SIEM

SIEMは『Security Information a​nd Event Management』の略で、ファイアウォール・サーバー・認証システム・アプリケーション・クラウドサービスなど、組織内のあらゆるログを一元的に収集し、相関分析によって異常や攻撃の兆候を検出する統合セキュリティ監視基盤です。単独のログでは気づきにくい攻撃も、複数ログをまたいで見れば浮かび上がることが多く、そうした『点』を『線』にする役割を担います。

代表的な機能は、①ログ収集と正規化（フォーマット統一）、②リアルタイム相関分析（ルール・機械学習）、③異常検知とアラート発報、④インシデント調査用の検索・可視化、⑤長期保管と監査証跡、⑥コンプライアンス報告書生成などです。代表製品にはSplunk・Microsoft Sentinel・IBM QRadar・LogRhythm・Elastic Security・OSSのWazuhなどがあり、オンプレミス・クラウド・ハイブリッドで提供されています。

SIEMを活かすには『SOC（Security Operation Center）』と呼ばれる専門チームの運用が不可欠です。24時間体制でアラートをトリアージし、偽陽性を切り分け、真の攻撃を初動対応に引き渡す役割を担います。最近は『SOAR（Security Orchestration, Automation a​nd Response）』と組み合わせて、定型的な対応を自動化する流れが主流です。

中小企業には『MDR（Managed Detection a​nd Response）』サービスとして、SIEM＋SOC運用をアウトソースする選択肢もあります。自前で24時間運用を組むよりコスト効率が高く、セキュリティ人材不足の現実的な解となっています。いずれにせよ、ログを集めるだけで終わらず、『誰が見て、どう対応するか』という運用設計まで含めて初めてSIEMは価値を発揮します。