メインコンテンツへ
セキュリティセキュリティ実践

SIEM(Security Information and Event Management)の機能として、最も適切なものはどれか。

ア.組織内の複数システムやネットワーク機器からログを収集・統合し、相関分析によってセキュリティインシデントをリアルタイムで検知・報告する。正解
イ.ネットワークのパケットを監視してウイルスを検出し、感染したファイルを自動的に隔離・削除する。
ウ.Webアプリケーションへの不正なHTTPリクエストを検査し、SQLインジェクションやXSS攻撃をリアルタイムでブロックする。
エ.従業員のメール送信を監視し、機密情報が外部に流出することを防止する。

解説

SIEMは組織全体のセキュリティ監視室の「警備本部」。バラバラなシステムからの報告をまとめ、単体では気づかない異常なパターン(相関)を発見します。

なぜ ア が正解か

アが正解。SIEMはファイアウォール・IDS・サーバー・アプリケーションなど多様なソースからログを収集し一元管理する。個別のログでは見えない「Aサーバーへのログイン失敗→Bサーバーへの接続→Cサーバーへの管理者権限取得」といった攻撃パターンを相関分析で検知するのが最大の特徴。

なぜ イ は間違いか

パケット監視でウイルスを検出し隔離するのはネットワーク型アンチウイルスやNIPS(Network Intrusion Prevention System)の機能。SIEMはパケットを直接監視するのではなく、各システムが生成したログを収集・分析する。

なぜ ウ は間違いか

WebアプリへのSQLインジェクション・XSS攻撃をブロックするのはWAF(Web Application Firewall)の機能。SIEMはブロックするのではなく、検知・報告・分析が主な役割。

なぜ エ は間違いか

メール送信を監視して機密情報漏洩を防ぐのはDLP(Data Loss Prevention)の機能。SIEMはセキュリティイベント全般のログ統合・分析ツールであり、特定のチャネル制御ではなく包括的な可視化・検知が目的。

出典: AI生成問題(学習用)