はじめに
企業のIT環境では、日々膨大なログが生成されています。
例えば次のようなログです。
- サーバーのシステムログ
- ネットワーク機器のログ
- ファイアウォールログ
- 認証ログ
- アプリケーションログ
- エンドポイントのセキュリティログ
これらのログは通常、さまざまな機器やシステムに分散しています。そのため、攻撃が発生した場合でも 単一のログだけでは異常を発見することが難しい場合があります。
そこで重要になるのが
Security Information and Event Management(SIEM)
です。
SIEMは、複数のシステムからログを集約・分析し、セキュリティインシデントを検知するための仕組みです。
SIEMとは
SIEMとは
ネットワークやシステムのログを収集・分析し、セキュリティ脅威を検知するセキュリティ管理システム
です。
簡単に言うと次の流れで動作します。
ログ収集
↓
ログ統合
↓
相関分析
↓
脅威検知
↓
アラート通知
これにより、企業のIT環境全体を監視することができます。
SIEMが収集するログ
SIEMはさまざまな機器やシステムからログを収集します。
主なログの例:
| ログの種類 | 内容 |
|---|---|
| 認証ログ | ログイン成功・失敗 |
| Firewallログ | 通信の許可・拒否 |
| EDRログ | 不審なプロセス |
| Webログ | アクセス履歴 |
| DNSログ | ドメイン問い合わせ |
| クラウドログ | クラウドサービスの操作 |
これらを 中央のSIEMシステムに集約します。
SIEMの主な機能
ログ収集(Log Collection)
SIEMは多くの機器からログを収集します。
例:
Server
Firewall
Router
Endpoint
Cloud
Application
ログを一箇所に集めることで、統合的な監視が可能になります。
相関分析(Correlation)
SIEMの最も重要な機能が 相関分析(Correlation) です。
複数のログを組み合わせて、攻撃の兆候を検知します。
例:
ログイン失敗 × 50回
↓
別IPからログイン成功
↓
管理者権限取得
このようなイベントを組み合わせて 不正アクセスを検知します。
アラート生成
異常なイベントを検知すると、SIEMは管理者へ通知します。
例:
Brute Force Attack Detected
SOC(セキュリティ運用チーム)は、このアラートを基に対応を行います。
可視化(Dashboard)
SIEMにはダッシュボード機能があります。
SOCでは次のような情報をリアルタイムで確認できます。
- 攻撃元IPアドレス
- 攻撃タイプ
- 影響を受けたシステム
- セキュリティイベントの発生数
これにより、企業のセキュリティ状況を 可視化できます。
SIEMのメリット
SIEMを導入することで、次のメリットがあります。
セキュリティログの集中管理
分散していたログを一箇所で管理できます。
攻撃の早期検知
複数のログを分析することで、攻撃の兆候を早期に発見できます。
インシデント対応の効率化
SOCチームが迅速に対応できるようになります。
代表的なSIEM製品
現在、多くの企業で次のSIEM製品が使われています。
| 製品 | 企業 |
|---|---|
| Splunk Enterprise Security | Splunk |
| Microsoft Sentinel | Microsoft |
| IBM QRadar | IBM |
| Elastic SIEM | Elastic |
| LogRhythm | LogRhythm |
特に Splunk や Microsoft Sentinel は大規模企業で広く利用されています。
SIEMとEDRの違い
SIEMとEDRは役割が異なります。
| 技術 | 役割 |
|---|---|
| Firewall | ネットワーク通信制御 |
| EDR | エンドポイント監視 |
| SIEM | ログ分析 |
つまり
EDR → データ生成
Firewall → 通信防御
SIEM → 分析
という関係になります。
SOCとの関係
SIEMは SOC(Security Operations Center) で利用されます。
SOCの役割は次の通りです。
SIEM監視
↓
アラート分析
↓
インシデント対応
つまり
SIEM = セキュリティ分析ツール
SOC = 運用チーム
という関係です。
まとめ
Security Information and Event Management(SIEM)は、
企業のセキュリティログを収集・分析し、脅威を検知する重要なセキュリティシステムです。
主な機能:
- ログ収集
- 相関分析
- アラート通知
- セキュリティ可視化
企業では次のような多層防御が構築されています。
Firewall
+
EDR
+
SIEM
+
SOC
このような仕組みにより、サイバー攻撃の早期検知と迅速な対応が可能になります。