情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問15: SIEM（Security Information and Event Management）の機能として，最も適切なものはどれか。

問題本文

SIEM（Security Information and Event Management）の機能として，最も適切なものはどれか。

選択肢

• ア.機密情報を自動的に特定し，機密情報の送信や出力など，社外への持出しに関連する操作を検知しブロックする。
• イ.サーバやネットワーク機器などのログデータを一括管理，分析して，セキュリティ上の脅威を発見し，通知する。
• ウ.情報システムの利用を妨げる事象を管理者が登録し，各事象の解決・復旧までを管理する。
• エ.ネットワークへの侵入を試みるパケットを検知し，通知する。

正解

イ. サーバやネットワーク機器などのログデータを一括管理，分析して，セキュリティ上の脅威を発見し，通知する。

解説

SIEMは，多数のサーバやネットワーク機器が出力するログを一元的に収集・相関分析し，単独のログでは気づきにくいセキュリティ上の脅威を発見して通知する仕組みである。正解のイがこの機能を正しく述べている。

選択肢ごとの解説

• ア.機密情報を特定し社外持出し操作を検知・ブロックするのはDLP（Data Loss Prevention）の機能であり，SIEMではないため誤り。
• イ.各機器のログを一括管理・分析して脅威を発見し通知するのはSIEMの機能であり正しい。
• ウ.障害事象を登録し解決・復旧まで管理するのはインシデント管理（サービスデスク）の機能であり，SIEMではないため誤り。
• エ.侵入を試みるパケットを検知し通知するのはIDS（侵入検知システム）の機能であり，SIEM単体の主機能とは異なるため誤り。