セキュリティ情報イベント管理 (セキュリティジョウホウイベントカンリ) とは | 意味や読み方など丁寧でわかりやすい用語解説

セキュリティ情報イベント管理 (セキュリティジョウホウイベントカンリ) の読み方

日本語表記

セキュリティ情報イベント管理 (セキュリティジョウホウイベントカンリ)

英語表記

Security Information and Event Management (セキュリティ インフォメーション アンド イベント マネジメント)

セキュリティ情報イベント管理 (セキュリティジョウホウイベントカンリ) の意味や用語解説

セキュリティ情報イベント管理とは、企業や組織内の様々なIT機器やソフトウェアから出力されるログ情報を一元的に集約し、管理・分析することで、サイバー攻撃の兆候やセキュリティ上の脅威を早期に検知・対処するための仕組み、またはそのためのツールを指す。英語ではSecurity Information and Event Managementと表記され、その頭文字を取ってSIEM（シーム）と呼ばれることが一般的である。現代のITシステムは、サーバー、ネットワーク機器、セキュリティ機器、クライアントPC、各種アプリケーションなど、無数のコンポーネントで構成されており、それぞれが膨大な量のログを常時生成している。これらのログには、システムの正常な動作記録だけでなく、不正アクセスやマルウェア感染といったセキュリティインシデントの痕跡が含まれている可能性がある。しかし、ログの量と種類が膨大であるため、人間の手作業で全てのログを監視し、その中から脅威の兆候を見つけ出すことは極めて困難である。SIEMは、この課題を解決するために、ログの収集、管理、分析、そして脅威の検知と通知という一連のプロセスを自動化・効率化する役割を担う。 SIEMの機能は、大きく分けてログの収集、相関分析、脅威の検知と通知の三段階で構成される。まず、ログの収集段階では、ファイアウォール、IDS/IPS（侵入検知・防御システム）、プロキシサーバー、認証サーバー、OS、データベース、Webサーバーなど、組織内の多種多様な機器やシステムからログデータを集約する。これらのログは、生成元によってフォーマットが異なるため、そのままでは横断的な分析が難しい。そこでSIEMは、収集した様々な形式のログを、共通の統一されたフォーマットに変換する「正規化」という処理を行う。この正規化によって、異なる機器由来のログであっても、同じ基準で比較・分析することが可能となる。収集されたログは、インシデント発生時の原因調査（フォレンジック）や、各種法令・ガイドラインが求めるコンプライアンス要件への対応のために、長期間にわたって安全に保管される。 次に、相関分析の段階では、正規化され、一元管理された膨大なログデータの中から、脅威の兆候を示すパターンを見つけ出す。SIEMの最大の特徴は、単一のログイベントだけでなく、複数の異なるログイベントを時間軸や関連性に基づいて組み合わせ、総合的に分析する点にある。例えば、「深夜に、ある社員アカウントで海外からの認証失敗が複数回記録された」という認証サーバーのログと、「ほぼ同時刻に、その社員のPCから社内機密サーバーへ普段とは異なる大量のアクセスがあった」というファイルサーバーのログが存在したとする。これらを個別に見ると見過ごしてしまうかもしれないが、SIEMが両者を関連付けることで、アカウント乗っ取りによる不正アクセスの可能性が高いと判断し、重大なインシデントとして警告を発することができる。このように、異なる事象を関連付けて分析する相関分析は、単体のセキュリティ製品では検知が困難な、巧妙で複合的な攻撃を発見する上で不可欠な機能である。 最後に、脅威の検知と通知の段階では、相関分析の結果、インシデントの兆候や明らかな攻撃が検知された場合に、セキュリティ担当者へ迅速に警告を発する。検知の方法には、既知の攻撃パターンを定義したルール（シグネチャ）に合致するかどうかを判定する方法や、機械学習技術を用いて平時におけるシステムの正常な振る舞いを学習し、そこから逸脱する異常な活動を検知する方法などがある。脅威が検知されると、管理画面のダッシュボードにアラートが表示されたり、担当者にメールやチャットツールで通知が送られたりする。これにより、担当者はインシデントを即座に認識し、調査や対処といった次の行動へ迅速に移ることができる。また、定期的なレポートを自動生成する機能も備えており、組織のセキュリティ状態を可視化し、経営層への報告や監査対応に活用することも可能である。SIEMは、複雑化するサイバー攻撃から組織を守るためのセキュリティ運用の中心的な基盤であり、インシデント対応の迅速化と高度化を実現するために重要な役割を果たしている。