ある企業で顧客情報の流出が判明した。カスタマーサービス部から問い合わせを受けた情報システム部長は、顧客データベースにアクセスしたログ解析を指示。しかし、担当者からの返答は「少なくとも1週間はかかる」というものだった。
時間がかかる理由を問い詰めてみると、大きく2つの原因があった。1つは蓄積されているログの情報量が分散していて、かつ膨大なこと。そしてもう1つはログを分析するスキルがないことだ。今までにこうした事件が起きたことはなく、ログを分析した経験もなかった。
一方、ある国際的なエネルギー企業では、1日に20億件のイベントが発生。そのログを放置することなく、すべてのイベントをリアルタイムに解析し、毎日20件から25件の潜在的な不法行為を見つけてその調査にあたっているという。このように常にログの分析が行われている企業であれば、原因を突き止めることも容易で、万が一のときでも迅速に対応できる。
情報が流出した際に原因追及に時間がかかって対応が遅れる企業と、迅速に対応できる体制を整えている企業とでは、万が一の際に被害の拡大や社会的な評価などに大きく影響する。後者の場合は、情報漏えいにつながる事件が起きる確率も低い。
サイバー攻撃による脅威は、もはや“対岸の火事”ではない。いつ、どの企業で顧客情報や機密情報が狙われても不思議ではない。しかし、事件が起きることを未然に防ぎ、万が一、事件が起きた際にも迅速な対応を可能にするソリューションがある。それがSIEMだ。日本IBMの菅原啓之氏によれば、「SIEMはここ2年ほどで大いに注目されるようになってきました」という。このSIEMとはどんなソリューションなのだろうか。