対象試験と出題頻度
SIEM(セキュリティ情報イベント管理)は、情報セキュリティマネジメント試験を中心に、ITパスポートから応用情報技術者まで出題される重要キーワードです。
近年のサイバーセキュリティ対策の要となる技術であり、出題頻度が上がっています。
詳細をクリックして確認
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
SIEM(Security Information and Event Management:セキュリティ情報イベント管理)とは、一言で言うと「複数のシステムやセキュリティ機器からログを一元収集し、相関分析することでセキュリティ上の脅威を検知・可視化するシステム」のことです。
イメージとしては、「ビル全体の防犯カメラ映像を1つの警備室に集め、AIが不審な動きを自動検出する監視システム」のようなものです。個々のカメラ映像だけでは気づかない「複数カメラにまたがる不審者の動き」も、一元的に分析することで発見できます。
情報処理試験を勉強していると、「ログって、そんなに大事なの?」と思う方もいるかもしれません。答えは「非常に大事」です。サイバー攻撃は、1つのシステムだけを見ていても気づきにくい。ファイアウォール、サーバー、認証システムなど、複数のログを突き合わせて初めて「攻撃の兆候」が見えてきます。SIEMは、その「突き合わせ作業」を自動化・効率化するツールです。
📊 SIEMの主な機能
| 機能 | 説明 |
|---|---|
| ログ収集 | ファイアウォール、サーバー、アプリケーションなど多様なソースからログを収集 |
| 正規化 | 異なる形式のログを統一フォーマットに変換 |
| 相関分析 | 複数のログを時系列・関連性で分析し、攻撃パターンを検出 |
| アラート通知 | 脅威を検知したら管理者にリアルタイムで通知 |
| レポート・可視化 | ダッシュボードやレポートでセキュリティ状況を可視化 |
| ログ保管 | コンプライアンス対応やフォレンジック調査のため長期保存 |
解説
SIEM(Security Information and Event Management)は、組織内のあらゆるIT機器・システムからログを収集し、一元的に管理・分析するプラットフォームです。「Security Information Management(SIM)」と「Security Event Management(SEM)」の2つの概念を統合したものとして誕生しました。
なぜSIEMが必要なのか
現代の企業ネットワークには、ファイアウォール、ルーター、サーバー、PC、クラウドサービスなど、膨大な数のIT資産が存在します。それぞれがログを出力しますが、個別に見ていては攻撃の全体像を把握できません。
例えば、こんなケースを考えてみてください。あるユーザーが深夜3時に社外からVPN接続し、普段アクセスしないサーバーにログインして、大量のファイルをダウンロードしました。VPNログ、認証ログ、ファイルサーバーログをそれぞれ個別に見ると、どれも「正常な操作」に見えます。しかし、これらを時系列で突き合わせると「不正アクセスの可能性が高い」と判断できます。
SIEMは、こうした相関分析(コリレーション)を自動で行い、単一のログでは発見できない脅威を浮かび上がらせます。
💡 SIEMの相関分析の例
① 複数回のログイン失敗 → 成功
同一アカウントで短時間に複数回ログイン失敗した後、成功した場合、パスワード総当たり攻撃(ブルートフォース)の可能性。
② 深夜の大量データ転送
通常業務時間外に、普段アクセスしないサーバーから大量のデータ転送が発生した場合、内部不正やマルウェア感染の可能性。
③ 複数システムでの同時異常
短時間に複数のサーバーで同様のエラーが発生した場合、標的型攻撃の横展開の可能性。
SIEMの構成要素
SIEMは大きく分けて以下の要素で構成されています。
ログコレクターは、各種機器・システムからログを収集するエージェントやコネクターです。Syslog、Windows Event Log、API連携など、さまざまな方式でログを取得します。
正規化エンジンは、異なるフォーマットのログを統一形式に変換します。これにより、異なるベンダーの機器のログでも横断的に分析できるようになります。
相関分析エンジンは、収集したログに対してルールベースや機械学習を用いて分析を行い、脅威を検出します。
ダッシュボード・レポートは、分析結果を可視化し、セキュリティ状況を一目で把握できるようにします。
SIEMとSOC
SIEMは、SOC(Security Operation Center:セキュリティオペレーションセンター)の中核ツールとして活用されます。SOCとは、組織のセキュリティを24時間365日監視する専門チーム・施設のことです。SOCのアナリストは、SIEMが検知したアラートを分析し、インシデント対応を行います。
「SIEMを導入すれば自動で全部やってくれる」と思われがちですが、実際にはアラートの精査や対応判断には人間の専門知識が必要です。SIEMはあくまで「人間の目を増やすツール」であり、最終判断は人間が行います。
📊 SIEMと関連ツールの違い
| ツール | 主な役割 | 特徴 |
|---|---|---|
| SIEM | ログ一元管理・相関分析・脅威検知 | 検知・可視化が中心 |
| SOAR | インシデント対応の自動化・効率化 | 対応の自動化が中心 |
| EDR | エンドポイント(PC等)の脅威検知・対応 | 端末に特化 |
| XDR | 複数領域(端末、ネットワーク等)を統合監視 | EDRの拡張版 |
⚠️ SIEMの課題と注意点
① 大量のアラート(アラート疲れ):誤検知が多いと、重要なアラートが埋もれてしまう。適切なチューニングが必要。
② 導入・運用コスト:ライセンス費用に加え、専門知識を持つ人材の確保が必要。中小企業にはハードルが高い場合も。
③ ログの品質:「ゴミを入れればゴミが出る」。収集するログの品質や設定が適切でないと、正確な分析ができない。
試験ではこう出る!
SIEMは、情報セキュリティマネジメント試験を中心に出題頻度が上がっているキーワードです。「SIEMとは何か」という基本定義と、「相関分析」という特徴的な機能を押さえておきましょう。
【試験で狙われるポイント】
- SIEM = 複数ソースからログを一元収集して相関分析
- 単一のログでは発見できない脅威を検出できる
- SOC(セキュリティオペレーションセンター)の中核ツール
- リアルタイム監視とアラート通知
- コンプライアンス対応のためのログ保管機能も
試験問題で「複数のシステムやセキュリティ機器からログを収集し、相関分析を行うことで脅威を検知する」という記述があれば、それは「SIEM」に関する記述です。
試験ではここまで押さえておけばOKです。SIEMの具体的な製品名(Splunk、QRadarなど)や細かい設定方法までは問われないので、「何をするツールか」を確実に理解しておきましょう。
📊 セキュリティ監視・分析ツールの整理(試験対策)
| 用語 | キーワード |
|---|---|
| SIEM | ログ一元管理、相関分析、脅威の可視化 |
| SOC | セキュリティ監視の専門組織・施設 |
| CSIRT | インシデント対応の専門チーム |
| EDR | エンドポイント(端末)の脅威検知・対応 |
📝 IPA試験での出題ポイント
SIEMは「ログの一元管理」と「相関分析」がキーワードです。IDSやIPSが「通信をリアルタイムで監視」するのに対し、SIEMは「ログを収集・分析」する点が異なります。また、SOC(監視する組織)とSIEM(監視に使うツール)の関係も整理しておくと、選択肢で迷いにくくなります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. SIEM(Security Information and Event Management)に関する説明として、最も適切なものはどれでしょうか?
- A. ネットワーク上の不正アクセスをリアルタイムで検知し、自動的に通信を遮断するシステム
- B. ファイアウォール、IDS/IPS、アンチウイルスなど複数のセキュリティ機能を1台の機器に統合したもの
- C. 複数のシステムやセキュリティ機器からログを一元収集し、相関分析を行うことでセキュリティ上の脅威を検知・可視化するシステム
正解と解説を見る
正解:C
解説:
SIEM(Security Information and Event Management:セキュリティ情報イベント管理)は、ファイアウォール、サーバー、アプリケーションなど、組織内の複数のシステムやセキュリティ機器からログを一元的に収集し、相関分析を行うことで、単一のログでは発見できない脅威を検知・可視化するシステムです。SOC(セキュリティオペレーションセンター)の中核ツールとして活用され、リアルタイム監視やインシデント調査、コンプライアンス対応に役立ちます。
選択肢Aは「IPS(侵入防止システム)」の説明です。選択肢Bは「UTM(統合脅威管理)」の説明であり、いずれもSIEMとは異なります。SIEMは通信を遮断するのではなく、ログを分析して脅威を「可視化」する点が特徴です。
