sg sg-security-measures log_management monitoring incident_response
まず結論
SIEM(Security Information and Event Management)は、複数の機器やシステムのログを集めて分析し、異常や攻撃の兆候を見つける仕組みです。
SG試験では、SIEMそのものの製品知識よりも、「ログを集約して相関分析し、異常を検知・通知する仕組み」として押さえることが大切です。
ポイントは、次の3つです。
- サーバ、ネットワーク機器、アプリケーションなどのログを集める
- ログを分析して、不審な操作や攻撃の兆候を見つける
- 異常があれば管理者へ通知し、対応につなげる
単なるログ保存ではなく、ログを使ってセキュリティ監視を行う仕組みと考えると理解しやすいです。
直感的な説明
SIEMは、会社の中にあるいろいろな機器の「記録」を集めて、まとめて見張る仕組みです。
たとえば、次のようなログがあります。
- サーバへのログイン履歴
- ファイアウォールの通信記録
- アプリケーションの操作履歴
- データベースへのアクセス履歴
- セキュリティ機器が検知したイベント
これらを別々に見ていると、異常に気づきにくくなります。
しかしSIEMを使うと、複数のログをまとめて確認できます。
たとえば、
- 深夜に管理者アカウントでログインした
- 直後に大量のデータベースアクセスがあった
- 外部への大きな通信が発生した
というように、1つずつ見ると判断しにくいログでも、組み合わせることで不審な流れとして検知できます。
つまりSIEMは、バラバラのログを集めて、攻撃や異常の流れを見つける監視役です。
定義・仕組み
SIEMは、Security Information and Event Management の略です。
日本語では、セキュリティ情報イベント管理のように説明されます。
SIEMの主な役割は、次の流れで整理できます。
| 流れ | 内容 |
|---|---|
| ログ収集 | サーバ、OS、ネットワーク機器、アプリケーションなどからログを集める |
| 正規化 | 機器ごとに異なるログ形式を、分析しやすい形に整える |
| 相関分析 | 複数のログを組み合わせ、不審なパターンを見つける |
| 検知・通知 | 異常や攻撃の可能性がある場合にアラートを出す |
| 調査支援 | インシデント発生時に、原因や影響範囲を調べやすくする |
SG試験では、特に 「ログを集約して分析する」 という点が重要です。
ログ管理は「記録を残す」意味合いが強いのに対して、SIEMは「記録を分析して異常を見つける」意味合いが強くなります。
どんな場面で使う?
SIEMは、組織のセキュリティ監視やインシデント対応で使われます。
代表的な場面は次のとおりです。
不審なログインの検知
短時間に何度もログイン失敗がある場合、ブルートフォース攻撃やパスワードリスト攻撃の可能性があります。
SIEMでは、複数の認証ログをまとめて確認し、不審なログイン試行を検知できます。
内部不正の兆候の発見
正規の社員アカウントであっても、通常とは違う時間帯に大量のファイルへアクセスしている場合は注意が必要です。
SIEMは、操作ログやアクセスログをもとに、通常と異なる行動を見つける手がかりになります。
インシデント対応の調査
セキュリティインシデントが発生したとき、原因や影響範囲を調べるにはログが重要です。
SIEMにログが集約されていれば、どの端末で、いつ、どのような操作や通信があったかを追いやすくなります。
よくある誤解・混同
誤解1:SIEMはログを保存するだけの仕組みである
これは不十分です。
SIEMはログを集めるだけでなく、分析して異常を検知することが重要です。
ログの保管だけを問う選択肢なら、ログ管理や証跡管理の話に近くなります。
誤解2:SIEMは攻撃を自動で完全に防ぐ仕組みである
SIEMは、基本的には検知・通知・調査支援の仕組みです。
攻撃を直接遮断する役割は、ファイアウォール、IPS、EDRなどの対策と切り分けて考えます。
もちろん製品や連携によって自動対応が行われる場合もありますが、SG試験ではまず「ログ分析による検知」と押さえると安全です。
誤解3:SIEMとIDS/IPSは同じである
SIEMとIDS/IPSは、どちらもセキュリティ監視に関係しますが、役割が異なります。
| 用語 | 主な役割 |
|---|---|
| SIEM | 複数のログを集約・分析し、異常を検知する |
| IDS | 不正な通信や攻撃の兆候を検知する |
| IPS | 不正な通信や攻撃を検知し、遮断する |
SIEMは、いろいろなログを横断的に見る仕組みです。
IDS/IPSは、主にネットワーク通信や攻撃パターンの検知・防御に関係します。
誤解4:SIEMとSOCは同じである
SOCは、セキュリティ監視を行う組織やチームです。
SIEMは、そのSOCなどが監視に使う仕組み・ツールの一つです。
| 用語 | 見分け方 |
|---|---|
| SIEM | ログを集めて分析する仕組み |
| SOC | セキュリティ監視を行う組織・チーム |
試験では、SIEM=仕組み、SOC=運用する組織と切り分けると迷いにくくなります。
SG試験での判断ポイント
SIEMが出てきたら、次の言葉に注目します。
- ログを集約する
- 大量のログを分析する
- 相関分析を行う
- 異常を検知して通知する
- インシデント調査に使う
これらがあれば、SIEMの説明として判断しやすいです。
一方で、次のような説明だけなら別の用語の可能性があります。
| 説明 | 関係しやすい用語 |
|---|---|
| 攻撃者をおびき寄せるためのダミー環境 | ハニーポット |
| マルウェアに感染し、攻撃者に支配された端末群 | ボットネット |
| 外部公開サーバを置く中間的なネットワーク領域 | DMZ |
| 不正な通信を遮断する | IPS、ファイアウォール |
SIEMは、ログを使って異常を見つけるという軸で判断します。
まとめ(試験直前用)
試験直前は、次の3点だけ押さえておきましょう。
- SIEMは、複数の機器やシステムのログを集約・分析する仕組み
- 目的は、異常や攻撃の兆候を検知し、管理者へ通知すること
- ハニーポット、ボットネット、DMZ、IPSとは役割が違う
特に、「大量のログ」「相関分析」「異常検知」「通知」という言葉が出てきたら、SIEMを思い出すと判断しやすくなります。