SIEMって何?
SIEM(Security Information and Event Management)とは、FireWallなどから出力されるログやデータを一元的に集約し、そのデータを組み合わせて相関分析を行うことにより、サイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組みです。
ログから攻撃を検出することが難しくなるほど手口が巧妙化しているサイバー攻撃に対し、近年、有効な手段として注目を集めています。
本日は、このSIEMの特長と導入した際のメリット、導入時のポイントについて解説します。
SIEMの特長
SIEMは多様なIT機器におけるログの一元管理を実現し、これらのログに対する総合的な解析機能を提供するものになります。
特長としては、SIEMの目的が攻撃や異常などの発生を「未然に防止する」ではなく、それらをできるだけ「素早く検出し、その後のインシデント対応を迅速化すること」に着目している点で、脅威への防御・予防を重視する従来のセキュリティシステムとは違い、実害の最小化と事後対応の最適化を重視しています。
SIEMが注目されるようになった背景
従来は、攻撃手法がそれほど多様化していなかったため、「攻撃を防ぐ」という観点で社内ネットワークと社外ネットワークの境界線にセキュリティ製品を導入することで十分な対策が可能でした。
しかし、近年では、サイバー攻撃も多様化し脅威を完璧に防ぐことが困難になってきており、可能な限りあらゆる攻撃を防御しようとすれば、セキュリティ対策はこれまで以上に複雑化し、技術的にも予算的にも、企業で実現するには非現実的なものとなります。
そのような中で、次第に着目されたのが、迅速な脅威検知とその後のインシデント対応の効率化で、実害を最小限に抑えようとする考えです。
これを実現するためには、リアルタイムでのあらゆるログの収集とその解析が必要なため、その考えをもとに2010年ごろに生まれたソリューションの1つがSIEMとなります。
SIEM導入のメリット
SIEMは脅威発生後に管グを取り出して調べる方法ではなく、日常的に事故の兆候がないか監視し、定期的にレポートを作成するため、継続的にネットワークの健全性を証明してコンプライアンス面の要求に対応できる点がSIEMを導入するメリットになります。
導入時に検討するポイント
SIEMは製品が幅広くあるため、自社の最適なものを導入する必要があります。
そのためには、収集するログ量や蓄積期間を考慮したストレージ容量の確保と、その運用体制の検討そしっかりする必要があります。
そのためには現状把握と目的の整理が導入時に大切なポイントとなります。
その他のセキュリティ関連記事
SIEM以外の近年注目をあつめているセキュリティ関連情報の記事もありますので、ぜひご参照ください。
【情シス初心者向け】ゼロトラストセキュリティ対策の特長と進め方