Security Information and event managementの略語。

SIEMはSecurity Information and event managementからわかるように、2つの概念を合成していて、1つは、security information managementであり、もう一つはsecurity event managementである。

前者は、各セキュリティ機器から発生するログ情報を収集し、分析、評価することにより、その企業が設定しているセキュリティポリシーに沿った状態であるかどうかが確認できるものとなる。また、ログを一元的に管理し、蓄積することにより、何かの異常に気付いた際、遡って調査する際にも利用される。

後者は、イベントなので、より緊急性の高いアラートなどについて、統合的に判断するための参考指標となる。

しかしながら、SIEMの導入は単純ではなく、かつ、SIEM導入後の無理のない運用体制を組むことが重要となるので、現状の機器ベースで検討していくと、費用と手間がかかりすぎるという結論になる場合がある。

関連ページ:

SIEMとUTM

参考資料:

https://www.splunk.com/en_us/resources/operational-intelligence.html

http://www-03.ibm.com/software/products/en/qradar