図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

SIEM(Security Information and Event Management)とは? 図解サイバーセキュリティ用語

投稿日:2017年4月9日 更新日:

SIEMとはSecurity Information and Event Managementの略で「シーム」と読み、様々なシステムで生成されるログを集約して一元管理し、それらのログを分析することで不正な通信や悪意のある攻撃を検知するシステムの事を指します。主要なSIEM製品としてはIBMのQRadar、HPのArcSight、そして日本ではSIEMとして活用されているログ分析ツールのSplunkがあります。

ログ管理とSIEMの違い

SIEMはログサーバに似ていますが、ログを集約した後にセキュリティに特化した分析ができることが特徴です。

SIEMとログ管理との違い

SIEMはログの全てを分析する必要はありません。必要なイベントのみ検知すれば良いのです。ですので、膨大な量のログからある程度フィルターをかけてログを絞って、事前に定義したルールに基づいて分析します。SIEMはログを長期間保存する必要はありませんので、2年以上経過したログやイベントは削除するかアーカイブとして他の場所に保存します。

SIEMの構成

ITインフラの規模によりますが、SIEMは複数のコンポネントで構成されています。SIEMベンダーによって呼び方やコンポネントの構成コンセプトは違ってきますが、主に3つのコンポネントで構成されています。

  • ログコレクター
  • プロセッサー
  • 管理コンソール

SIEMの構成

ログコレクターはサーバやシステムからログを収集します。サーバ・システムの台数が多い場合は複数のログコレクターを配置して分散してログを収集します。そしてそのログを正規化・圧縮してプロセッサーに送信します。

プロセッサーにはSIEMの心臓となる検知ルールが設定されています。検知ルールの例として「同じホストに対してログオン失敗のイベントが1分間に10回以上発生したら、アラートを発信する」など事前に定義します。

管理コンソールはSOCの担当者がSIEMで検知されたイベントを閲覧するシステムです。Webベースの管理コンソールや端末にソフトを入れるエージェント型の管理コンソールがあります。SIEMのプロセッサーが複数ある構成の場合でも管理コンソールが統合してイベントを表示してくれます。

SIEM導入後に必要な3つの運用

SIEMを導入しても、セキュリティが強化されたとは言えません。SIEM導入後に正しい運用を行わないと、SIEMの意味がありません。以下にSIEM導入後に必要な3つの作業を記載します。

  • 必ずAlertをチェックする。チェックする際はAlertの重要度を基に優先順位を決めてチェックする。
  • SIEMに設定してる検知ルールを定期的に再考する。サイバー攻撃は発生直後は傾向がありそれに対しての検知ルールを設定すれば良いが、一定期間経過するとサイバー攻撃のパターンが変わってくる。SIEMの検知ルールもそれに合わせて変更する必要がある。
  • 新規のサーバやシステムを導入した際には必ずSIEMでの監視対象となるようなプロセス・仕組みを作っておく。

広告

広告

-図解サイバーセキュリティ用語

関連記事

クロスサイトリクエストフォージェリ (CSRF) 図解サイバーセキュリティ用語

クロスサイトリクエストフォージェリ (CSRF)は、一般ユーザが知らない間にサイバー攻撃に加担してしまう事で、攻撃者がターゲットに対して間接的に攻撃を行う事ができます。クロスサイトリクエストフォージェ …

ヒューリスティック検知 図解サイバーセキュリティ用語

ヒューリスティック検知は、プログラムの実行ファイルの挙動を分析して通常ありえない動作、例えばOSの動作に関連するレジストリ・ライブラリなどへの書き込みや特権IDのパスワード変更など、を検知して異常とみ …

ブラウザクラッシャー(ブラクラ)とは?

ブラウザクラッシャーはブラクラとも言われており、WebブラウザやOSのバグや仕様を悪用したHTMLやJavascriptをWebページに組み込む事でユーザのパソコンに大量のポップアップ画面を表示したり …

UTM(Unified Threat Managemen)とは 図解サイバーセキュリティ用語

UTMとは複数のセキュリティ対策を1つのアプライアンスに集約することで、総合的にかつ統合的にセキュリティ対策を行うコンセプトの事を言います。もしくはそのようなアプライアンスの事を指します。 UTMに集 …

脅威・脆弱性・情報資産そしてリスク 図解サイバーセキュリティ用語

リスク分析を行う際によるあるのが、リスクと脅威・脆弱性をごっちゃ混ぜにして考えてしまい、それぞれの定義を勘違いしてしまうことです。ここでは、リスクとは何か?そしてリスクを構成する要因(脅威・脆弱性・情 …