[ホーム] > [間違えやすい類語 IT編一覧] > [SIEMとフォレンジックの違い]

SIEMとフォレンジックの違い

作成日:2020/01/29

このページでは共にセキュリティ関連用語である「SIEM」「フォレンジック」の意味的な違いに関して説明します。
一番の違いは「解析するタイミング」です。SIEMはリアルタイムで複数ログからセキュリティ侵害や攻撃を検知します。一方で「フォレンジック」はセキュリティ事故が発生した後に証拠と使用したり何が起こったかを分析するために使用します。

(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

比較表

比較は以下の表の通りとなります。

説明SIEMフォレンジック(forensic)
概要SIEMとは様々な機器のログを収集して関連を分析する分析手法のこと。セキュリティ侵害、攻撃、セキュリティインシデントが発生していないか、ログから分析する。(相関分析)
ディスクやネットワークパケットをすべて取得する。そのまま生でデータを取得する。SSL暗号化されているパケットは後で複合できるよう秘密鍵も保管しておく。
セキュリティインシデント発生後に、「何が起こったのか」「何を取られたのか」「どういう攻撃が行われたのか」を分析する。

被害、侵入方法、活動内容を後で分析できるように全てを記録する。OSを動かすとうっかりログが上書きされたりして証拠が消えてしまうこともあるので、PCからハードディスクを取り出し、専用機器でイメージコピーする場合もあり。

例:一番簡単な例はログイン失敗の履歴。1台のサーバでログインの失敗が発生している場合は特に問題ないが、もし複数のサーバで同じユーザ名によるログインの失敗が発生していたら、何か攻撃が行われている可能性があることが分かる。
このように複数サーバのログを分析して初めて検知するインシデントもある。
・よくある例は数日後、数か月後に侵入されたことに気が付いたとき、何を盗まれたのかを調査するためネットワークのフォレンジックすを分析する。メールアドレスのみなのか、パスワードなのか、クレジット番号かなど。

分析タイミングリアルタイムインシデント発生後


[ホーム] > [間違えやすい類語 IT編一覧]
,







【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。