SIEMについて書く前に、SIEMがない環境下でのサイバー攻撃への対策をみてみましょう。従来のセキュリティ環境では、製品単体の能力のみで解決しようとしていました。そうすると、社内のサーバーやネットワーク機器、そのほかのデバイスから得られるログ情報を各々で管理することになり、アラートやインシデントを調査することが難しくなります。また、ログをどのように活用するのかが難しく、相関的に分析することができないというのがこれまでの話でした。そこでは、運用面での負担が非常に大きく、時間や工数、人員のどれをとっても負荷がかかってしまう仕組みとなっていました。
そこで開発されたのが、SIEMです。SIEMはセキュリティ/ネットワーク機器のログを収集して一元的に管理することができ、その上で複数のログの内容をリアルタイムに分析し、異なるログの相関分析を自動的に行うという画期的なシステムなのです。このシステムが必要な背景として、近年のサイバー攻撃は手法が巧妙化され、デバイスやサーバー単体のログだけを確認しても攻撃されているかわからないという事情があります。SIEMの多種多様なログを用いた相関分析により、脅威と思われる兆候を見つけ、被害を未然に防いだり、マルウェアの駆除や情報漏洩などの被害把握、被害拡大の防止などにつながると期待されているのです。
SIEMによってサポートされるべきデバイスには、次のようなものが挙げられます。
・境界セキュリティ (例えばファイアウォールと侵入検出システム)
・他のセキュリティ・ツール (例えばID とアクセス管理)
・ネットワーク機器(例えばルータとスイッチ)
・運用ツール (例えば構成管理)
・メインフレームを含めたサーバー類
・ビジネス・アプリケーション (例えばSAP)
・データベースとオペレーティング・システム
参考資料:SIEMにできることは