SIEM (セキュリティ情報イベント管理)

SIEM とは

SIEM (Security Information and Event Management、シーム) とは、組織内の多様なシステムやネットワーク機器からログを一元的に収集し、相関分析によってセキュリティ上の脅威をリアルタイムに検知するプラットフォームです。

SIEM は 2 つの技術の融合から生まれました。SIM (Security Information Management) はログの長期保存と分析を担い、SEM (Security Event Management) はリアルタイムのイベント監視とアラートを担います。この 2 つを統合したのが SIEM です。

現代の組織では、ファイアウォール、IDS/IPS、サーバー、アプリケーション、クラウドサービス、エンドポイントなど、膨大な数のログソースが存在します。個々のログを個別に監視するだけでは、複数のシステムにまたがる高度な攻撃を検知できません。SIEM は異なるソースのログを正規化・統合し、相関ルールに基づいて単独では見えない脅威パターンを浮かび上がらせます。

インシデントレスポンス、脅威インテリジェンス、コンプライアンス対応の基盤として、SIEM は組織のセキュリティ運用の中核を担います。

SIEM の主要機能と相関分析

ログ収集と正規化: Syslog、Windows Event Log、API、エージェントなど多様な方式でログを収集し、異なるフォーマットのログを統一的なスキーマに正規化します。これにより、異なるベンダーの機器のログを横断的に検索・分析できます。

相関分析 (Correlation): SIEM の核心機能です。単一のイベントでは正常に見えるログも、複数のイベントを時系列で相関させると攻撃パターンが見えてきます。例えば、「短時間に複数の認証失敗 → 1 回の認証成功 → 通常と異なる時間帯のデータアクセス」という一連のイベントは、ブルートフォース攻撃による不正アクセスの可能性を示唆します。

アラートとダッシュボード: 相関ルールに合致するイベントが検出されると、深刻度に応じたアラートを生成します。ダッシュボードでセキュリティ状況をリアルタイムに可視化し、SOC (Security Operations Center) のオペレーターが迅速に状況を把握できます。

ログの長期保存と検索: コンプライアンス要件 (PCI DSS、GDPR 等) に基づくログの保存期間を満たしつつ、過去のログを高速に検索できる機能を提供します。デジタルフォレンジック調査時にも、過去のログを遡って分析できます。

SIEM 導入の設計ポイント

SIEM の導入は、ツールの選定だけでなく、ログ収集戦略と運用体制の設計が成否を分けます。

ログソースの優先順位付け: すべてのログを収集しようとすると、コストとノイズが膨大になります。まず、認証ログ (Active Directory、IAM)、ファイアウォールログ、DNS ログ、Web プロキシログなど、攻撃の検知に直結するログソースから始め、段階的に拡充します。

相関ルールのチューニング: デフォルトの相関ルールだけでは、誤検知 (False Positive) が大量に発生します。自組織の環境に合わせてルールをチューニングし、誤検知率を下げることが運用の鍵です。最初の 3-6 ヶ月はチューニング期間と割り切ってください。

ストレージとコスト: SIEM のコストはログの取り込み量 (EPS: Events Per Second) に比例します。不要なログの除外、ログの圧縮、ホットストレージとコールドストレージの使い分けでコストを最適化します。

CSIRT との連携: SIEM が検知したアラートを CSIRT のインシデント対応ワークフローに自動連携する仕組みを構築します。SOAR (Security Orchestration, Automation and Response) との統合により、初動対応の自動化も可能です。

SIEM の進化と次世代 SIEM

従来の SIEM はルールベースの検知が中心でしたが、次世代 SIEM は機械学習と UEBA (User and Entity Behavior Analytics) を統合し、未知の脅威やルールでは定義しにくい異常行動を検知する能力を備えています。

UEBA: ユーザーやエンティティ (サーバー、アプリケーション) の通常の行動パターンをベースラインとして学習し、逸脱した行動を異常として検知します。内部不正や、正規アカウントを乗っ取った攻撃者の行動を検知するのに有効です。

クラウドネイティブ SIEM: AWS、Azure、GCP のクラウドログを直接取り込み、クラウド環境特有の脅威 (IAM の設定ミス、S3 バケットの公開設定など) を検知する機能が強化されています。

SOAR との統合: アラートの自動トリアージ、脅威インテリジェンスとの自動照合、初動対応の自動実行 (IP アドレスのブロック、アカウントの無効化など) により、SOC の運用負荷を大幅に軽減します。

脆弱性管理の情報と SIEM のアラートを統合することで、「悪用可能な脆弱性を持つ資産に対する攻撃」を優先的に対応するリスクベースのアプローチも実現できます。

よくある誤解

SIEM を導入すればセキュリティ監視は自動化される

SIEM はログの収集と相関分析を自動化しますが、アラートの精査、誤検知の判別、インシデントの調査と対応には人間の判断が不可欠です。SIEM は SOC オペレーターの能力を増幅するツールであり、人員を不要にするものではありません。

ログを全部 SIEM に入れれば脅威を見逃さない

ログを大量に取り込むと、ノイズが増えて本当に重要なアラートが埋もれます。また、ログ量に比例してコストも増大します。重要なログソースを優先的に取り込み、相関ルールを適切にチューニングすることが、検知精度とコスト効率の両立に不可欠です。

関連用語

関連記事