今回はSIEMについて紹介していきます。
SIEMとは、様々な機器やソフトウェアの動作状況の記録を一元的に蓄積・管理し、
脅威となる事象を早急に検知・分析するセキュリティソフトのことです。
仕組み
→様々な機器から収集したログを時系列等で相関分析することで、セキュリティインシデントの
予兆や痕跡を見つけ、アラート等により管理者に通知する仕組みです。
機能
・
相関分析によるインシデント早期発見
→システムの規模が大きくなるほど、ログの量が膨大になり、人の手ではチェックすることが難しくなります。
しかし、SIEMの定められたルールに則って機械的に処理することで上記のセキュリティインシデントに対しても
対応可能で、早期に発見することが可能です。
・
ログの統合管理
→機器に保存されているログを確認することは手間がかかりますが、
SIEM機能のログを統合管理することで、ログをすぐに確認でき、ログ同士を比較分析しやすくなります。
・
脅威への早期対策
→SIEMが発見したセキュリティインシデントは、アラート等の機能により管理者へ通知されます。
収集した大量のログをリアルタイムに相関分析するため、脅威への早急な対策が可能になります。
SIEMのメリットは上記「機能」になりますが、デメリットもあります。
デメリット
・様々な機器からログを収集するため、ネットワークトラフィックが高くなります
・収集するログが必要な部分だけであったり、間引きされることがあり、ログの粒度が荒くなることもあります。
・導入にあたり、適切なルールを制定することに時間と技術を要します。
以上になります。
参考文献:
SIEM(セキュリティ情報イベント管理)とは - 意味をわかりやすく - IT用語辞典 e-Words