TL
ホーム/セキュリティ/製品カテゴリ/ SIEM

ログ集約・相関分析

SIEM

様々な機器やシステムのログを集約し、相関分析して脅威やインシデントの兆候を検知・可視化する仕組み(Security Information and Event Management)SOC の中核で、近年は自動対応の SOAR と組み合わせる

TL;DR要点だけ先に
  • 1.各種ログを集約・相関分析し脅威を検知する仕組み。
  • 2.SOC の中核。可視化と監査証跡を提供。
  • 3.自動対応の SOAR と組み合わせて運用する。

Core Facts

基本情報

Introducing

SIEM様々な機器やシステムのログを集約し、相関分析して脅威やインシデントの兆候を検知・可視化する仕組み(Security Information and Event Management)。SOC の中核で、近年は自動対応の SOAR と組み合わせる。
役割
ログ集約 / 相関分析 / 可視化
入力
各種ログFW / EDR / サーバ等)
発展
SOAR自動対応)と連携
運用
SOC の中核
選ばれる理由
横断的なログ相関で脅威を検知インシデント調査・監査証跡
主な利用シーン
SOC / セキュリティ監視インシデント検知・調査 / コンプライアンス監査

Decision Guide

選定ポイント

採用する理由と、事前に受け入れるべきトレードオフを分けて確認します。

Why It Fits

選ぶ理由

  1. 横断的なログ相関で脅威を検知
  2. インシデント調査・監査証跡
  3. ダッシュボードで可視化

Trade-offs

考慮すべき点

  1. 導入・チューニング・運用が重い
  2. アラート過多になりがち
  3. ログ量に応じてコストが増える

Deep Dive

もっと詳しく

何を守るのか

SIEM(Security Information and Event Management、シーム)は、さまざまな機器やシステムが出すログを一か所に集め、相関分析して脅威やインシデントの兆候を検知・可視化する仕組みです。個々のログでは見えない攻撃の流れを、全体を突き合わせて浮かび上がらせます。

単体の防御製品というより、組織全体のセキュリティ状況を見渡す「監視の中枢」にあたります。

仕組み・位置づけ

SIEM は次のような流れで動きます。

  • 収集:サーバ、ネットワーク機器、認証基盤、各種セキュリティ製品などからログを集約する。
  • 相関分析:複数のログを関連づけ、単独では無害に見える事象の組み合わせから異常を見つける。
  • 可視化・通知:ダッシュボードで状況を示し、疑わしい事象をアラートとして上げる。

これにより、攻撃の予兆や進行中のインシデントに気づきやすくなります。

SOC の中核と SOAR との連携

SIEM は、セキュリティ監視を担う組織 SOC(Security Operation Center)の中核ツールです。SOC の担当者は SIEM の画面とアラートを起点に、調査や対応を進めます。

検知の先にある「対応」を自動化するのが SOAR(Security Orchestration, Automation and Response)です。SIEM が見つけ、SOAR が定型的な初動を自動で回す、という組み合わせで運用負荷を下げます。

似た仕組みとの違い

  • EDR:端末に絞って深く監視する。SIEM はその EDR を含む多様なログを横断して見る、より広い視点。
  • 単なるログ管理:保管・検索が中心。SIEM は「相関分析して脅威を見つける」点が異なる。

SIEM はログを集めて終わりではなく、関連づけて意味を読み取るところに価値があります。

導入・運用のポイント

SIEM は導入・チューニング・運用が重いツールとして知られます。

  • どのログをどう関連づけるか、検知ルールの設計と調整が継続的に必要。
  • 調整が甘いとアラートが過多になり、本当に重要な兆候が埋もれる。
  • 取り込むログ量が増えるほどコストもかさむ。

そのため「集められるだけ集める」のではなく、何を監視したいかを定め、ルールと対応体制をセットで育てていく姿勢が欠かせません。

Decision Context

SIEMを実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

SOC / セキュリティ監視

比較で見る軸

役割: ログ集約 / 相関分析 / 可視化 / 入力: 各種ログ(FW / EDR / サーバ等) / 発展: SOAR(自動対応)と連携

導入後に効く点

インシデント調査・監査証跡

先に潰すリスク

導入・チューニング・運用が重い

数字・仕様の読み方
役割
ログ集約 / 相関分析 / 可視化
入力
各種ログ(FW / EDR / サーバ等)
発展
SOAR(自動対応)と連携
運用
SOC の中核

判断チェックリスト

  • 自社の用途が「SOC / セキュリティ監視 / インシデント検知・調査」に近いか確認する。
  • 強みである「横断的なログ相関で脅威を検知」が本当に評価軸になるか確認する。
  • 注意点の「導入・チューニング・運用が重い」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

SOC / セキュリティ監視インシデント検知・調査コンプライアンス監査SplunkMicrosoft SentinelElastic SecurityIBM QRadarGoogle Security Operations(Chronicle)
参考: 参考リンク

Landscape

代表的な製品・サービス

製品名から個別の解説ページへ移動できます。

Splunk

SIEM の代表格

Microsoft Sentinel
Elastic Security
IBM QRadar
Google Security Operations(Chronicle)

Use Cases

こんな場面で使う

SOC / セキュリティ監視インシデント検知・調査コンプライアンス監査
参考リンク