読み方 ： シーム

概要

SIEM（Security Information and Event Management）とは、セキュリティソフトの一つで、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析するもの。

解説 企業などの情報システムを構成する様々なサーバやネットワーク機器、セキュリティ機器などからリアルタイムにログを取得し、外部からの侵入の試みやマルウェアの感染、機密情報の流出などが疑われる状況を察知して管理者に知らせる。

情報収集の対象となる機器はルータやスイッチ、無線アクセスポイントなどのネットワーク機器、Webサーバやメールサーバ、プロキシサーバなど各種サーバ、ファイアウォールやIDS/IPS、アンチウイルスゲートウェイなどのセキュリティ機器で、これらの上で動作するソフトウェアも対象となる。

単体の機器の記録だけでは気付かない異状を複数の機器の記録を突き合わせて割り出したり、一回一回は正常な操作やアクセスの記録を時系列に並べることで不審な試みが行われていることを把握し、管理者に警告を発するといった動作も可能である。

過去に起きた事象について記録を解析して原因や被害状況を調べたり、被害や手口の証拠を得るのに用いることもあるが、今起きている事象を即座に把握して被害の拡大を抑えることが主な役割となる。企業などが自社のシステムで運用するだけでなく、セキュリティサービス企業が顧客のシステム監視に用いる場合もある。