図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

SIEM(Security Information and Event Management)とは? 図解サイバーセキュリティ用語

投稿日:2017年4月9日 更新日:

SIEMとはSecurity Information and Event Managementの略で「シーム」と読み、様々なシステムで生成されるログを集約して一元管理し、それらのログを分析することで不正な通信や悪意のある攻撃を検知するシステムの事を指します。主要なSIEM製品としてはIBMのQRadar、HPのArcSight、そして日本ではSIEMとして活用されているログ分析ツールのSplunkがあります。

ログ管理とSIEMの違い

SIEMはログサーバに似ていますが、ログを集約した後にセキュリティに特化した分析ができることが特徴です。

SIEMとログ管理との違い

SIEMはログの全てを分析する必要はありません。必要なイベントのみ検知すれば良いのです。ですので、膨大な量のログからある程度フィルターをかけてログを絞って、事前に定義したルールに基づいて分析します。SIEMはログを長期間保存する必要はありませんので、2年以上経過したログやイベントは削除するかアーカイブとして他の場所に保存します。

SIEMの構成

ITインフラの規模によりますが、SIEMは複数のコンポネントで構成されています。SIEMベンダーによって呼び方やコンポネントの構成コンセプトは違ってきますが、主に3つのコンポネントで構成されています。

  • ログコレクター
  • プロセッサー
  • 管理コンソール

SIEMの構成

ログコレクターはサーバやシステムからログを収集します。サーバ・システムの台数が多い場合は複数のログコレクターを配置して分散してログを収集します。そしてそのログを正規化・圧縮してプロセッサーに送信します。

プロセッサーにはSIEMの心臓となる検知ルールが設定されています。検知ルールの例として「同じホストに対してログオン失敗のイベントが1分間に10回以上発生したら、アラートを発信する」など事前に定義します。

管理コンソールはSOCの担当者がSIEMで検知されたイベントを閲覧するシステムです。Webベースの管理コンソールや端末にソフトを入れるエージェント型の管理コンソールがあります。SIEMのプロセッサーが複数ある構成の場合でも管理コンソールが統合してイベントを表示してくれます。

SIEM導入後に必要な3つの運用

SIEMを導入しても、セキュリティが強化されたとは言えません。SIEM導入後に正しい運用を行わないと、SIEMの意味がありません。以下にSIEM導入後に必要な3つの作業を記載します。

  • 必ずAlertをチェックする。チェックする際はAlertの重要度を基に優先順位を決めてチェックする。
  • SIEMに設定してる検知ルールを定期的に再考する。サイバー攻撃は発生直後は傾向がありそれに対しての検知ルールを設定すれば良いが、一定期間経過するとサイバー攻撃のパターンが変わってくる。SIEMの検知ルールもそれに合わせて変更する必要がある。
  • 新規のサーバやシステムを導入した際には必ずSIEMでの監視対象となるようなプロセス・仕組みを作っておく。

広告

広告

-図解サイバーセキュリティ用語

関連記事

水飲み場攻撃 図解サイバーセキュリティ用語

水飲み場攻撃は標的型攻撃の1つですが、「標的」を装わないのが特徴です。通常の標的型攻撃はターゲットに対してしつこくフィッシングメールを送付したり、ターゲットのサーバをスキャンして脆弱性を発見して悪用を …

ワンタイムパスワードとは 図解サイバーセキュリティ用語

ワンタイムパスワードは二要素認証の「ユーザが持っているもの(Something you have)」に該当し、解読不可能な規則によって表示される数字(トークン)をログイン認証の要件とする事で、ログイン …

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグ …

標的型攻撃とATP攻撃 図解サイバーセキュリティ用語

標的型攻撃とは、攻撃者がある特定のターゲットを決めて攻撃することを言います。つまり、攻撃者は明確な目的を持ってターゲットを絞り攻撃するのです。目的には様々あると思いますが、例えばある特定の会社の機密情 …

バックドア(backdoor)とは? 図解サイバーセキュリティ用語

バックドア(backdoor)は日本語では「裏口」という意味がありますが、セキュリティ用語では不正に仕込まれたトロイの木馬などのマルウェアの事で、C2サーバ経由で外部の攻撃者のコマンドを受け入れてパソ …