SIEM

読み方 : しーむ

英語正式表記 : Security Information and Event Management

SIEMとは

各種システムのログデータを収集・分析するセキュリティー保護の仕組み。情報漏洩などの事故を未然に防いだり、事故が起こっても迅速に原因を特定できたりする。

顧客情報や機密情報を社外に流出させてしまう事件が後を絶たない。そこでSIEM(シーム、Security Information and Event Management)と呼ぶセキュリティー保護の仕組みが注目を集めている。

万が一、情報漏洩のような事故が起きると、IT担当者は情報が漏れた原因を突き止めて、その原因を解消できる的確な対策を講じる必要がある。SIEMは、こうした作業を効率よく、かつ迅速に進める手助けとなる。

背景:手作業では対応に遅れ

「セキュリティー上の問題が生じたとき、ログデータが原因究明や解決の手がかりになる。不審なログインやサービスの利用、通信などの痕跡が膨大なログデータのなかに残っているからだ」。三井物産セキュアディレクションの関原優コンサルティング事業部事業部長兼官公庁事業部副事業部長は、こう指摘する。

パソコンやサーバー、ファイアウオールなどは「ログインした」「IPアドレスを割り当てた」「通信が発生した」「サービスを起動した」などのイベントが発生するたびに、発生日時やユーザーID、IPアドレスなどとともに、それらのイベント内容を記録している。これがログデータと呼ばれる情報である。

ログデータを参照すると、「誰がいつシステムにログインしたのか」「ログイン後に割り当てたIPアドレスは何か」「いつどのIPアドレス間で通信があったのか」といったことを把握できる。

ただし、ログデータはイベントが発生するたびに記録されるので件数が膨大だ。サーバーの台数が多ければ、それだけ調査対象となるログデータも増加する。事故が起こってからログデータを収集していては時間がかかってしまい、対応に遅れが生じかねない。

また、調査では複数のログデータをIPアドレスやユーザーIDなどでひも付けた分析が不可欠である。同一ユーザーIDや同一IPアドレスで社内システムの利用パターンを調べると、通常とは異なる利用パターンが見つかることがあり、これが不正の手掛かりになる可能性が高いからだ。こうした作業を人手で進めていては、やはり時間がかかって対応に遅れが生じる。

仕組み:自動で検出し、通知も可能

SIEMは、各種システムが記録するログデータを一元管理し、セキュリティーの切り口で分析できるようにする仕組みである。各種システムから定期的にログデータを収集し、1つのデータベースに蓄積する。

複数のログデータをひも付けた分析も高速に処理できる。事前に条件を設定しておけば、不審な利用パターンを自動検知して管理者に通知することも可能だ。

SIEMは当初、ITベンダーがリモート監視サービスのインフラとして独自に開発していた。現在は米IBMや米ヒューレット・パッカード、米マカフィー、米スプランクなどが企業向けのSIEM対応製品を提供している。

出典:ITpro「今日のキーワード」(C)日経BP社

[2015年11月24日 公開]