用語集 › 🔒 セキュリティ › SIEM
【しーむ】

SIEM とは?

💡 組織中のログを集めて攻撃の「点と点をつなぐ」監視司令塔
📌 このページのポイント
SIEM(セキュリティ情報イベント管理) 複数のログを集約・相関分析してセキュリティ脅威を検出 ログソース ファイアウォール Firewall サーバー Server Logs アプリケーション App Logs IDS/IPS 侵入検知 ログ収集 ・正規化 Collection & Normalize 相関分析 エンジン Correlation Engine アラート通知 Alerts ダッシュボード Dashboard SIEM(統合セキュリティ分析基盤) 複数ソースの相関分析で単独では見えない脅威を検出
SIEMの構成
ひよこ ひよこ

SIEMって何をするシステムなの?

ペンギン先生 ペンギン先生

組織の色々なシステム(ファイアウォール・サーバ・認証システムなど)から出てくるログを全部集めて、「何か怪しいことが起きていないか」を監視するプラットフォームだよ。バラバラなログを一か所に集めて分析するんだ。

ひよこ ひよこ

個別のIDSとかで監視してればSIEMはいらないんじゃない?

ペンギン先生 ペンギン先生

SIEMの強みは「相関分析」にあるんだよ。例えばIDSでは気づかないけど「深夜に認証失敗が増えて、その後に別のサーバに大量アクセス」というパターンを組み合わせて検知できる。個別システムだけだと「点」しか見えないけど、SIEMは「点と点をつないで線にする」んだ。

ひよこ ひよこ

ログってそんなに大量にあるの?

ペンギン先生 ペンギン先生

大量なんだよ。大企業だと1日に何億件ものログが発生することもある。SIEMはそれを正規化(バラバラな形式を統一する)・集約・インデックス化して検索・分析できるようにするんだ。ストレージとパフォーマンスの確保が大きな課題だよ。

ひよこ ひよこ

誤検知が多いと聞いたけど?

ペンギン先生 ペンギン先生

SIEMの運用で最もよく聞く課題が「アラートの洪水(Alert Fatigue)」だよ。設定したルールで大量のアラートが発生しすぎて、担当者が全部確認できなくなってしまう。だから継続的なルールのチューニングと、優先度付けの仕組みが重要なんだ。

ひよこ ひよこ

SOCって何?SIEMと違うの?

ペンギン先生 ペンギン先生

SOC(Security Operations Center)はSIEMを使って監視・分析・対応を行う「人と体制」のことだよ。SIEMがツール・プラットフォームなら、SOCはそれを運用するチームや組織体制を指す。近年はAIを使ってアラートの優先度付けや自動対応(SOAR:Security Orchestration, Automation and Response)を組み合わせて、少人数でも効率的に運用できるようにする取り組みが進んでいるよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
SIEMって出てきたら「複数システムのログを集約して脅威をリアルタイムに検知する監視プラットフォーム」と思えばだいたいOK!
📖 おまけ:英語の意味
「Security Information and Event Management」 = セキュリティ情報とイベントの管理
💬 「SIEM(シーム)」と読む。SIM(セキュリティ情報管理)とSEM(セキュリティイベント管理)を統合した概念で、2005年ごろから使われるようになった言葉だよ
🔗 あわせて読みたい
← 用語集にもどる