基本情報技術者 2019年 秋期 午前(科目A) 問43
問題文
SIEM(Security Information and Event Management)の機能はどれか。
選択肢
ア:隔離された仮想環境でファイルを実行して、C&Cサーバへの通信などの振る舞いを監視する。
イ:様々な機器から集められたログを総合的に分析し、管理者による分析と対応を支援する。(正解)
ウ:ネットワーク上の様々な通信機器を集中的に制御し、ネットワーク構成やセキュリティ設定などを変更する。
エ:パケットのヘッダ情報の検査だけではなく、通信先のアプリケーションプログラムを識別して通信を制御する。
SIEM(Security Information and Event Management)の機能はどれか【午前2 解説】
要点まとめ
- 結論→ 正解はイ。SIEMは様々な機器のログを集中収集・相関分析して管理者の対応を支援します。
- 根拠→ 設問文の「ログを総合的に分析し、管理者による分析と対応を支援する」記述は、SIEMの基本機能そのものです。
- 差がつくポイント→ サンドボックスやネットワーク制御、DPIとは目的が異なり、SIEMは「検出・相関・可視化・運用支援」が主体です。
正解の理由
正解は イ です。SIEM は Security Information and Event Management の略称であり、多種の機器(ファイアウォール、IDS/IPS、サーバ、アプリ、端末など)からログを収集・正規化し、相関分析やアラート生成、ダッシュボード表示、レポート化、インシデント対応支援を行います。設問の文言「様々な機器から集められたログを総合的に分析し、管理者による分析と対応を支援する」はSIEMの機能説明と一致します。
よくある誤解
- SIEMは攻撃を自動で遮断する装置だと誤解しやすいが、主にログの分析と運用支援が役割で、遮断は別製品やSOAR連携で行う場合が多い点。
- サンドボックス(隔離実行)やDPI(深層パケット検査)とSIEMを混同する受験者がいるが、それぞれ目的と実装層が異なります。
- SIEMがネットワーク機器の設定を直接変更する「管理・制御」機能を持つと勘違いしやすいが、設定変更は別管理ツールやSDNコントローラの役割です。
解法ステップ
- 設問のキーワードを確認:「ログ」「総合的に分析」「管理者による分析と対応」など。
- SIEMの定義を思い出す:ログ収集、相関分析、アラート、ダッシュボード、レポート、運用支援。
- 各選択肢を定義に照らして照合する:該当するか否かで絞り込む。
- 絞れたら他選択肢の技術名と機能(サンドボックス、SDN/ネットワーク管理、DPI/NGFW)を確認して除外する。
選択肢別の誤答解説
- ア: 隔離された仮想環境でファイルを実行して振る舞いを監視する機能は「サンドボックス(動的解析)」の説明であり、SIEMの機能ではありません。
- イ: 正解。複数機器のログを集約・相関分析して運用・対応を支援するのがSIEMの代表的機能です。
- ウ: ネットワーク上の各機器を集中的に制御し構成や設定を変更するのはSDNコントローラやネットワーク管理システム(NMS)の役割であり、SIEMは設定変更を行うツールではありません。
- エ: パケットのヘッダだけでなくアプリケーション識別で通信を制御する機能はDPI(Deep Packet Inspection)や次世代ファイアウォール(NGFW)の説明で、SIEMとは別技術です。
補足コラム
SIEMは単なるログ集約ツールではなく、以下の要素で価値を発揮します。ログの正規化・時刻同期、相関ルールによる異常検知、ダッシュボードとレポートによる可視化、コンプライアンス監査対応、脅威インテリジェンスの統合、UEBA(ユーザ/エンティティ行動分析)やSOAR(自動化・オーケストレーション)との連携による運用効率化です。代表的な製品やOSSにはSplunk、IBM QRadar、ArcSight、Elastic Securityなどがあります。
FAQ
Q: SIEMは攻撃を自動でブロックしますか?
A: 通常は検知・通知・分析を主眼とし、自動ブロックはSOARや防御装置との連携で実現することが多いです。
A: 通常は検知・通知・分析を主眼とし、自動ブロックはSOARや防御装置との連携で実現することが多いです。
Q: IDS/IPSとSIEMの違いは何ですか?
A: IDS/IPSはネットワークやホストのトラフィックを監視・遮断する装置で、SIEMは様々なログを統合して相関分析や運用支援を行います。役割が補完的です。
A: IDS/IPSはネットワークやホストのトラフィックを監視・遮断する装置で、SIEMは様々なログを統合して相関分析や運用支援を行います。役割が補完的です。
Q: SIEMだけでインシデント対応は完了しますか?
A: SIEMは検知と情報提供を行いますが、対応(隔離、修復、パッチ適用など)は別ツールや運用プロセスが必要です。
A: SIEMは検知と情報提供を行いますが、対応(隔離、修復、パッチ適用など)は別ツールや運用プロセスが必要です。
Q: 小規模環境にもSIEMは必要ですか?
A: 必要性は環境次第です。ログの集中管理やコンプライアンス、検知能力の向上を望むなら導入を検討しますが、コストと運用負荷も考慮します。
A: 必要性は環境次第です。ログの集中管理やコンプライアンス、検知能力の向上を望むなら導入を検討しますが、コストと運用負荷も考慮します。
関連キーワード: SIEM、ログ管理、相関分析、SOC、SOAR、UEBA、サンドボックス、DPI、NGFW、SDN、インシデント対応、セキュリティログ、監査、アラート管理
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!