sg sg-security-measures log_management monitoring incident_response
まず結論
ログ管理とSIEMの違いは、ログを「残して管理する」のか、「集めて分析し異常を見つける」のかです。
- ログ管理:ログを記録・保管し、あとから確認できるようにすること
- SIEM:複数のログを集約・分析し、異常や攻撃の兆候を検知する仕組み
SG試験では、次のように切り分けると判断しやすいです。
| 用語 | 判断ポイント |
|---|---|
| ログ管理 | 証跡を残す、保管する、あとから確認する |
| SIEM | ログを集約する、相関分析する、異常を検知する |
つまり、ログ管理は記録を残すための基本活動、SIEMはそのログを活用して監視する仕組みです。
直感的な説明
ログ管理は、会社の中で起きたことを「日誌」として残しておくイメージです。
たとえば、
- 誰がログインしたか
- いつファイルにアクセスしたか
- どの端末から接続したか
- どの通信が許可・拒否されたか
といった記録を残します。
一方、SIEMは、その日誌を大量に集めて、怪しい動きがないかを見つける仕組みです。
たとえば、
- 深夜に管理者アカウントでログインした
- 直後に大量のファイルへアクセスした
- その後、外部へ大きな通信が発生した
という流れを、複数のログから見つけます。
ログ管理は記録をきちんと残すこと、SIEMは記録を使って異常を見つけることと考えると分かりやすいです。
定義・仕組み
ログ管理とは
ログ管理は、システムやネットワーク機器、アプリケーションなどが出力するログを、適切に記録・保管・確認できるようにする活動です。
主な目的は、次のとおりです。
- 障害や不具合の原因調査
- 不正アクセスや内部不正の調査
- 操作履歴の確認
- 監査の証跡確保
- インシデント発生時の状況確認
ログ管理では、ログを「残す」だけでなく、改ざんされないように保護したり、必要な期間保管したりすることも重要です。
SIEMとは
SIEM(Security Information and Event Management)は、サーバ、OS、ネットワーク機器、アプリケーションなどのログを集約し、セキュリティ上の異常を検知する仕組みです。
主な流れは、次のとおりです。
| 流れ | 内容 |
|---|---|
| 収集 | 複数の機器やシステムからログを集める |
| 正規化 | ログ形式を分析しやすい形に整える |
| 相関分析 | 複数のログを組み合わせて不審な流れを見つける |
| 検知 | 攻撃や異常の兆候を見つける |
| 通知 | 管理者やSOCへアラートを出す |
SIEMは、ログ管理で集められたログを活用し、セキュリティ監視につなげる仕組みです。
どんな場面で使う?
ログ管理が重要になる場面
ログ管理は、何かが起きたあとに「何が起きたのか」を確認するために重要です。
たとえば、次のような場面です。
- 利用者から「システムに入れない」と問い合わせがあった
- ファイルが削除された原因を調べたい
- 管理者権限で誰が操作したか確認したい
- 監査で操作履歴の提出を求められた
- インシデント発生後に影響範囲を確認したい
このような場面では、ログが残っていなければ調査できません。
そのためログ管理では、必要なログを、必要な期間、改ざんされにくい形で保管することが大切です。
SIEMが重要になる場面
SIEMは、ログを使って異常を早く見つけたい場面で重要です。
たとえば、次のような場面です。
- 短時間に大量のログイン失敗が発生した
- いつもと違う国や地域からログインがあった
- 管理者アカウントで不自然な操作が行われた
- マルウェア感染が疑われる外部通信が発生した
- 複数のシステムで関連する不審な動きがあった
SIEMは、単独のログでは見えにくい異常を、複数のログの組み合わせから見つけます。
そのため、早期発見・早期対応につなげやすくなります。
よくある誤解・混同
誤解1:ログ管理をしていればSIEMと同じである
これは違います。
ログ管理は、ログを記録・保管・確認できるようにする活動です。
SIEMは、そのログを集約・分析して、異常や攻撃の兆候を見つける仕組みです。
| 観点 | ログ管理 | SIEM |
|---|---|---|
| 主な目的 | 記録・保管・確認 | 分析・検知・通知 |
| 重視すること | 証跡を残す | 異常を見つける |
| 試験でのキーワード | 保管、証跡、監査 | 集約、相関分析、アラート |
ログ管理はSIEMの前提になりますが、同じ意味ではありません。
誤解2:SIEMがあればログ管理は不要である
これも違います。
SIEMで分析するためには、そもそも正しくログが取得・保管されている必要があります。
ログが不足していたり、時刻がずれていたり、保管期間が短すぎたりすると、SIEMでも正しく分析できません。
SIEMはログ管理の代わりではなく、ログ管理を土台にして動く仕組みです。
誤解3:ログ管理はセキュリティ対策ではない
ログ管理は、重要なセキュリティ対策です。
ログがなければ、不正アクセスや内部不正が起きたときに、原因や影響範囲を調べられません。
また、ログを残していること自体が、不正の抑止にもつながります。
SG試験では、ログ管理を証跡確保・監査・インシデント調査の基本として押さえるとよいです。
誤解4:SIEMは攻撃を自動で防ぐ仕組みである
SIEMは、基本的には検知・通知・調査支援の仕組みです。
攻撃を直接遮断する役割は、ファイアウォール、IPS、EDRなどと切り分けます。
| 用語 | 主な役割 |
|---|---|
| SIEM | ログを分析して異常を検知する |
| IPS | 不正通信を検知して遮断する |
| ファイアウォール | 通信を許可・拒否する |
| EDR | 端末上の不審な動きを検知・対応する |
SIEMは「防ぐ装置」というより、異常を見つけて対応につなげる仕組みです。
SG試験での判断ポイント
SG試験では、選択肢のキーワードから判断すると迷いにくくなります。
ログ管理を選ぶキーワード
次のような表現があれば、ログ管理に近いです。
- ログを保存する
- 操作履歴を残す
- 証跡を確保する
- 監査で確認する
- 一定期間保管する
- 改ざんされないように保護する
ログ管理は、あとから確認できる状態にすることが中心です。
SIEMを選ぶキーワード
次のような表現があれば、SIEMに近いです。
- 複数のログを集約する
- 大量のログを分析する
- 相関分析を行う
- 異常を検知する
- アラートを出す
- SOCで監視に使う
SIEMは、ログを分析して異常を見つけることが中心です。
関連用語との切り分け
ログ管理とSIEMは、ほかの用語とも一緒に問われやすいです。
| 用語 | 見分け方 |
|---|---|
| ログ管理 | ログを記録・保管・確認する活動 |
| 監査ログ | 操作やアクセスの証跡として使うログ |
| SIEM | 複数ログを集約・分析し、異常を検知する仕組み |
| SOC | SIEMなどを使って監視する組織 |
| CSIRT | インシデント対応を調整する組織 |
流れで見ると、次のようになります。
- ログ管理で記録を残す
- SIEMでログを集約・分析する
- SOCが監視する
- 異常があればCSIRTなどが対応する
この流れで覚えると、用語同士の役割が整理しやすくなります。
まとめ(試験直前用)
試験直前は、次の3点だけ押さえておきましょう。
- ログ管理は、ログを記録・保管し、あとから確認できるようにすること
- SIEMは、複数のログを集約・分析し、異常を検知する仕組み
- 判断に迷ったら、保管・証跡ならログ管理、集約・相関分析・アラートならSIEM
ログ管理は「残す」、SIEMは「見つける」。
この違いを押さえると、SG試験の選択肢をかなり切り分けやすくなります。