威の状況を、分かりやすいグラフやチャートなどで可視化する機能です。セキュリティ状況を一目で把握でき、迅速な対応をサポートします。
SOC(Security Operation Center) との関係
SOCは、24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出・分析、インシデント発生時の対応策提案などを行うセキュリティの専門家チームです。SIEMは主にSOCにて活用され、セキュリティイベントの監視、検知、インシデント対応、ルール順守状況把握といったSOCの運用負担を軽減する役割を果たします。
通常、SOCは1日に大量のアラートを受信します。これらを手作業で対応するには膨大な時間・人的リソースが必要となり、現実的とは言えません。SIEMを導入することで、大量のデータ分析などを自動で行うことができます。
また、SIEMは検知した脅威の内容を基にレポートを作成したり、インシデントが発生した際に対応策を提案したりする機能も備えているため、SOCを総合的かつ効果的にサポートするものだと言えます。
SIEMを導入するメリットと注意点
SIEMの導入は、企業のセキュリティ対策にさまざまなメリットをもたらします。
まず、複数のログを統合的に分析することで、単体の製品では検知できない高度な脅威の早期発見が可能です。セキュリティインシデントが発生した際にも、関連するログがSIEMに集約・可視化されているため、迅速に原因究明や影響範囲の特定ができ被害を最小化できます。外部からの脅威だけでなく、自組織の従業員の不審な行動(未許可のアクセスなど)を検知することもできるため、内部不正を未然に防ぐ効果もあります。また、ログの収集や分析が自動化されるため人手による作業負荷が軽減し 、セキュリティ運用の大幅な効率化が期待できるでしょう。
一方で、SIEMの導入では注意すべき点もあります。
SIEMは多くのIT機器から膨大なログを収集して分析するため、ネットワーク負荷の増加やストレージ消費の増大が課題となる場合があります。導入時には、データの収集範囲を適切に設定し、十分なリソースを確保することが重要です。また、SIEMでは検知ルールが適切に設定されていないと、大量の誤検知や過検知が発生する可能性があります。導入初期は検知ルールを段階的に適用し、運用しながら適切にチューニングを行うことが有効です。
SIEMのメリットを享受するには、SIEMの機能を理解し使いこなすスキルを備えた人材も重要です。メリットとデメリットを把握し、組織の状況に合わせて運用することで、効果的に活用することができるでしょう。
