図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

SIEM(Security Information and Event Management)とは? 図解サイバーセキュリティ用語

投稿日:2017年4月9日 更新日:

SIEMとはSecurity Information and Event Managementの略で「シーム」と読み、様々なシステムで生成されるログを集約して一元管理し、それらのログを分析することで不正な通信や悪意のある攻撃を検知するシステムの事を指します。主要なSIEM製品としてはIBMのQRadar、HPのArcSight、そして日本ではSIEMとして活用されているログ分析ツールのSplunkがあります。

ログ管理とSIEMの違い

SIEMはログサーバに似ていますが、ログを集約した後にセキュリティに特化した分析ができることが特徴です。

SIEMとログ管理との違い

SIEMはログの全てを分析する必要はありません。必要なイベントのみ検知すれば良いのです。ですので、膨大な量のログからある程度フィルターをかけてログを絞って、事前に定義したルールに基づいて分析します。SIEMはログを長期間保存する必要はありませんので、2年以上経過したログやイベントは削除するかアーカイブとして他の場所に保存します。

SIEMの構成

ITインフラの規模によりますが、SIEMは複数のコンポネントで構成されています。SIEMベンダーによって呼び方やコンポネントの構成コンセプトは違ってきますが、主に3つのコンポネントで構成されています。

  • ログコレクター
  • プロセッサー
  • 管理コンソール

SIEMの構成

ログコレクターはサーバやシステムからログを収集します。サーバ・システムの台数が多い場合は複数のログコレクターを配置して分散してログを収集します。そしてそのログを正規化・圧縮してプロセッサーに送信します。

プロセッサーにはSIEMの心臓となる検知ルールが設定されています。検知ルールの例として「同じホストに対してログオン失敗のイベントが1分間に10回以上発生したら、アラートを発信する」など事前に定義します。

管理コンソールはSOCの担当者がSIEMで検知されたイベントを閲覧するシステムです。Webベースの管理コンソールや端末にソフトを入れるエージェント型の管理コンソールがあります。SIEMのプロセッサーが複数ある構成の場合でも管理コンソールが統合してイベントを表示してくれます。

SIEM導入後に必要な3つの運用

SIEMを導入しても、セキュリティが強化されたとは言えません。SIEM導入後に正しい運用を行わないと、SIEMの意味がありません。以下にSIEM導入後に必要な3つの作業を記載します。

  • 必ずAlertをチェックする。チェックする際はAlertの重要度を基に優先順位を決めてチェックする。
  • SIEMに設定してる検知ルールを定期的に再考する。サイバー攻撃は発生直後は傾向がありそれに対しての検知ルールを設定すれば良いが、一定期間経過するとサイバー攻撃のパターンが変わってくる。SIEMの検知ルールもそれに合わせて変更する必要がある。
  • 新規のサーバやシステムを導入した際には必ずSIEMでの監視対象となるようなプロセス・仕組みを作っておく。

広告

広告

-図解サイバーセキュリティ用語

関連記事

Wanna Cryptorで見るランサムウェアの仕組み

2017年5月12日に世界中で大規模なサイバー攻撃が発生しました。多くのコンピュータがWanna Cryptorと言うランサムウェアに感染し、感染したコンピュータのファイルを暗号化されてシステムやサー …

データダイオードとは?

データダイオードとは データダイオード(Data Diode)とはネットワーク上でデータを一方向(片方向)のみの通信を実現させるためのアプライアンスの事を言います。一般的にFirewallはOSI参照 …

ワンタイムパスワードとは 図解サイバーセキュリティ用語

ワンタイムパスワードは二要素認証の「ユーザが持っているもの(Something you have)」に該当し、解読不可能な規則によって表示される数字(トークン)をログイン認証の要件とする事で、ログイン …

ディープウェブ、ダークウェブって何? 図解サイバーセキュリティ用語

インターネット上では様々な情報を収集することができますが、良い情報ばかりではありません。インターネットは犯罪者が違法な情報(他人のクレジットカードや個人情報など)や物(麻薬や武器など)を売買するための …

SQLインジェクション攻撃とは

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、 …