[ホーム] > [間違えやすい類語 IT編一覧] > [SIEMとフォレンジックの違い]
このページでは共にセキュリティ関連用語である「SIEM」「フォレンジック」の意味的な違いに関して説明します。
一番の違いは「解析するタイミング」です。SIEMはリアルタイムで複数ログからセキュリティ侵害や攻撃を検知します。一方で「フォレンジック」はセキュリティ事故が発生した後に証拠と使用したり何が起こったかを分析するために使用します。
(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。
| 説明 | SIEM | フォレンジック(forensic) |
| 概要 | SIEMとは様々な機器のログを収集して関連を分析する分析手法のこと。セキュリティ侵害、攻撃、セキュリティインシデントが発生していないか、ログから分析する。(相関分析) | ディスクやネットワークパケットをすべて取得する。そのまま生でデータを取得する。SSL暗号化されているパケットは後で複合できるよう秘密鍵も保管しておく。 セキュリティインシデント発生後に、「何が起こったのか」「何を取られたのか」「どういう攻撃が行われたのか」を分析する。 被害、侵入方法、活動内容を後で分析できるように全てを記録する。OSを動かすとうっかりログが上書きされたりして証拠が消えてしまうこともあるので、PCからハードディスクを取り出し、専用機器でイメージコピーする場合もあり。 |
| 例: | 一番簡単な例はログイン失敗の履歴。1台のサーバでログインの失敗が発生している場合は特に問題ないが、もし複数のサーバで同じユーザ名によるログインの失敗が発生していたら、何か攻撃が行われている可能性があることが分かる。 このように複数サーバのログを分析して初めて検知するインシデントもある。 | ・よくある例は数日後、数か月後に侵入されたことに気が付いたとき、何を盗まれたのかを調査するためネットワークのフォレンジックすを分析する。メールアドレスのみなのか、パスワードなのか、クレジット番号かなど。 |
| 分析タイミング | リアルタイム | インシデント発生後 |
[ホーム] > [間違えやすい類語 IT編一覧]
,