SIEM(セキュリティ情報・イベント管理)とは

SIEM(セキュリティ情報およびイベント管理)ソリューションは、ログを収集し、脅威を検出し、セキュリティコンプライアンスの確保を支援するものです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • SIEMとは
  • SIEMセキュリティの主な構成要素
  • SIEMテクノロジーの仕組み

記事のリンクをコピーする

SIEMとは

SIEM(セキュリティ情報・イベント管理の略称)システムとは、セキュリティ情報管理(SIM)とセキュリティイベント管理(SEM)を1つの包括的なセキュリティソリューションに統合し、脅威を検知してコンプライアンスを確保するものです。さらに詳しく説明すると、SIMはホスト・システムやアプリケーションからログやイベント・データを収集、分析、管理する一方、SEMはリアルタイムのセキュリティイベントの監視と分析に重点を置いています。

SIEMテクノロジーの仕組み

SIEM技術は、組織のホスト・システムやアプリケーションからログイン認証情報、アクセスしたファイル、アクセスしたWebサイトなどのデータ(またはログ)を収集し、すべてのログをまとめ奇妙なパターンやセキュリティ・インシデントの兆候があるかをチェックします。SIEMでは、インシデントのグループ化と優先順位付けを行う自動アナリストとしてAIを活用するケースが増えています。

セキュリティ・インシデントが検出されると、SIEMシステムはセキュリティ担当部署にアラートを送信します。セキュリティ担当部署は、SIEMシステムのツールを使ってさらに調査を進めることになります。

SIEMセキュリティの主な構成要素

クラウドベースのSIEMセキュリティシステムは、複数の構成要素からなっています。主に、次のようになります。

  1. クラウドストレージ、データ収集、取り込み:ログイン試行、ファイル変更、ネットワークトラフィックなど、デジタル環境に関するデータが収集され、分析のために一貫性のある形式に正規化された上で保存される場所となります。
  2. 分析と検出:Analytics Engineは正規化されたデータに注目し、ユーザーとエンティティの行動分析(UEBA)とペアにした上で、疑わしいパターンを特定します。
  3. ダッシュボード、アラート、レポート:クラウドベースのSIEMシステムでは、ダッシュボードにAnalytics Engineが検出した内容が表示されます。セキュリティチームは、不審な点が検出されるとアラートと通知を受け取ります。SIEMは、誤検知アラートを防ぐこともできます。例えば、ユーザーが何度もパスワードをリセットしている場合、SIEMはこれを識別し、攻撃と区別できます。つまり、SIEMは最も注意を払う必要のあるインシデントからのノイズを分離できます。
  4. インシデントレスポンス:インシデント対応ツールは、インシデントに対応し、規制コンプライアンスを確保するために設計されています。

SIEMの統合により、企業が得ることになるメリット

SIEMを既存のシステムやツールに統合することで、企業は次のようなメリットを得ることになります。

  1. 脅威を早期にキャッチし、異常が検出された場合にリアルタイムで即時アラートを受信することで、セキュリティ体制を改善できます。
  2. 脆弱性の特定と脅威の優先順位付けにより、能動的なリスク管理を実施できます。
  3. 規制要件(GDPRHIPAAなど)を満たし、詳細な監査証跡を保持できます。
  4. 単一のダッシュボードで不審なインシデントを一元的に可視化することで、傾向分析やインシデントの迅速な解決が可能になります。

CloudflareはどのようにSIEMシステムとの統合

CloudflareのNetwork Analytics LogsはSIEMダッシュボードと統合されており、L3/4トラフィックとDDoS攻撃を最大限に可視化します。また、CloudflareのLog Pushサービスにより、ユーザーはZero TrustのログをサードパーティのストレージやSIEMツールに自動的にエクスポートするよう設定できます。これにより、シームレスかつ包括的な脅威検知システムが保たれ、規制当局に対しコンプライス適合状況を示しやすくなります。