IoT時代のSIEMは、色々な入力を受け付けるログ管理。

では、こうしたSIEM製品を活用するためのポイントはどこにあるのだろうか？ 他のセキュリティ製品などと、どのように連携させるのが望ましいのだろうか。まず注意しておかなければならないのが、ログなどのデータは「削除」あるいは「改ざん」されている可能性があるという点だ。攻撃者は多くの場合、“証拠隠滅”のために、サーバやミドルウェア、アプリケーションなどのログを削除、あるいは改ざんしようと試みる。
　このリスクに対しては、SIEMとパケットキャプチャーが可能な「IDS（侵入検知システム）」を組み合わせるのが有効だ。IDSを利用すれば、ビデオカメラのように攻撃者の通信を監視し、データ消去や改ざんのリスクを軽減することができる。IDSをステルスモード（ネットワークインタフェースにIPアドレスを割り振らない動作モード）で動作させれば、攻撃者からIDSの存在を隠すこともできる。このIDSから出力されるデータを「攻撃イベント」や「監査イベント」といった形でSIEMで管理する。

「SIEM」はどうすれば使いこなせるのか？ (1/2)：特集：IoT時代のセキュリティログ活用（2） - ＠IT

このように、複数のセキュリティ製品とSIEMをうまく組み合わせることができれば、システムの全体像を把握することが可能になり、コンプライアンス支援やセキュリティインシデント検知、フォレンジック対応などを統合的に実現することができる。

「SIEM」はどうすれば使いこなせるのか？ (1/2)：特集：IoT時代のセキュリティログ活用（2） - ＠IT

IoTは日常生活の質や企業の業績を向上させる非常に大きな可能性を持つアイデアだが、モノ側でのセキュリティや、SIEMなどのサービスレイヤーにおけるセキュリティが整わなければ、逆に“脅威の温床”にもなりかねない。従来のセキュリティ装置のログに限らず、ありとあらゆる種類のログを収集できる、すなわちさまざまな種類のデータを柔軟に取り込むことができるSIEMソリューションが、IoT時代には不可欠となっていくだろう。

「SIEM」はどうすれば使いこなせるのか？ (2/2)：特集：IoT時代のセキュリティログ活用（2） - ＠IT