シーム【SIEM】
読み方:しーむ
《security information and event management》コンピューターやネットワークシステムのセキュリティーソフトの一種。サーバーやネットワーク関連機器のログ情報や通信内容を包括的に管理・分析し、個々の機器の記録だけではわかりにくい不正アクセスなどを初期段階で検知する。セキュリティー情報イベント管理。
セキュリティーじょうほう‐イベントかんり〔‐ジヤウホウ‐クワンリ〕【セキュリティー情報イベント管理】
Security information and event management
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2025/09/20 09:20 UTC 版)

Security information and event management(セキュリティ情報イベント管理、略称:SIEM、シーム)は、コンピュータセキュリティの分野の一つであり、セキュリティ情報管理(SIM)とセキュリティイベント管理(SEM)を組み合わせ、アプリケーションやネットワークハードウェアから生成されるセキュリティアラートのリアルタイム分析を可能にするものである[1][2]。SIEMシステムは、セキュリティオペレーションセンター(SOC)の中核をなし、セキュリティインシデントの検知、調査、対応に用いられる[3]。SIEM技術は、様々なシステムからデータを収集・集約し、組織が脅威から身を守りつつ、コンプライアンス要件を満たすことを可能にする。アメリカ国立標準技術研究所(NIST)によるSIEMツールの定義は、「情報システムの構成要素からセキュリティデータを収集し、そのデータを単一のインターフェースを介して実用的な情報として提示する能力を提供するアプリケーション」である[4]。
SIEMツールは、ソフトウェア、ハードウェア、またはマネージドサービスとして実装することができる[5]。SIEMシステムは、セキュリティイベントを記録し、医療保険の相互運用性と説明責任に関する法律(HIPAA)やPCI DSSなどの規制フレームワークを満たすためのレポートを生成する。SIEM内でSIMとSEMを統合することにより、組織はセキュリティイベントを監視し、脅威にリアルタイムで対応するための一元的なアプローチを得ることができる。
2005年にガートナーのアナリストであるマーク・ニコレットとアムリット・ウィリアムズによって初めて導入されたSIEMという用語は、脅威インテリジェンスや行動分析といった高度な機能を取り入れて進化し、ゼロデイ脆弱性やポリモーフィックマルウェアを含む複雑なサイバーセキュリティの脅威を管理できるようになった。
近年、SIEMは国家のサイバーセキュリティ戦略に組み込まれるようになっている。例えば、2021年にジョー・バイデン米国大統領が署名した大統領令14028号では、連邦政府システムにおけるインシデントの検知と報告を改善するために、SIEM技術の使用が義務付けられている。これらの義務の遵守は、コンピュータセキュリティログの管理に関するベストプラクティスを概説するNIST SP 800-92などのフレームワークによってさらに強化されている[2]。
現代のSIEMプラットフォームは、様々な情報技術(IT)ソースからだけでなく、生産・製造現場のオペレーショナルテクノロジー(OT)環境からもデータを集約し、正規化している。
歴史
当初、システムロギングは主にトラブルシューティングやデバッグのために使用されていた。しかし、オペレーティングシステムやネットワークが複雑化するにつれて、システムログの生成も増加した。また、高度なサイバー攻撃の増加や、リスクマネジメントフレームワーク(RMF)内でセキュリティコントロールのロギングを義務付ける規制フレームワークへの準拠の必要性から、システムログの監視も一般的になってきている。
1970年代後半から、ワーキンググループが監査および監視プログラムを管理するための基準を策定し始め、内部脅威の検知やインシデント対応といった現代のサイバーセキュリティプラクティスの基礎を築いた。この時期の主要な出版物として、NISTの特別刊行物500-19号があった[6]。
2005年、ガートナーのアナリストであるマーク・ニコレットとアムリット・ウィリアムズによって「SIEM」(Security Information and Event Management)という用語が導入された。SIEMシステムは、情報システムからセキュリティデータを収集し、それを実用的なインテリジェンスとして提示するための単一のインターフェースを提供する[7]。アメリカ国立標準技術研究所(NIST)はSIEMについて、「情報システムの構成要素からセキュリティデータを収集し、そのデータを単一のインターフェースを介して実用的な情報として提示する能力を提供するアプリケーション」という定義を提供している[2]。さらに、NISTは連邦政府が義務付けるRMFを設計し、導入している。
RMFが世界的に導入されるにつれ、監査と監視は、情報保証とセキュリティの中心的な要素となった。サイバーセキュリティの専門家は現在、これらのプロセスを分析タスクに組み込むガバナンスモデルに基づき、リアルタイムのセキュリティ機能を実行するためにログデータに依存している。1990年代後半から2000年代にかけて情報保証が成熟するにつれて、システムログを一元化する必要性が明らかになった。一元化されたログ管理により、ネットワーク化されたシステム全体での監視と調整が容易になる。
2021年5月17日、ジョー・バイデン米国大統領は「国家のサイバーセキュリティの改善」に関する大統領令14028号に署名し、インシデント対応能力を強化するために、監査ロギングやエンドポイント保護を含むさらなるロギング要件を定めた[8]。この大統領令は、重要インフラを標的とするランサムウェア攻撃の増加に対応するものであった。RMF内の情報保証コントロールを強化することで、この大統領令はコンプライアンスを推進し、サイバーセキュリティへの取り組みのための資金を確保することを目的としていた。
情報保証
2006年9月に発行されたNIST SP 800-92「コンピュータセキュリティログ管理ガイド」は、NISTリスクマネジメントフレームワーク内において、何を監査可能にすべきかを導く重要な文書として機能する。「SIEM」という用語がないことからもわかるように、この文書はSIEM技術が広く採用される前に発行されたものである[9][10]。このガイドは、発行以来の技術の急速な変化により網羅的ではないものの、業界の成長を予測することで今日でもその妥当性を保っている。NISTは監査と監視に関する規制メカニズムの唯一のガイダンス源ではなく、多くの組織がホストベースのチェックのみに頼るのではなく、SIEMソリューションを導入することが推奨されている。
いくつかの規制や標準がNISTのロギングガイダンスを参照しており、その中には連邦情報セキュリティマネジメント法(FISMA)[11]、グラム・リーチ・ブライリー法(GLBA)[12]、医療保険の相互運用性と説明責任に関する法律(HIPAA)[13]、2002年のサーベンス・オクスリー法(SOX)[14]、PCI DSS[15]、ISO 27001[16]などがある。公的機関や民間組織は、そのセキュリティポリシーにおいて頻繁にNISTの文書を参照している。
NIST SP 800-53 AU-2「イベント監視」は、システムの監査をサポートし、情報保証とサイバーセキュリティ運用のための継続的な監視を保証する重要なセキュリティコントロールである。SIEMソリューションは通常、これらの取り組みの中心的なツールとして採用される。機密性、完全性、可用性(CIA)への影響に基づいて分類された連邦政府システムには、満たすべき5つの特定のロギング要件(AU-2 a-e)がある[17]。すべてのアクションをロギングすることは可能だが、ログの量と実用的なセキュリティデータの必要性から、一般的には推奨されない。AU-2は、組織が他のコントロールと連携したロギング戦略を構築するための基盤を提供する。
NIST SP 800-53 SI-4「システム監視」は、不正アクセスの検知や、異常、マルウェア、潜在的な攻撃の追跡など、システムの監視要件を概説している。このセキュリティコントロールは、不審な活動を検知するためのハードウェアとソフトウェアの両方の要件を規定している[18]。同様に、改訂第5版で追加されたNIST SP 800-53 RA-10「脅威ハンティング」は、従来のコントロールを回避する脅威を特定することによる積極的なネットワーク防御を強調している。SIEMソリューションは、脅威ハンティングチームのためのセキュリティ情報を集約する上で重要な役割を果たす[19]。
AU-2、SI-4、RA-10は、NISTのコントロールが包括的なセキュリティ戦略にどのように統合されるかを示している。これらのコントロールは、SIEMソリューションによってサポートされ、連邦政府および民間のネットワーク全体で継続的な監視、リスク評価、多層防御メカニズムを確保するのに役立つ[19]。
用語
頭字語のSEM、SIM、SIEMは、時に同じ意味で使われることがあるが[20]、一般的には製品の主要な焦点の違いを指す。
- ログ管理: ログメッセージや監査証跡の単純な収集と保存に焦点を当てる[9]。
- セキュリティ情報管理(SIM): ログデータの長期保存、分析、報告[21]。
- セキュリティイベント管理(SEM): イベントのリアルタイム監視、相関分析、通知、コンソール表示。
- セキュリティ情報イベント管理(SIEM): SIMとSEMを組み合わせ、ネットワークハードウェアやアプリケーションによって生成されるセキュリティアラートのリアルタイム分析を提供する[5][要出典]。
- マネージドセキュリティサービス(MSS)またはマネージドセキュリティサービスプロバイダ(MSSP): 最も一般的なマネージドサービスは、接続性と帯域幅、ネットワーク監視、セキュリティ、仮想化、災害復旧を中心に展開されているようである。
- サービスとしてのセキュリティ(SECaaS): これらのセキュリティサービスには、認証、アンチウイルス、アンチマルウェア/スパイウェア、侵入検知、侵入テスト、セキュリティイベント管理などが含まれることが多い。
実際には、この分野の多くの製品はこれらの機能が混在しており、重複することが多い。また、多くの商用ベンダーは独自の用語を推進している[22]。商用ベンダーは、これらの機能のさまざまな組み合わせを提供することが多く、それによってSIEM全体が改善される傾向がある。ログ管理だけではネットワークセキュリティに関するリアルタイムの洞察は得られず、SEMだけでは詳細な脅威分析のための完全なデータは提供されない。SEMとログ管理が組み合わさることで、SIEMが監視するためにより多くの情報が利用可能になる。
主な焦点は、ユーザーとサービスの権限、ディレクトリ・サービス、およびその他[要説明]のシステム構成の変更を監視し、管理を支援すること、ならびにログの監査とレビュー、インシデント対応を提供することである[21]。
機能
- データ集約: ログ管理は、ネットワーク、セキュリティ、サーバー、データベース、アプリケーションなど多くのソースからデータを集約し、監視対象のデータを統合して重要なイベントを見逃さないようにする機能を提供する。
- 相関分析: 共通の属性を探し、イベントを意味のある束にまとめる。この技術は、様々な相関技術を実行して異なるソースを統合し、データを有用な情報に変える能力を提供する。相関分析は、通常、完全なSIEMソリューションのセキュリティイベント管理部分の機能である[23]。
- アラート: 相関分析されたイベントの自動分析。
- ダッシュボード: ツールはイベントデータを情報的なチャートに変換し、パターンの可視化や標準パターンを形成していない活動の特定を支援する。
- コンプライアンス: アプリケーションを利用してコンプライアンスデータの収集を自動化し、既存のセキュリティ、ガバナンス、監査プロセスに適応したレポートを作成することができる[24]。
- 保持: 履歴データの長期保存を利用して、時間経過にわたるデータの相関分析を容易にし、コンプライアンス要件に必要な保持期間を提供する。ネットワーク侵害の発見が侵害発生時である可能性は低いため、長期的なログデータ保持はフォレンジック調査において極めて重要である[25]。
- フォレンジック分析: 特定の基準に基づいて、異なるノードと期間にわたるログを検索する能力。これにより、頭の中でログ情報を集約したり、何千ものログを検索したりする必要がなくなる[24]。
コンポーネント

SIEMのアーキテクチャはベンダーによって異なる場合があるが、一般的に、SIEMエンジンは不可欠なコンポーネントで構成されている。SIEMの不可欠なコンポーネントは以下の通りである[26]。
- データコレクター:ホストから選択された監査ログを転送する(エージェントベースまたはホストベースのログストリーミングをインデックスおよび集約ポイントへ)[27][28]
- 取り込み・インデックス化ポイント:パース、相関分析、データ正規化のための集約ポイント[29]
- 検索ノード:可視化、クエリ、レポート、アラートに使用される(分析は検索ノードで行われる)[30]
基本的なSIEMのインフラストラクチャを右の図に示す。
ユースケース
コンピュータセキュリティ研究者のクリス・クベッカは、ハッキングカンファレンス28C3(カオスコミュニケーションコングレス)で発表された以下のSIEMユースケースを特定している[31]。
- SIEMの可視性と異常検知は、ゼロデイやポリモーフィックコードの検出に役立つ可能性がある。これは主に、この種の急速に変化するマルウェアに対するアンチウイルスの検出率が低いためである。
- ログを送信できる限り、コンピュータやネットワークデバイスの種類に関係なく、パース、ログの正規化、カテゴリ分類が自動的に行われる。
- セキュリティイベントとログの失敗を利用したSIEMによる可視化は、パターンの検出に役立つ。
- 設定ミスやセキュリティ問題を示す可能性のあるプロトコルの異常は、SIEMのパターン検出、アラート、ベースライン、ダッシュボードを使用して特定できる。
- SIEMは、隠密で悪意のある通信や暗号化されたチャネルを検出できる。
- サイバー戦争はSIEMによって正確に検出でき、攻撃者と被害者の両方を発見できる。
現代のSIEMプラットフォームは、検知だけでなく対応もサポートしている。対応は手動またはAIベースの対応を含む自動化されたものがある。
相関ルールの例
SIEMシステムには、数百から数千の相関ルールが存在することがある。これらの一部は単純であり、一部はより複雑である。相関ルールがトリガーされると、システムはサイバー攻撃を緩和するために適切な措置を講じることができる。通常、これにはユーザーへの通知の送信、そして場合によってはシステムの制限やシャットダウンが含まれる。
ブルートフォースアタック検知
ブルートフォースアタックの検知は比較的簡単である。ブルートフォースアタックとは、変数を継続的に推測しようとすることを指す。最も一般的には、誰かが(手動またはツールを使って)パスワードを絶えず推測しようとすることを指す。しかし、システム上のURLや重要なファイルの場所を推測しようとすることも含まれる。
自動化されたブルートフォースアタックは、誰かが1分間に60回もパスワードを入力しようとすることは不可能なため、容易に検出できる。
インポッシブルトラベル
ユーザーがシステムにログインすると、一般的にそのイベントのタイムスタンプが作成される。時間とともに、システムは使用されたデバイス、物理的な場所、IPアドレス、不正なログイン試行回数など、他の有用な情報を記録することが多い。収集されるデータが多いほど、そこから得られる有用性も高まる。インポッシブルトラベルでは、システムは現在と最後のログイン日時と記録された距離の差を見る。例えば、1分以内に数百マイルを移動するなど、これが不可能であると判断した場合、警告を発する。
現在、多くの従業員やユーザーが物理的な場所を隠す可能性のあるVPNサービスを使用している。このようなルールを設定する際には、この点を考慮に入れる必要がある。
過度なファイルのコピー
平均的なユーザーは、通常、システム上でファイルを繰り返しコピーしたり移動したりすることはない。したがって、システム上での過度なファイルコピーは、組織に害を及ぼそうとする攻撃者によるものである可能性がある。残念ながら、誰かが違法にネットワークにアクセスし、機密情報を盗もうとしていると単純に断定することはできない。情報を売ろうとする従業員である可能性もあれば、単に週末に仕事を持ち帰りたいだけかもしれない。
ネットワーク異常検知
DDOSからネットワークスキャンまで、あらゆる脅威や攻撃を含む異常なパターンに対してネットワークトラフィックを監視する。SIEMはネットワーク内のデータフローを監視し、潜在的なデータ漏洩の試みを検知・防止できる。一般的に、データ損失防止については、専用のデータ損失防止(DLP)ソフトウェアが担当する。
DDoS攻撃
DDoS攻撃は、企業や組織に重大な損害を与える可能性がある。DDoS攻撃はウェブサイトをオフラインにするだけでなく、システムを脆弱にすることもある。適切な相関ルールが設定されていれば、SIEMは攻撃の開始時にアラートをトリガーし、企業が重要なシステムを保護するために必要な予防措置を講じることができるようにするべきである。
ファイル整合性の変更
ファイル整合性・変更監視(FIM)は、システム上のファイルを監視するプロセスである。システムファイルの予期しない変更は、サイバー攻撃の可能性が高い兆候であるため、アラートをトリガーする。
アラートの例
イベント条件に基づいてアラートを出すためのカスタマイズされたルールの例には、ユーザー認証ルール、検出された攻撃、検出された感染などがある[32]。
ルール | 目的 | トリガー | イベントソース |
---|---|---|---|
繰り返し攻撃 - ログイン元 | ブルートフォース攻撃、パスワード推測、設定ミスのあるアプリケーションの早期警告。 | 1分間に単一ホストから3回以上のログイン失敗でアラート。 | Active Directory、Syslog(Unixホスト、スイッチ、ルーター、VPN)、RADIUS、TACACS、監視対象アプリケーション。 |
繰り返し攻撃 - ファイアウォール | スキャン、ワームの伝播などの早期警告。 | 1分間に単一IPアドレスから15回以上のファイアウォールのDrop/Reject/Denyイベントでアラート。 | ファイアウォール、ルーター、スイッチ。 |
繰り返し攻撃 - ネットワーク侵入防止システム | スキャン、ワームの伝播などの早期警告。 | 1分間に単一IPアドレスから7回以上のIDSアラートでアラート。 | ネットワーク侵入検知・防止装置 |
繰り返し攻撃 - ホスト侵入防止システム | 感染または侵害された可能性のあるホストを発見 (感染行動を示す) |
10分間に単一IPアドレスから3回以上のイベントでアラート。 | ホスト侵入防止システムのアラート |
ウイルス検出/除去 | ホストでウイルス、スパイウェア、その他のマルウェアが検出されたときにアラート。 | 単一ホストで識別可能なマルウェアが検出されたときにアラート。 | アンチウイルス、HIPS、ネットワーク/システム行動異常検知装置 |
ウイルスまたはスパイウェアが検出されたが駆除に失敗 | あるソースでマルウェアが検出されてから1時間以上経過しても、対応するウイルスが正常に除去されていない場合にアラート。 | 単一ホストが検出から1時間以内にマルウェアを自動駆除できなかった場合にアラート。 | ファイアウォール、NIPS、アンチウイルス、HIPS、ログイン失敗イベント |
脚注
- ^ “What is SIEM”. IBM (2024年). 2025年9月16日閲覧。
- ^ a b c “Guide for Security-Focused Configuration Management of Information Systems”. アメリカ国立標準技術研究所 (2019年10月10日). doi:10.6028/nist.sp.800-128. 2025年9月16日閲覧。
- ^ Cinque, Marcello; Cotroneo, Domenico; Pecchia, Antonio (2018). Challenges and Directions in Security Information and Event Management (SIEM). pp. 95–99. doi:10.1109/ISSREW.2018.00-24. ISBN 978-1-5386-9443-5
- ^ “Security Information and Event Management (SIEM) Tool”. NIST. 2025年9月16日閲覧。
- ^ a b “SIEM: A Market Snapshot”. Dr.Dobb's Journal (2007年2月5日). 2025年9月16日閲覧。
- ^ Ruthberg, Zella; McKenzie, Robert (1977-10-01). Audit and evaluation of computer security. アメリカ合衆国商務省. doi:10.6028/NBS.SP.500-19 2025年9月16日閲覧。
- ^ “Improve IT Security With Vulnerability Management” (2005年5月2日). 2025年9月16日閲覧。 “Security information and event management (SIEM)”
- ^ “Improving the Nation's Cybersecurity”. Federal Register (2021年5月17日). 2025年9月16日閲覧。
- ^ a b “Guide to Computer Security Log Management”. アメリカ国立標準技術研究所 (2006年9月13日). doi:10.6028/NIST.SP.800-92. 2025年9月16日閲覧。
- ^ “NIST Risk Management Framework”. アメリカ国立標準技術研究所 (2024年11月7日). 2025年9月16日閲覧。
- ^ Computer Security Division, Information Technology Laboratory (2016年11月30日). “NIST Risk Management Framework | CSRC | CSRC” (英語). CSRC | NIST. 2025年9月16日閲覧。
- ^ “Understanding the NIST cybersecurity framework” (英語). Federal Trade Commission (2018年10月5日). 2025年9月16日閲覧。
- ^ Rights (OCR), Office for Civil (2009年11月20日). “Summary of the HIPAA Security Rule” (英語). HHS.gov. 2025年9月16日閲覧。
- ^ “The Role of Information Security in Sarbanes-Oxley Compliance”. Issues in Information Systems. (2005). doi:10.48009/2_iis_2005_124-130. ISSN 1529-7314.
- ^ “Mapping PCI DSS v3_2_1 to the NIST Cybersecurity Framework v1_1” (2019年7月). 2025年9月16日閲覧。
- ^ “NIST SP 800-53, Revision 5 Control Mappings to ISO/IEC 27001” (2020年12月10日). 2025年9月16日閲覧。
- ^ “Risk Management Framework for Information Systems and Organizations”. アメリカ国立標準技術研究所 (2018年12月). doi:10.6028/nist.sp.800-37r2. 2025年9月16日閲覧。
- ^ Computer Security Division, Information Technology Laboratory (2016年11月30日). “Release Search - NIST Risk Management Framework | CSRC | CSRC” (英語). CSRC | NIST. 2025年9月16日閲覧。
- ^ a b “Security and Privacy Controls for Information Systems and Organizations”. アメリカ国立標準技術研究所 (2020年10月12日). doi:10.6028/NIST.SP.800-53r5. 2025年9月16日閲覧。
- ^ Swift, David (2006年12月26日). “A Practical Application of SIM/SEM/SIEM, Automating Threat Identification” (PDF). SANS Institute. p. 3. 2025年9月16日閲覧。 “...the acronym SIEM will be used generically to refer...”
- ^ a b Jamil, Amir (2010年3月29日). “The difference between SEM, SIM and SIEM”. 2025年9月16日閲覧。
- ^ Bhatt, S.; Manadhata, P.K.; Zomlot, L. (2014). “The Operational Role of Security Information and Event Management Systems”. IEEE Security & Privacy 12 (5): 35–41. Bibcode: 2014ISPri..12e..35B. doi:10.1109/MSP.2014.103.
- ^ Correlation Archived 2014-10-19 at the Wayback Machine.
- ^ a b “Compliance Management and Compliance Automation – How and How Efficient, Part 1”. accelops.net. 2011年7月23日時点のオリジナルよりアーカイブ。2018年5月2日閲覧。
- ^ “2018 Data Breach Investigations Report | Verizon Enterprise Solutions” (英語). Verizon Enterprise Solutions. 2018年5月2日閲覧。
- ^ Kotenko, Igor; Polubelova, Olga; Saenko, Igor (November 2012). “The Ontological Approach for SIEM Data Repository Implementation”. 2012 IEEE International Conference on Green Computing and Communications. Besancon, France: IEEE. pp. 761–766. doi:10.1109/GreenCom.2012.125. ISBN 978-1-4673-5146-1
- ^ Kotenko, Igor; Chechulin, Andrey (November 2012). “Common Framework for Attack Modeling and Security Evaluation in SIEM Systems”. 2012 IEEE International Conference on Green Computing and Communications. pp. 94–101. doi:10.1109/GreenCom.2012.24. ISBN 978-1-4673-5146-1
- ^ Karl-Bridge-Microsoft. “Eventlog Key - Win32 apps” (英語). docs.microsoft.com. 2021年7月18日閲覧。
- ^ Kotenko, Igor; Polubelova, Olga; Saenko, Igor (November 2012). “The Ontological Approach for SIEM Data Repository Implementation”. 2012 IEEE International Conference on Green Computing and Communications. pp. 761–766. doi:10.1109/GreenCom.2012.125. ISBN 978-1-4673-5146-1
- ^ Azodi, Amir; Jaeger, David; Cheng, Feng; Meinel, Christoph (December 2013). “Pushing the Limits in Event Normalisation to Improve Attack Detection in IDS/SIEM Systems”. 2013 International Conference on Advanced Cloud and Big Data. pp. 69–76. doi:10.1109/CBD.2013.27. ISBN 978-1-4799-3261-0
- ^ “28c3: Security Log Visualization with a Correlation Engine”. YouTube (2011年12月29日). 2021年12月15日時点のオリジナルよりアーカイブ。2025年9月16日閲覧。
- ^ Swift, David (2010年). “Successful SIEM and Log Management Strategies for Audit and Compliance”. SANS Institute. 2025年9月16日閲覧。
関連項目
外部リンク
- Security_information_and_event_managementのページへのリンク