「SIEM(シーム)」とは?
「SIEM(シーム)」は、セキュリティ製品やネットワーク製品などあらゆるIT機器のログを一元的に管理・解析して、セキュリティインシデントの要因となる脅威を検知できるセキュリティシステムを言います。
“Security Information and Event Management”の頭文字をとった用語です。
セキュリティインシデントへの迅速な対応を実現
上で触れたように、SIEMはあらゆるIT機器のログを一元管理し、総合的に解析する機能を備えています。
解析結果から異常挙動を検知して管理者に通知し、スピーディーなインシデント対応に導くのです。
ダッシュボード機能によって、収集している各種ログや検出された脅威を可視化することもできます。
導入目的は“予防”ではなく“事後の迅速対応”
ここまで解説したように、SIEMが実現するのは、セキュリティインシデントに対する迅速な対応です。
そのため、導入する目的は、セキュリティインシデントを予防することではありません。
あくまでもインシデントによる被害の最小化や事後対応の最適化を図るものなので、その点の認識を誤らないようにしましょう。
「SIEM」が登場した背景
年を追うごとにサイバー攻撃が巧妙化・多様化している近年、脅威を防ぎ切ることは極めて困難になっています。
あらゆるサイバー攻撃への防御を徹底しようとすれば、予算の面でも技術面でも、一企業での実現は非現実的なものとなるでしょう。
こうした背景から注目されるようになったのが、攻撃の完全防御は不可能なものと捉えたうえで、“侵入した脅威のスピーディーな検出”と“被害を最小限にする適切な事後対応”を重視する考えです。
これらの実現には、あらゆるログのリアルタイムな収集と解析が必要であり、そのために生まれたシステムのひとつがSIEMなのです。
