応用情報技術者試験 応用情報技術者試験 平成29年度秋期 午前 問38: SIEM（Security Information and Event Management）の特徴はどれか。

問題本文

SIEM（Security Information and Event Management）の特徴はどれか。

選択肢

• ア.DMZ を通過する全ての通信データを監視し，不正な通信を遮断する。
• イ.サーバやネットワーク機器の MIB（Management Information Base）情報を分析し，中間者攻撃を遮断する。
• ウ.ネットワーク機器の IPFIX（IP Flow Information Export）情報を監視し，攻撃者が他者の PC を不正に利用したときの通信を検知する。
• エ.複数のサーバやネットワーク機器のログを収集分析し，不審なアクセスを検知する。

正解

エ. 複数のサーバやネットワーク機器のログを収集分析し，不審なアクセスを検知する。

解説

SIEM(Security Information and Event Management)は，複数のサーバやネットワーク機器，セキュリティ機器が出力するログを一元的に収集し，相関分析して不審なアクセスや攻撃の兆候を検知・通知する仕組みである。問いの『複数機器のログを収集分析して不審なアクセスを検知』に一致するためエが正しい。ファイアウォールによる遮断や MIB 分析，IPFIX 監視などは SIEM の本質的な役割ではない。

選択肢ごとの解説

• ア.誤り。通過する通信を監視して不正な通信を遮断するのはファイアウォールなどの説明で，ログを収集分析する SIEM とは役割が異なる。
• イ.誤り。MIB 情報の分析は SNMP による機器監視に関わるもので，それで中間者攻撃を遮断するという記述も含め SIEM の特徴ではない。
• ウ.誤り。IPFIX(通信フロー情報)の監視はトラフィック分析の手法であり，多様なログを横断的に収集・相関分析する SIEM の特徴を的確に表していない。
• エ.正しい。複数のサーバ・ネットワーク機器のログを収集して分析し，不審なアクセスを検知する=SIEM の特徴に一致する。