SIEM しーむ
セキュリティ情報イベント管理ログ分析脅威検知SOCセキュリティ監視コンプライアンス
SIEMについて教えて
簡単に言うとこんな感じ!
社内のあらゆるシステムのログを一か所に集めて「怪しいことが起きてないか」をリアルタイムで監視する、セキュリティの監視塔だよ。バラバラなログをまとめて相関分析することで、単体では気づけない攻撃のパターンを検出できるんだ。
SIEMとは
SIEM(Security Information and Event Management、シーム)とは、組織内のネットワーク機器・サーバー・アプリケーションなど多様なソースからセキュリティ関連のログやイベントをリアルタイムに収集・集約し、脅威の検知・分析・対応を支援するセキュリティプラットフォームです。
SIEMは**SIM(Security Information Management)とSEM(Security Event Management)**という2つの概念が統合されたものです。SIMがログの長期保存・コンプライアンス対応に重点を置くのに対し、SEMはリアルタイムのイベント監視と相関分析に強みを持ちます。SIEMはこの両方の機能を備えています。
現代のサイバー攻撃は複数のシステムをまたいで行われます。ファイアウォールのログ、認証サーバーのログ、エンドポイントのログを相関分析(コリレーション)することで、「深夜に大量ログイン失敗 → 特定IPからの異常アクセス → 機密ファイルへのアクセス」のような一連の攻撃シナリオを自動検出できます。
主な機能と仕組み
| 機能 | 説明 |
|---|---|
| ログ収集・正規化 | 多様なフォーマットのログをCEF・LEEFなど統一形式に変換 |
| リアルタイム監視 | イベントストリームを常時監視し、閾値超過でアラート |
| 相関分析エンジン | 複数ソースのイベントを組み合わせてパターンマッチング |
| ダッシュボード | セキュリティ状況を可視化。SOCアナリストが利用 |
| インシデント管理 | アラートのトリアージ・調査・対応ワークフローを管理 |
| 脅威インテリジェンス連携 | IoC(侵害指標)情報と照合して既知の攻撃を検出 |
| コンプライアンスレポート | PCI DSS・ISO 27001などの監査証跡を自動生成 |
| ログ長期保存 | 法規制対応のため数年単位でログをアーカイブ |
データフロー
- ログ収集エージェント または Syslog/API でログを送信
- パーサー・正規化エンジン でフォーマットを統一
- 相関ルール・機械学習 で異常を検出
- アラート発報 → SOCアナリストへ通知
- 調査・対応 → インシデントクローズ
歴史と背景
- 2005年ごろ:Gartnerがリポートで「SIEM」という用語を定義。ArcSight(現HP/Micro Focus)、Splunk などが先駆け
- 2010年代:標的型攻撃の増加とともにSOCへの採用が拡大
- 2016年ごろ:UEBA(User and Entity Behavior Analytics) との統合が進み、内部不正検知が強化
- 2020年代:クラウドネイティブSIEM(Microsoft Sentinel、Chronicle)が登場。SOAR(自動対応)との融合が加速
従来SIEMは大企業向けの高額システムでしたが、クラウド型の普及でコスト障壁が下がり、中堅・中小企業にも導入が広がっています。
主要製品の比較
関連する規格・RFC
| 規格・基準 | 内容 |
|---|---|
| ISO/IEC 27001 | 情報セキュリティマネジメント。SIEMはログ管理要件(A.12.4)に対応 |
| PCI DSS | カード情報のセキュリティ基準。ログ収集・監視要件あり(要件10) |
| NIST SP 800-92 | コンピューターセキュリティログ管理ガイド |
| CEF(Common Event Format) | ArcSightが提唱したログ標準フォーマット |
関連用語
- SOC — SIEMを運用するセキュリティオペレーションセンター
- EDR・XDR — エンドポイント側の脅威検知。SIEMと連携することが多い
- ログ集約・構造化ログ — SIEMへのデータ供給元
- VPCフローログの活用 — クラウドのネットワークログをSIEMに取り込む