SIEMとは、ファイアウォールやIDS/IPS、プロキシーなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組みです。
SIEMを日本語に直訳すると「セキュリティ情報イベント管理」になります。ファイアウォールのみ、あるいはプロキシーだけのログを単体で見るのではなく、複数のネットワーク製品やセキュリティ製品を含む多様なITデバイスのログを1つに集約して一元的に管理し、すべてのログの相関分析を行い、インシデントを迅速かつ詳細に把握できるメリットがあります。このため、統合ログ管理ツールと呼ばれることもあります。
SIEMが果たす役割は、サイバー攻撃や異常などの発生を未然に防ぐだけではありません。発生後のインシデントをできるだけ迅速に検出し、その後のすばやい対応をサポートする役割があります。
SIEMの活用により解析の結果から異常な挙動を検知、その内容を管理者に通知することで迅速なインシデント対応を実現できます。ダッシュボード機能では、各種ログから検出した脅威を可視化することも可能です。セキュリティインシデント発生時の迅速な対応にもつながるため、セキュリティ運用における業務の効率化、IT基盤の信頼性の向上といった効果も見込めます。
セキュリティベンダーによっては、顧客のセキュリティ機器などから出力されたログを取得し、それを自社のSIEM環境で分析を行い、サイバー攻撃などが検知されたら顧客に通知を行うサービスを提供しているケースもあります。