情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度秋期 午前 問14: SIEM（Security Information and Event Management）の機能はどれか。

問題本文

SIEM（Security Information and Event Management）の機能はどれか。

選択肢

• ア.隔離された仮想環境でファイルを実行して，C&C サーバへの通信などの振る舞いを監視する。
• イ.様々な機器から集められたログを総合的に分析し，管理者による分析を支援する。
• ウ.ネットワーク上の様々な通信機器を集中的に制御し，ネットワーク構成やセキュリティ設定などを動的に変更する。
• エ.パケットのヘッダ情報の検査だけではなく，通信が行われるアプリケーションを識別して，通信の制御を行う。

正解

イ. 様々な機器から集められたログを総合的に分析し，管理者による分析を支援する。

解説

SIEMは、サーバ・ネットワーク機器・セキュリティ機器など様々な機器のログやイベント情報を一元的に収集・相関分析し、異常の検知や管理者の分析を支援する仕組みである。複数ログを突き合わせることで、単独では気づきにくい攻撃の兆候を見つけられる。様々な機器のログを総合的に分析するとしたイが正解である。

選択肢ごとの解説

• ア.誤り。隔離された仮想環境でファイルを実行し振る舞いを監視するのはサンドボックスの機能である。
• イ.正しい。様々な機器のログを総合的に収集・分析し管理者を支援するのがSIEMの機能である。
• ウ.誤り。通信機器を集中制御し構成や設定を動的に変更するのはSDN（ソフトウェア定義ネットワーク）の機能である。
• エ.誤り。アプリケーションを識別して通信制御を行うのは次世代ファイアウォール（アプリケーションファイアウォール）の機能である。