図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

SIEM(Security Information and Event Management)とは? 図解サイバーセキュリティ用語

投稿日:2017年4月9日 更新日:

SIEMとはSecurity Information and Event Managementの略で「シーム」と読み、様々なシステムで生成されるログを集約して一元管理し、それらのログを分析することで不正な通信や悪意のある攻撃を検知するシステムの事を指します。主要なSIEM製品としてはIBMのQRadar、HPのArcSight、そして日本ではSIEMとして活用されているログ分析ツールのSplunkがあります。

ログ管理とSIEMの違い

SIEMはログサーバに似ていますが、ログを集約した後にセキュリティに特化した分析ができることが特徴です。

SIEMとログ管理との違い

SIEMはログの全てを分析する必要はありません。必要なイベントのみ検知すれば良いのです。ですので、膨大な量のログからある程度フィルターをかけてログを絞って、事前に定義したルールに基づいて分析します。SIEMはログを長期間保存する必要はありませんので、2年以上経過したログやイベントは削除するかアーカイブとして他の場所に保存します。

SIEMの構成

ITインフラの規模によりますが、SIEMは複数のコンポネントで構成されています。SIEMベンダーによって呼び方やコンポネントの構成コンセプトは違ってきますが、主に3つのコンポネントで構成されています。

  • ログコレクター
  • プロセッサー
  • 管理コンソール

SIEMの構成

ログコレクターはサーバやシステムからログを収集します。サーバ・システムの台数が多い場合は複数のログコレクターを配置して分散してログを収集します。そしてそのログを正規化・圧縮してプロセッサーに送信します。

プロセッサーにはSIEMの心臓となる検知ルールが設定されています。検知ルールの例として「同じホストに対してログオン失敗のイベントが1分間に10回以上発生したら、アラートを発信する」など事前に定義します。

管理コンソールはSOCの担当者がSIEMで検知されたイベントを閲覧するシステムです。Webベースの管理コンソールや端末にソフトを入れるエージェント型の管理コンソールがあります。SIEMのプロセッサーが複数ある構成の場合でも管理コンソールが統合してイベントを表示してくれます。

SIEM導入後に必要な3つの運用

SIEMを導入しても、セキュリティが強化されたとは言えません。SIEM導入後に正しい運用を行わないと、SIEMの意味がありません。以下にSIEM導入後に必要な3つの作業を記載します。

  • 必ずAlertをチェックする。チェックする際はAlertの重要度を基に優先順位を決めてチェックする。
  • SIEMに設定してる検知ルールを定期的に再考する。サイバー攻撃は発生直後は傾向がありそれに対しての検知ルールを設定すれば良いが、一定期間経過するとサイバー攻撃のパターンが変わってくる。SIEMの検知ルールもそれに合わせて変更する必要がある。
  • 新規のサーバやシステムを導入した際には必ずSIEMでの監視対象となるようなプロセス・仕組みを作っておく。

広告

広告

-図解サイバーセキュリティ用語

関連記事

パスワードリスト攻撃 他のサービスから盗み出したIDとパスワードを利用して不正アクセス

SNSなどのウェブサービスで不正アクセスが頻繁に発生していますが、その多くはパスワードリスト攻撃による不正アクセスです。ここではパスワードリスト攻撃について解説します。 パスワードリスト攻撃 攻撃者が …

リスクの保有・低減・回避・移転

リスクとは被害を被る可能性の事です。ITではリスクは脆弱性・脅威・情報資産の3つの組み合わせによって表現する事ができ、その発生頻度や影響度によってリスクに対する対策が変わってきます。リスク対策として4 …

Stuxnet(スタックスネット)とは 制御システムを狙った初のマルウェア 図解サイバーセキュリティ用語

Stuxnet(スタックスネット)とは制御システムを狙った初のマルウェアと言われています。20010年9月ごろにイランのナタンスにある核燃料施設のウラン濃縮用遠心分離機に誤作動を起こさせ、約8400台 …

水飲み場攻撃 図解サイバーセキュリティ用語

水飲み場攻撃は標的型攻撃の1つですが、「標的」を装わないのが特徴です。通常の標的型攻撃はターゲットに対してしつこくフィッシングメールを送付したり、ターゲットのサーバをスキャンして脆弱性を発見して悪用を …

ブラウザクラッシャー(ブラクラ)とは?

ブラウザクラッシャーはブラクラとも言われており、WebブラウザやOSのバグや仕様を悪用したHTMLやJavascriptをWebページに組み込む事でユーザのパソコンに大量のポップアップ画面を表示したり …