応用情報技術者 2017年 秋期 午前2 問38
問題文
SIEM(Security Information and Event Management)の特徴はどれか。
選択肢
ア:DMZを通過する全ての通信データを監視し、 不正な通信を遮断する。
イ:サーバやネットワーク機器の MIB (Management Information Base) 情報を分析し、中間者攻撃を遮断する。
ウ:ネットワーク機器の IPFIX (IP Flow Information Export) 情報を監視し、攻撃者が他者のPCを不正に利用したときの通信を検知する。
エ:複数のサーバやネットワーク機器のログを収集分析し、 不審なアクセスを検知する。(正解)
SIEM(Security Information and Event Management)の特徴【午前2 解説】
要点まとめ
- 結論:SIEMは複数のサーバやネットワーク機器のログを収集・分析し、不審なアクセスを検知するシステムです。
- 根拠:SIEMはセキュリティイベントの統合管理を目的とし、ログ情報を一元的に監視して異常を検知します。
- 差がつくポイント:通信の遮断や特定の攻撃防止ではなく、ログ分析による早期発見と対応支援が主な役割である点を理解しましょう。
正解の理由
選択肢エは、SIEMの本質的な機能である「複数の機器からログを収集し分析して不審なアクセスを検知する」ことを正確に表しています。SIEMはリアルタイムでのログ監視と相関分析を行い、セキュリティインシデントの早期発見を支援します。
よくある誤解
SIEMは単に通信を遮断するファイアウォールやIDS/IPSのような機能ではありません。ログの収集・分析に重点を置き、攻撃の兆候を検知することが主な役割です。
解法ステップ
- SIEMの役割を「ログの収集・分析」と認識する。
- 各選択肢の機能をSIEMの役割と照らし合わせる。
- 通信遮断や特定攻撃の防止はSIEMの直接的な機能ではないと判断する。
- 複数機器のログを分析し不審アクセスを検知する選択肢を選ぶ。
選択肢別の誤答解説
- ア: DMZの通信監視や遮断はファイアウォールやIDS/IPSの役割であり、SIEMの特徴ではありません。
- イ: MIB情報の分析や中間者攻撃の遮断はネットワーク管理や特定のセキュリティ機器の機能で、SIEMの直接的な機能ではありません。
- ウ: IPFIX情報の監視はネットワークフロー分析の範囲であり、SIEMの主な機能とは異なります。
- エ: 複数のログを収集・分析し不審アクセスを検知する点がSIEMの本質的な特徴です。
補足コラム
SIEMは単なるログ管理ツールではなく、ログの相関分析やアラート生成、インシデント対応支援を行う高度なセキュリティ管理システムです。近年はAIや機械学習を活用した異常検知機能も強化されています。
FAQ
Q: SIEMは攻撃を自動で遮断できますか?
A: 基本的にSIEMは検知とアラート発信が主で、自動遮断はIDS/IPSなど別のシステムが担当します。
A: 基本的にSIEMは検知とアラート発信が主で、自動遮断はIDS/IPSなど別のシステムが担当します。
Q: SIEMとログ管理ツールの違いは何ですか?
A: SIEMはログの収集だけでなく、相関分析やリアルタイム監視、インシデント対応支援機能を持ちます。
A: SIEMはログの収集だけでなく、相関分析やリアルタイム監視、インシデント対応支援機能を持ちます。
関連キーワード: SIEM, ログ分析、セキュリティ監視、不審アクセス検知、インシデント対応
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!