SIEM(シーム)とは、社内のさまざまな機器やシステムが出力するログを一元的に集約し、それらを相関分析することでセキュリティ上の脅威の兆候を検知・可視化する仕組みです。「ログはあるが、増えすぎて活用できていない」という多くの情シスの悩みに対する、典型的な解の一つといえます。
本記事では、SIEMの定義と仕組みを、NISTなどの一次情報をもとに実務者目線で整理します。
この記事でわかること
- SIEMの正確な定義と、SIM・SEMとの関係
- 「ログを集めるだけ」と何が違うのか(相関分析の意味)
- SIEMの主な機能と、SOC・SOAR・EDRとの役割分担
- 情シスが導入・運用で直面しやすい現実的な課題と勘所
SIEMとは何か(定義)
SIEMは「Security Information and Event Management」の略で、米国NISTは SIEM ツールを「情報システムの各構成要素からセキュリティデータを収集し、それを単一のインターフェースを通じて実用的(actionable)な情報として提示する能力を備えたアプリケーション」と定義しています(NIST SP 800-128)。
ポイントは「単一のインターフェースで」「実用的な情報として」という部分です。ログをただ貯めるストレージではなく、散在するログを横断的に突き合わせて「対応すべき事象」を浮かび上がらせるところに本質があります。
SIMとSEMを統合したもの
SIEMは、もともと別々だった2つの領域を統合した概念です。
| 構成要素 | 正式名称 | 主な役割 |
|---|---|---|
| SIM | Security Information Management(セキュリティ情報管理) | ログの長期保存・集約、レポート作成、コンプライアンス対応 |
| SEM | Security Event Management(セキュリティイベント管理) | イベントのリアルタイム監視・相関分析・アラート通知 |
「貯めて振り返る(SIM)」と「リアルタイムで気づく(SEM)」の両輪を一つにまとめたものがSIEM、と理解すると整理しやすいでしょう。
なぜSIEMが必要とされるのか
背景にあるのは、監視すべきログの「量」と「分散」です。ファイアウォール、サーバ、認証基盤、エンドポイント、クラウドサービス……機器やサービスごとにログの形式も置き場所もバラバラで、人手で横断的に見るのは現実的ではありません。
NISTもログ管理の重要性を「コンピュータセキュリティログ管理ガイド」(NIST SP 800-92)として早くから示しており、現在は内容を刷新した改訂版(SP 800-92 Rev.1ドラフト「Cybersecurity Log Management Planning Guide」)の整備が進められています。それだけログ管理が、組織全体で計画的に取り組むべきテーマになっているということです。
「ログを集めるだけ」と何が違うのか
違いは相関分析にあります。単一のログだけを見ていても気づけない事象を、複数のログを突き合わせることで検知できる、というのが核心です。
たとえば「海外IPからのログイン失敗が多数」「直後に同じアカウントでログイン成功」「その端末から大量のファイルアクセス」——個々のログは単体では見過ごされがちですが、時系列と関連性をつないで見れば、不正アクセスの疑いとして1つのアラートに束ねられます。巧妙化する攻撃に対しては、この「点を線でつなぐ」視点が効いてきます。
SIEMの主な機能
- ログ収集・正規化:多様な機器のログを集約し、共通の形式に整える
- 相関分析・脅威検知:ルールや振る舞いに基づき、複数イベントを関連付けて異常を検知
- リアルタイムアラート:あらかじめ定めた条件に合致した事象を通知
- ダッシュボード・可視化:状況を一画面で俯瞰
- 長期保存・レポート:監査・法令対応や、インシデント後の調査(フォレンジック)に活用
SOC・SOAR・EDRとの関係は?
SIEMは単独の道具というより、監視・対応の「ハブ」です。役割分担を整理します。
| 用語 | 位置づけ |
|---|---|
| SOC(Security Operation Center) | 監視・対応を担う組織・チーム。SIEMはSOCの中核ツールとして使われる |
| SOAR | 検知後の対応を自動化・効率化する仕組み。SIEMの検知と連携させ、初動を省力化する |
| EDR | エンドポイント(端末)に特化した検知・対応。SIEMはEDRを含む多様なログを横断的に集約する |
SIEMが「全体を見て気づく」役、SOARが「気づいた後を素早く回す」役、EDRが「端末側を深く見る」役、という補完関係です。
情シスがSIEM導入・運用で押さえるべき点
SIEMは「入れれば安心」の製品ではありません。現場目線でいえば、むしろ導入してからが本番です。率直なところ、限られた人員で運用しきれずに「高価なログ箱」と化すケースは珍しくありません。
- 運用負荷を前提に考える:相関ルールのチューニングを怠ると、誤検知(過検知)の波に飲まれてアラート疲れを起こします。「鳴りっぱなしで誰も見ない」状態が一番危険です。
- 何のために何のログを集めるかを先に決める:とりあえず全部集める、では費用もノイズも膨らみます。守りたい資産と想定脅威から逆算するのが定石です。
- 人とプロセスをセットで:検知できてもトリアージ・対応する人がいなければ意味がありません。自社運用かマネージドサービス(MDR等)かの見極めも重要です。
- スモールスタートを意識する:重要度の高いログ源(認証・公開サーバなど)から段階的に広げると、運用の勘所をつかみやすくなります。
導入の前段として「そもそも何のログを、どう取り、どこまで保存するか」というログ管理の計画づくりが欠かせません。組織全体のログ管理の進め方は、前述のNISTのログ管理ガイドが体系的な参考になります。あわせて、中小規模の組織であれば、まず自組織のセキュリティ対策の現状把握から始めるのが現実的で、IPA「中小企業の情報セキュリティ対策ガイドライン」が出発点として役立ちます。
まとめ
- SIEMとは、社内の機器・システムのログを一元集約し、相関分析でセキュリティ脅威の兆候を検知・可視化する仕組み。SIM(情報管理)とSEM(イベント管理)を統合したもの。
- 価値の源泉は「単一ログでは気づけない事象を、複数ログの突き合わせで検知する」点。SOCの中核ツールとして使われ、SOAR・EDRと補完し合う。
- 導入よりも運用が本番。ルールのチューニングと、対応できる人・プロセスをセットで用意しないと「高価なログ箱」になりかねない。守りたい資産から逆算し、スモールスタートで。
出典
- NIST CSRC Glossary「Security Information and Event Management (SIEM) Tool」(定義の出典:NIST SP 800-128)
https://csrc.nist.gov/glossary/term/security_information_and_event_management_tool - NIST SP 800-92「Guide to Computer Security Log Management」および改訂ドラフト SP 800-92 Rev.1「Cybersecurity Log Management Planning Guide」
https://csrc.nist.gov/pubs/sp/800/92/final / https://csrc.nist.gov/pubs/sp/800/92/r1/ipd - IPA「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/guide/sme/index.html
