サイバー攻撃の手法が日々進化する中で、近年は猛威を振るう標的型攻撃のニュースがよく取沙汰されます。その有効な手段として注目されているシステムが、SIEMです。SIEMとは、ログやイベントデータを管理して自動的に分析する事で、重大なインシデントに発展する前の潜在的な脅威を特定・検知する仕組みで、インシデントの早期発見・対応につながると期待されるシステムです。このシステムでは、ルーターやアクセスポイント・モデムといったネットワーク機器や、ファイアウォールやウイルス対策ソフトといったセキュリティ機器、ウエブやメールのサーバー・プロキシサーバーといったサーバーなど、複数の機器からログを集中的に収集して一元管理します。

それらのログを組み合わせて相関分析する事で脅威を発見し、また脅威となり得る行動を顕在させる事ができます。加えて、ログを互いに関連付けて分析する事や、時間軸やイベント軸から相関分析が可能で、攻撃の侵入経路や範囲、被害などを含む全容の可視性に優れており、脅威やインシデントの傾向などの把握や対策の改善に有効な基盤となる仕組みです。次に収集するイベントデータですが、システムやデバイス・アプリケーションなどのさまざまな情報ソースから集約・統合して分析され、定義から逸脱した異常な行動を検出します。その後、設定したガイドラインに基づいた手順で対応します。

例えば、異常で悪質なアクティビティに対して、一時停止の対応を設定する事が可能です。またSIEMでは、単一のイベントでは検出されない異常も、複数のイベントを相関分析する事で検出ができます。従来の手動によるログ分析では、大変な手間と時間がかかるためインシデントを発見する事が困難でした。そのため、脅威を自動分析・検知するSIEMが考案され、現在、続々と導入が進められています。