使える! 情シス三段用語辞典30「SIEM」

2016/12/15

常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなるとさらに難しくなります。本用語辞典では数々のIT用語を三段階で説明します。

一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け 「SIEM」の意味

「SIEM(シーム)」と読む。「Security Information Event Management」の略で、「セキュリティ情報とイベント管理」と訳されている。ネットワーク機器、サーバー、クライアントPC、セキュリティソフトなどから集めたログを一元的に収集、リアルタイムで分析してセキュリティの脅威を検知するシステム。

複数のログを突き合わせて異常を検知するため、従来のIDS(不正侵入システム)では検知できなかった未知の脅威も、検知できる確率が高くなっている。最近のSIEMにはビッグデータ処理技術が応用されており、ほぼリアルタイムでの検知が可能になりつつあることから被害の拡大防止などへの利用が進むとみられている。

二段目 ITが苦手な経営者向け

これまで、セキュリティ対策に使われてきたIDSやセキュリティソフトは過去に使われた不正な手段を「シグネチャ」と呼ばれるルールとして持っておき、それと通信内容やソフトの振る舞いを比較して、マッチしたものを不正として検知していました。

しかし、年々不正な手段は巧妙化し、未知の方法が続々登場している中で「シグネチャ」の比較方式では検知できない不正アクセスやマルウェアが増えています。そこで登場したのが「SIEM」です。

SIEMはたくさんの機器やソフトのログを集めて、横断的に分析する手法です。通常とは違う状態を検知することができます。

例えば、社内からサーバーにアクセスしていたAさんがログアウトした5分後に、海外からAさんのアカウントでログインがあったという場合。IDSなどでは、たとえ海外からのアクセスがあっても正しいIDとパスワードでログインされている場合は不正とは判断しません。

しかし、SIEMでは国内からのアクセスから5分後に海外からアクセスがあるのはおかしいと判断します。そして警告を発することができるのです。このように、人間の「違和感」レベルで不正を検知できるのがSIEMです。

三段目 小学生向け

みなさんはお城と門番は分かりますよね? ここではコンピューターの安全についてお城(コンピューター)と門番やお城を守る人(コンピューターを守る仕組み)に例えて説明します。

お城には高い城壁があり、ところどころで門が開いています。そこには門番がいて、外の人がお城の中に勝手に入って来ないように守っています。また、城壁には見張り台があって、壁をよじ登って入ろうとする人がいないか、見慣れない人が城壁の内側にいないかを監視しています。

お城の守りは年々厳しくなっています。そこで、お城に入って悪いことをしようとする人はいろいろな方法を考え始めました。例えば、「少し離れた場所から、お城の中まで穴をほって宝物を盗み出す」「商人に変装してお城の中に入り込み、秘密の情報を聞き出す」というやり方です。

このやり方では、お城を守る人たちはいくらお城の守りを厳重にしても見過ごしてしまいがちで、お城に入られてしまう可能性が高くなってしまいます。

そこで、お城を守る人たちは、お城の中や外のいろいろな情報を集めて「あれ? おかしいぞ?」ということをいち早く見つけ出し、悪い人たちからお城を守る方法を考えました。これを「SIEM(シームと読みます)」といいます。

例えば「お城の周りに住んでいる人たちから、最近お城の周りで怪しいことをしている人がいないかを聞く」「商人が来たら、身分証明書を見せてもらい、書いてある連絡先に確認をして、その人が本当にいるのか、顔の特徴があっているかなどを調べた上で中に入れる」ということを行うのです。

ただ、この方法ではお城を守るために、たくさんの情報を集めて確認しなければいけません。だからお城を守る人は大変です。しかし、最近では、たくさんの情報(ビックデータといいます)の中から、「怪しい」情報を短時間で見つける方法が生み出されています。そのため、お城の守りがさらに強固になると期待されているのです。