情報セキュリティマネジメント試験 過去問解説
SIEMとは?情報セキュリティマネジメント試験 平成29年度秋期 午前 問14を解説
情報セキュリティマネジメント試験 平成29年度秋期 午前 問14は、SIEMに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
SIEM(Security Information and Event Management)の機能はどれか。
この問題の出題ポイント
- SIEMの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア隔離された仮想環境でファイルを実行して,C&C サーバへの通信などの振る舞いを監視する。
- イ様々な機器から集められたログを総合的に分析し,管理者による分析を支援する。正解
- ウネットワーク上の様々な通信機器を集中的に制御し,ネットワーク構成やセキュリティ設定などを動的に変更する。
- エパケットのヘッダ情報の検査だけではなく,通信が行われるアプリケーションを識別して,通信の制御を行う。
正解
イ: 様々な機器から集められたログを総合的に分析し,管理者による分析を支援する。
解説
SIEMは、サーバ・ネットワーク機器・セキュリティ機器など様々な機器のログやイベント情報を一元的に収集・相関分析し、異常の検知や管理者の分析を支援する仕組みである。複数ログを突き合わせることで、単独では気づきにくい攻撃の兆候を見つけられる。様々な機器のログを総合的に分析するとしたイが正解である。
なぜ他の選択肢が違うのか
ア
誤り。隔離された仮想環境でファイルを実行し振る舞いを監視するのはサンドボックスの機能である。
イ(正解)
正しい。様々な機器のログを総合的に収集・分析し管理者を支援するのがSIEMの機能である。
ウ
誤り。通信機器を集中制御し構成や設定を動的に変更するのはSDN(ソフトウェア定義ネットワーク)の機能である。
エ
誤り。アプリケーションを識別して通信制御を行うのは次世代ファイアウォール(アプリケーションファイアウォール)の機能である。
解き方の整理
SIEMの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。