SIEMとは、プロキシサーバやファイアウォール、IDS/IPSなどのセキュリティ機器、EDRなどのエンドポイントセキュリティ製品が出力するアラートやイベントログを統合管理するツールです。さまざまなログのフォーマットをそろえ、統計を取ることで組織内の状況を一目でわかるよう可視化したり、蓄積したログを検索することでサイバー攻撃などの脅威への早期対応を可能とします。

セキュリティインシデント発生時には、セキュリティ機器などから発出されるアラートはあくまでもインシデント対応のきっかけにすぎず、組織内のさまざまな機器のログを追加解析し、侵入経路、影響範囲や被害内容、原因などを分析する必要があります。そのためにログを適切に取得・保存し、いつでも活用できるようにしておくことがSIEMに求められます。

IT機器が日々出力するログの量は膨大で、人手で分析するのは非現実的になりつつあります。SIEMはその作業を肩代わりし、より大量のログを迅速に分析できます。ひいてはインシデント対応に要する時間を短縮し、被害を最小限に食い止める役に立ちます。