企業内のネットワークを分析する次世代型の監視・検知システム「SIEM（シーム、Security Information and Event Management）」が注目され、多くのCSIRTやSOCが、SIEMを用いた統合ログ管理・監視体制を構築しています。

 近年、サイバーセキュリティ対応体制として、CISO（シーアイエスオー、Chief Information Security Officer）を責任者として、セキュリティインシデント対応専門チームCSIRT（シーサート、Computer Security Incident Response Team）や、システムおよびネットワークを監視するSOC（ソック、Security Operation Center）を構築・運用する企業が増えています。

 その一方で攻撃は、高度化・複雑化・長期化しており、攻撃側の予算規模も大きくなっています。ウイルス検知ソフトやファイアウォール、IDS/IPSをすり抜ける技術も利用されており、インシデントを100%完全に未然に防ぐことは以前に比べて一段と困難な状況となっています。

 このような中、インシデントによる被害を極小化するには、第一にインシデントの発生を速やかに検知することが重要となります。

 そのためにはまず、様々な機器が生成するログを一元的に集中管理するとともに、アラートや様々なログを照らし合わせて相関分析を行う、統合的なログ管理システムが必要となります。これらの一連の作業をリアルタイムかつ自動的に行うことで、脅威を早期発見し、警告を発する仕組みがSIEMです。

 SIEMは、単なる過去のログを管理するシステムではなく、様々な機器が生成するログを相互に突き合わせて分析統合ログ管理システムであり、将来起こる被害の予兆を見つけ出して警告を発したり、人間の管理者が見落としていたインシデントの痕跡や、潜伏していたマルウェアを発見するための仕組みです。ある米国のIT企業は、旧来型の「SOC」と比較して、SIEMを導入したSOCを「SOC 2.0」と呼んで区別しています。

 SIEMは次世代の監視・検知システムとして注目され、導入企業する企業が増えています。それでは、SIEMの導入にあたって、どのような点に注意が必要なのでしょうか。

コラム「SIEM導入までと運用の注意点」