図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

SIEM(Security Information and Event Management)とは? 図解サイバーセキュリティ用語

投稿日:2017年4月9日 更新日:

SIEMとはSecurity Information and Event Managementの略で「シーム」と読み、様々なシステムで生成されるログを集約して一元管理し、それらのログを分析することで不正な通信や悪意のある攻撃を検知するシステムの事を指します。主要なSIEM製品としてはIBMのQRadar、HPのArcSight、そして日本ではSIEMとして活用されているログ分析ツールのSplunkがあります。

ログ管理とSIEMの違い

SIEMはログサーバに似ていますが、ログを集約した後にセキュリティに特化した分析ができることが特徴です。

SIEMとログ管理との違い

SIEMはログの全てを分析する必要はありません。必要なイベントのみ検知すれば良いのです。ですので、膨大な量のログからある程度フィルターをかけてログを絞って、事前に定義したルールに基づいて分析します。SIEMはログを長期間保存する必要はありませんので、2年以上経過したログやイベントは削除するかアーカイブとして他の場所に保存します。

SIEMの構成

ITインフラの規模によりますが、SIEMは複数のコンポネントで構成されています。SIEMベンダーによって呼び方やコンポネントの構成コンセプトは違ってきますが、主に3つのコンポネントで構成されています。

  • ログコレクター
  • プロセッサー
  • 管理コンソール

SIEMの構成

ログコレクターはサーバやシステムからログを収集します。サーバ・システムの台数が多い場合は複数のログコレクターを配置して分散してログを収集します。そしてそのログを正規化・圧縮してプロセッサーに送信します。

プロセッサーにはSIEMの心臓となる検知ルールが設定されています。検知ルールの例として「同じホストに対してログオン失敗のイベントが1分間に10回以上発生したら、アラートを発信する」など事前に定義します。

管理コンソールはSOCの担当者がSIEMで検知されたイベントを閲覧するシステムです。Webベースの管理コンソールや端末にソフトを入れるエージェント型の管理コンソールがあります。SIEMのプロセッサーが複数ある構成の場合でも管理コンソールが統合してイベントを表示してくれます。

SIEM導入後に必要な3つの運用

SIEMを導入しても、セキュリティが強化されたとは言えません。SIEM導入後に正しい運用を行わないと、SIEMの意味がありません。以下にSIEM導入後に必要な3つの作業を記載します。

  • 必ずAlertをチェックする。チェックする際はAlertの重要度を基に優先順位を決めてチェックする。
  • SIEMに設定してる検知ルールを定期的に再考する。サイバー攻撃は発生直後は傾向がありそれに対しての検知ルールを設定すれば良いが、一定期間経過するとサイバー攻撃のパターンが変わってくる。SIEMの検知ルールもそれに合わせて変更する必要がある。
  • 新規のサーバやシステムを導入した際には必ずSIEMでの監視対象となるようなプロセス・仕組みを作っておく。

広告

広告

-図解サイバーセキュリティ用語

関連記事

ウォードライビングとは?

ウォードライビング(Wardriving)とは、自動車や自転車で移動しながら無線LANのアクセスポイント(AP)を探して記録する事を言います。ウォードライビングは許可されていない無線LANにアクセスす …

サイバーセキュリティとセキュリティの違い 図解サイバーセキュリティ用語

サイバーとはインターネットが形成する情報空間の事を表します。ではセキュリティとサイバーセキュリティの違いは何でしょうか?サイバーセキュリティはセキュリティという大きなカテゴリの中の1つの分野です。セキ …

サイバーレジリエンスとは 図解サイバーセキュリティ用語

サイバーレジリエンスはBCPのコンセプトと似ており、サイバー攻撃と受けて被害にあった場合でもシステムの重要度に基づいていかに効率よく復旧するか、という考え方です。つまり、サイバーレジリエンスではサイバ …

サイバーデセプション(Cyber Deception)とは おとりを使った攻めのセキュリティ

デセプションとは「だます」「欺く」という意味があります。サイバーデセプション(Cyber Deception)とは攻撃者をだます事を意味しており、ある工夫によってサイバー攻撃者を騙して攻撃者の情報を収 …

DMZ(非武装地帯)とは?

DMZとはdemilitalized zoneの略で非武装地帯という意味があります。これは元々は軍事用語として使われており、戦争中もしくは停戦中である国家の間に設けられた地域で、そこでは協定によって軍 …