SIEM（シーム）

SIEM（Security Information and Event Management：シーム）とは、組織内の様々なセキュリティ機器やシステムから収集したログデータを一元管理し、リアルタイムで分析・相関分析を行うことで脅威を検知するセキュリティソリューションです。SOCの中核ツールとして広く利用されています。

SIEMの主要機能

ログの収集と正規化

ファイアウォール、IDS/IPS、アンチウイルス、認証サーバー、Webサーバー、データベース、クラウドサービスなど、多様なソースからのログを収集します。異なる形式のログを統一されたフォーマットに正規化することで、横断的な分析が可能になります。

リアルタイム監視とアラート

収集したログをリアルタイムで監視し、事前に定義したルールに合致する事象が発生した際にアラートを発報します。例えば、「同一IPアドレスから複数アカウントへのログイン試行」などのルールを設定できます。

相関分析

複数のログソースからのイベントを関連付けて分析することで、単独では気づきにくい複合的な攻撃パターンを発見します。例えば：

• 「特定のユーザーが深夜にVPN接続」+「普段アクセスしないサーバーへの接続」+「大量のファイルダウンロード」→ 内部不正の可能性
• 「脆弱性スキャンの検知」+「同一IPからの攻撃試行」+「Webサーバーでの異常リクエスト」→ 外部からの攻撃の可能性

ダッシュボードとレポート

セキュリティ状況を可視化するダッシュボードや、コンプライアンス対応のためのレポート生成機能を提供します。経営層への報告や監査対応に活用されます。

フォレンジック支援

インシデント発生時に、過去のログデータを検索・分析することで、何がいつ起きたのかを詳細に調査できます。長期間のログ保管と高速な検索機能が重要です。

次世代SIEM

従来のSIEMの課題（大量のアラート、複雑なルール設定、スケーラビリティ）を解決するため、次世代SIEMが登場しています：

• UEBA（User and Entity Behavior Analytics）統合：機械学習による異常検知
• SOAR連携：検知から対応までの自動化
• クラウドネイティブ：SaaS型で提供、スケーラビリティ向上
• 脅威インテリジェンス統合：外部の脅威情報との自動マッチング

主要なSIEM製品

Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle、Elastic Security、LogRhythm、Sumo Logicなどが市場をリードしています。近年はクラウドネイティブのSIEMへの移行が進んでいます。