ログがなければ、組織は「盲目」である
IBMの「Cost of Data Breach Report 2024」によれば、企業がネットワーク内での侵害に気づくまでに平均194日、さらに封じ込めるまでに64日(合計258日)かかっています。 攻撃者がネットワーク内を半年以上も自由に跋扈できるのはなぜか? 各機器が吐き出す膨大なセキュリティログが「点」のまま放置され、「線」として結び付けられていないからです。別々のシステムに記録された個々のイベントを横断的に結び付けなければ、攻撃の全体像は見えません。
「何かが起きているという事実に気づけないこと」こそが、サイバーセキュリティにおける最大のリスクです。
SIEM(Security Information and Event Management)の機能
SIEM は、ファイアウォール、プロキシ、Windowsイベントログ、クラウド(AWS CloudTrailやMicrosoft Entra ID等)など、組織中のありとあらゆるログを一箇所に集約し、リアルタイムで分析する「セキュリティの頭脳」です。SIEMを中心としたセキュリティ監視・運用を担う専門チームを SOC(Security Operations Center) と呼びます。
SIEMのコア・アーキテクチャ
| 機能フェーズ | SOCにおける実務的な意味合い |
|---|---|
| 1. ログの収集(Ingestion) | すべてはここから始まります。ただし、全ログを無差別に取り込むとストレージコストが膨大になるため、**「どのログが脅威検知に最もリターンが高いか」**を見極めるエンジニアリング判断が不可欠です。 |
| 2. 正規化(Normalization) | Palo AltoのFWとWindowsサーバーでは「送信元IP」を表すフィールド名が異なります(src_ip vs SourceAddress など)。これらを共通スキーマに統一(パース)することで、横断的な検索・分析が可能になります。 |
| 3. 相関分析(Correlation) | 「1回のログイン失敗」はただのノイズです。しかし「1分間に10回の失敗の直後に同じIPからVPNログインが成功し、その直後に重要DBから大量データ転送が行われた」という複数イベントの組み合わせを検知することで、確度の高いアラートが生まれます。相関ルールの設計力がSOCの実力を決めます。 |
| 4. インシデントの可視化と保持 | アラートをトリガーするだけでなく、フォレンジック(事後調査)や法的証拠のために数ヶ月〜数年分のログを改ざん不可能な状態で長期保持します。 |
防御側の最大の敵:「アラート疲労(Alert Fatigue)」
SIEMを導入した組織が必ず直面する壁がアラート疲労です。精度の低い相関ルールを稼働させると、毎日数千件もの「誤検知(False Positive)」アラートが発生します。SOCアナリストはアラートを処理しきれず感覚が麻痺し、やがて本当に重大なインシデント(True Positive)の通知が届いても見逃してしまいます。
2013年のTarget社大規模情報漏洩事件は象徴的な例です。セキュリティシステムは侵害の兆候をきちんと検知してアラートを発報していましたが、アラートの波に埋もれた担当者がそれを見逃し、4000万枚を超えるクレジットカード情報が流出しました。ツールがあっても使えていない——これがアラート疲労の恐ろしさです。
アラート疲労を克服するためのアプローチ
- Sigma ルールの活用: Sigmaは、特定のSIEM製品に依存しない「オープンな脅威検知ルールの標準フォーマット」です。セキュリティコミュニティで磨かれた高精度のルールを自社のSIEMに変換・インポートすることで、ゼロから誤検知の多いルールを書く手間を省けます。
- チューニングの反復: 運用開始直後は「ブロック」せず「監査モード」で回し、自社の正規業務(深夜のバックアップ通信、定期的なスキャン処理など)を徹底的にホワイトリスト登録します。「本番環境でいきなり全力稼働」ではなく、段階的な精度向上が現場では鉄則です。
現代のパラダイムシフト:SIEM から XDR へ
従来のSIEMには「ログの転送設定が煩雑」「保存コストが莫大」「パース規則のメンテナンスが限界」という現実的な課題がありました。
この課題を解決するアプローチとして、EDR(エンドポイント監視)とクラウド・ネットワーク監視をネイティブに統合した XDR(Extended Detection and Response) が主流になりつつあります。 XDRは「異なるベンダーのログを無理やり統合する」のではなく、「単一ベンダーのエージェント群が、最初から連携する前提でテレメトリをクラウドのAIエンジンに送る」設計です。従来のSIEMと比べて構築の敷居が低く、検知から対応(Response)までの自動化もスムーズです。ただし、特定ベンダーへのロックインというトレードオフも理解した上で選択する必要があります。
XDRの普及と同時に、インフラを自前で持たないクラウドネイティブSIEM(Microsoft Sentinel、Google SecOps [旧Chronicle]、Datadog Cloud SIEM等)が急速に普及しています。ペタバイト級のログを即座に検索できるスケーラビリティと、クラウド環境(AWS、Azure)とのシームレスな統合が特徴です。オンプレミスのSIEMアプライアンスを維持するインフラコストと比較して、クラウドネイティブの方が総合的に安価になるケースが増えています。
【確認問題】セキュリティ監視基盤であるSIEMを運用するSOC(セキュリティオペレーションセンター)において、設定された検知ルールの精度が低く、日々数千件におよぶ過剰な「誤検知の警告」が発報され続けた結果、アナリストが感覚を麻痺させてしまい、本当に重大なサイバー攻撃のアラートを見逃してしまう現象を何と呼びますか?