令和元年秋期 問43

アと間違えそうですが、正しくはイが正解です。

SIEMとは
SIEMとはSecurity Information and Event Managementの略で、ネットワーク上で発生するログを収集し、監視・分析・通知する技術のことです。異常なアクティビティやセキュリティインシデントを検知することで、企業や組織のセキュリティを維持し、脅威に対処します。

SIEMのイメージ

SIEMの機能
主に下記のような機能が含まれています。
・ログの収集
ネットワーク上で発生するログを収集します。DNSサーバやネットワーク機器、業務サーバ、ファイアウォール、IDSやIPS（侵入検知、侵入防止システム）などセキュリティツール（サービス）からのデータも含まれます。
・解析
収集したログを解析し、異常な行動や攻撃パターンを検出します。例えば、異常なアクセス試行や不審なネットワーク通信などを解析します。
・リアルタイム分析と通知
ログをリアルタイムで分析し、異常があればセキュリティ管理者に通知します。
・インシデント対応
攻撃やセキュリティインシデントが発生した場合、SIEMは事象や被害の詳細情報を提供し、迅速な対応を支援します。（SIEMとしての機能は検知・通知まで)

◾︎サンドボックス技術（Sandboxing）は、ソフトウェアを隔離された環境で実行し、システムへの影響を最小限に抑える技術です。主に以下の目的で利用されます。

1. セキュリティ強化
• 悪意のあるコードやマルウェアの実行を防ぐ
• 信頼できないプログラムを安全にテストする

2. システム保護
• アプリケーションの不具合が他のプロセスに影響を与えないようにする
• OSの重要な部分へのアクセスを制限

3. ソフトウェアのテスト
• 未検証のプログラムを本番環境に影響を与えずに試せる
• ブラウザやアプリの動作を安全に確認できる

代表的なサンドボックスの例

1. OSレベルのサンドボックス
• Linuxのchroot: 特定のディレクトリをルートディレクトリとして設定し、プロセスを隔離
• Docker: コンテナ技術を利用し、軽量な仮想環境を提供
• Firejail: Linuxアプリケーションの権限を制限するツール

2. ブラウザのサンドボックス
• Google Chrome, Edge: 各タブを独立したプロセスで実行し、悪意のあるサイトの影響を制限
• Adobe Reader: PDFの実行環境を隔離し、マルウェア感染を防ぐ

3. セキュリティソフト
• Windows Defender Application Guard: 信頼されていないサイトを仮想化環境で開く
• Sandboxie: Windowsでアプリを隔離して実行できるツール

サンドボックス技術は、セキュリティリスクを軽減しながら、安全な環境でアプリやプログラムを実行するために不可欠な技術です。特にLinux構築を学んでいるなら、Dockerやchrootの活用を検討するといいかもしれません。

引用元
https://www.fe-siken.com/s/kakomon/01_aki/q43.html
https://www.softbank.jp/biz/blog/business/articles/202407/what-is-siem/
ChatGPT