SIEM

SIEM製品とは、Security Information and Event Managementの略称。 セキュリティ管理のためのミドルウェア。 元々は、監査対応などのコンプライアンス要件でログを統合的に管理・保管する目的だったが、近年ではサイバー攻撃対策や情報不正利用対策などを含むことがある。 例えば、内部から情報の流出や拡散を検出することの他に、外部からの攻撃まで対策を行うということである。

具体的な機能は製品によるが、基本的にはそれぞれのサーバのログを分析して脅威を検知する。さらに相関分析により、深夜に機微情報にアクセスした人が大量の印刷を行ったなど、シナリオに沿った動作を検出することができる。 また、外部からの攻撃を可視化するだけではなく、最近勉強会でも話題のハニーポッドの機能を製品内に持ち、マルウェアかどうかを判断する製品もある。