さまざまなネットワーク機器やサーバーから、多様かつ膨大なログを収集して一元管理し、それらを基に不正を検知する新しいセキュリティシステムのこと。Security Information Event Managementの略で、シームと発音する。
従来、不正検知には主にIDS(不正侵入検知システム)が用いられてきた。IDSはいわば、不正な通信を見つけるセンサー。ネットワーク上を流れるパケットを、「シグネチャー」と呼ぶルールに基づいて、リアルタイムに検査し、不正だと思われるものがあるとアラートを上げる。この目的に特化したシステムであるため、例えば、不正だと思われるパケットを検知したときに、ウイルス対策ソフトやサーバーのログを併せて分析することで、不正検知の精度を高める、ということができない。
SIEMはこの限界を突破する。ファイアウオール、プロキシーサーバー、IDSといったネットワーク・セキュリティ機器、Webサーバーやメールサーバーなどのサーバーから「レシーバー」機能でログを収集し、「データストア」に保存。「アナライザー」機能によって、複数種類のログを組み合わせて分析し不正を検知する。
さまざまなログを分析し、どういう条件のとき不正と見なすか、というルールは、ユーザー企業のシステム環境に大きく依存するので、個別に決める必要がある。しかも、システム環境の変更やサイバー攻撃の変化に合わせて、更新していかなければならない。そのため、IDSよりも不正検知の精度を高められるが、その分、運用の負荷が大きい。
