SIEMとは

SIEM（Security Information and Event Management：シーム）とはGartner社が2005年に提唱した、セキュリティインシデントを包括的に分析し可視化する製品分野、ソリューションの名称。サイバー攻撃の侵入経路や被害の拡大状況を、複数かつ多様なセキュリティログを収集し一元的に分析・管理、全容を可視化して対処の一助とすることで、高度なセキュリティ運用が可能になる。

SIEMとは｜概要

SIEM（シーム）とは“Security Information and Event Management”の略称で、直訳すると「セキュリティ情報とイベント管理」となります。サイバー攻撃などセキュリティインシデントの検知のため、ネットワークの監視などを、複数のセキュリティ機器等のログやデータを一元的に集約して行い、相関分析する仕組みです。

【図1】SCSKによるSOCのイメージとSIEMの働き

（出典）SCSK SOC

例えば、ファイアウォール、プロキシ、IDSやIPSそれぞれ単体のログを別々に見るのではなく、これらのセキュリティ製品やネットワーク製品（サービス）の膨大なログを一か所に集約して管理し、高速で分析を行います。SIEMを活用することにより、ログ分析で検出した脅威をダッシュボード機能で可視化できます。インシデントの早期発見だけでなく、侵入経路や侵入が及ぼす範囲の調査や対処方法の検討を行うほか、侵入者の不審な挙動などを分析結果から検知した際に管理者へ通知することもできます（サービス・ソリューションにより対応は異なる）。

SIEMの活用は迅速なセキュリティインシデント発生時の対応を可能にします。サービス提供事業者によってはSOAR、SOCなどと組み合わせ、より高度で精密な支援体制を提供するものもあります。