情報セキュリティマネジメント試験 令和7年度 公開問題(過去問) 問2 について解説します。
問題
問2 SIEM 製品によるセキュリティ上の効果として、最も適切なものはどれか。
ア 様々な機器のログを集中管理することによって、横断的な分析や相関分析が可能になり、単純な目視だけでは発見困難な兆候を検知、分析、可視化することが可能になる。
イ 通信経路上を流れるパケットをキャプチャし、暗号化されたデータが改ざんされていないかどうかをチェックすることが可能になる。
ウ ファイアウォール、IDS、マルウェア対策といった複数のネットワークセキュリティ機能を一つの機器で実現することが可能になる。
エ ファイルの改ざんを検知すると、事前に取得済みのバックアップを用いて直ちに修復することが可能になる。
解説・解答
SIEM製品とは
SIEM は Security Information and Event Management の略で、
・ファイアウォール
・IDS/IPS
・サーバ(OSログ、アプリケーションログ)
・ネットワーク機器
・認証サーバ
など、様々な機器からログを収集・集中管理し、次のようなことを行う製品です。
1. ログの一元管理・可視化
バラバラにあるログを一画面で見られるようにする。
2. 相関分析(コリレーション)
「同じ利用者が短時間に別々の場所からログインしている」「外部から不審な通信が来た直後に、内部サーバでエラーが急増した」など、複数のログを組み合わせて異常なパターンを検出する。
3. アラート・レポート
規則に合致したときに管理者へ通知したり、レポートを自動作成する。
つまり、単一のログを人手で眺めているだけでは気付きにくい攻撃や兆候を、システム側で検知・分析・可視化する仕組みが SIEM です。
それぞれの選択肢について確認します。
ア: 様々な機器のログを集中管理することによって、横断的な分析や相関分析が可能になり、単純な目視だけでは発見困難な兆候を検知、分析、可視化することが可能になる。
上記の説明の通り、これが SIEM 製品によるセキュリティ上の効果になります。これが正解です。
イ: 通信経路上を流れるパケットをキャプチャし、暗号化されたデータが改ざんされていないかどうかをチェックすることが可能になる。
これはネットワーク監視ツールやパケットアナライザ、あるいは TLS/SSL の通信内容の検査装置の説明です。SIEM はパケットの中身を直接検査するのではなく、機器が出力したログを集めて分析する製品です。
ウ: ファイアウォール、IDS、マルウェア対策といった複数のネットワークセキュリティ機能を一つの機器で実現することが可能になる。
これは UTM(Unified Threat Management :統合脅威管理)製品の説明です。UTM は FW、IDS/IPS、アンチウイルス…といったネットワークセキュリティ機能を1台にまとめた多機能ゲートウェイ製品です。一方、SIEM は機能をまとめる機器ではなく、それらの機器から出力されるログを集めて分析する機器です。
エ: ファイルの改ざんを検知すると、事前に取得済みのバックアップを用いて直ちに修復することが可能になる。
これはファイルサーバのスナップショット機能やバックアップソフト、ランサムウェア対策製品の説明です。SIEM の役割はログから攻撃や異常を検知することであり、ファイルを自動で復旧することではありません。
以上により、この問題の解答は「ア」になります。
