Security Information and Event Management (SIEM)

SIEM（シーム）とは「Security Information and Event Management」の略で、日本語では「セキュリティ情報およびイベント管理」と訳されます。各種機器やソフトウェアが出力するログを一元的に蓄積・管理し、これをリアルタイムに分析することで、セキュリティ上の脅威となる事象を検知し、異常発生時にはアラートを発する等の処理を行うことを意味します。またそのために使用されるソフトウェアのこともSIEMと呼ばれます。
SIEMには以下の機能が求められます。

• イベント ログの収集・蓄積
  まずセキュリティに関するイベント ログの収集、蓄積が必要です。その情報源は、ファイアウォールやWAFといったセキュリティ アプライアンス、アンチウィルス等のソフトウェア、プロキシ サーバ、OS、アプリケーション等、多岐にわたります。ただし対象が多すぎると運用負荷が大きくなり、正規化など処理が複雑で難しくなります。このため、ログの収集対象は優先順位を決めて選定することが必要です。
   
• ログ データの正規化
  収集されたデータは、表現形式や意味を統一し、重複を排除する必要があります。これを正規化と言います。
   
• ログ データ間の相関分析
  セキュリティ脅威の中には、単一のログ データだけでは検出できないものも少なくありません。そこでSIEMでは、複数のログ データを組み合わせて分析し、単一のログ データでは発見できない脅威を見つけ出します。例えばパスワード リスト攻撃は、ブルート フォース攻撃に比べてログインの試行回数がはるかに少ないため、正規ユーザによる入力ミスと区別がつきません。アクセス元のIPアドレスでログをまとめ、同一IPアドレスから複数IDでのログインが試行されたことを検出することで、パスワード リスト攻撃を検出できるようになります。
   
• アラートとレポーティング
  セキュリティ脅威につながる事象が発見された場合に、管理者にアラートを発します。また事象をレポートに可視化し、セキュリティ防御システムの運用の改善が可能になります。
   

F5が提供する「F5 BIG-IP」はセキュリティ脅威に関する多岐にわたるデータを記録しており、これを各種SIEMツールと連携させることで、セキュリティを高めることが可能です。