なぜログ管理が重要か

IBM「Cost of Data Breach 2024」によると、侵害の特定(identify)に平均 194日、封じ込め(contain)にさらに 64日 — 合計 258日 かかっています。侵害から発見・封じ込めまでの期間が短い組織ほど損害額が大幅に低く、100日以内に対応できた組織とそうでない組織では平均損害額に $1M 以上の差が生じています。ログがなければ「何が起きたか」を知る手段がありません。

「何かが起きているという事実に気づけないことが、最大のリスクだ」

SIEM とは

SIEM(Security Information and Event Management) は、組織全体のセキュリティログを集中収集・正規化・相関分析するプラットフォームです。

主な機能:

機能説明
ログ集中収集ネットワーク・サーバー・アプリ等からのログをリアルタイム収集
正規化異なるフォーマットのログを統一した形式に変換
相関分析複数のイベントを組み合わせて攻撃パターンを検知
アラート生成設定した閾値・ルール違反時に自動通知
ダッシュボードセキュリティ状況の可視化
フォレンジクスインシデント調査のためのログ検索・タイムライン再現

収集すべきログソースの優先順位

すべてのログを収集するとコストが膨大になります。優先順位をつけて段階的に導入します。

ログソースの優先順位
優先度ログソース検知できる脅威
最優先認証ログ(AD/Azure AD)パスワードスプレー、不正ログイン、横展開
最優先エンドポイントEDRログマルウェア実行、PowerShell悪用
ファイアウォール/NGFWログC2通信、異常な通信先
DNS ログDNSトンネリング、悪意のあるドメインへのアクセス
WebサーバーアクセスログSQLi試行、ディレクトリトラバーサル
クラウド監査ログ(CloudTrail等)設定変更、権限昇格
低〜中アプリケーションログビジネスロジック攻撃

相関ルールの例

SIEMの価値は単一のアラートではなく、複数のイベントを組み合わせた相関分析にあります。

パスワードスプレー検知ルール

条件:
  - 60秒以内に
  - 10以上の異なるアカウントで
  - 同一送信元IPから
  - 認証失敗イベント(Event ID 4625)が発生

アクション:
  - High優先度アラートをSOCに通知
  - 送信元IPをブロックリストに追加(自動対応)

ラテラルムーブメント検知

条件:
  - 通常アクセスしない管理者用共有(C$, ADMIN$)へのアクセス
  - AND 通常と異なる時間帯(深夜0-6時)
  - AND 前後30分以内にPowerShell実行ログ

アクション:
  - 緊急アラート(Critical)
  - 関連するホストのNetBlock
SIGMA ルール

SIGMAはSIEMの検知ルールを記述するためのオープン標準フォーマットです。SIEMベンダーに依存しない汎用的なルールを記述でき、GitHubで多数の実績あるルールが公開されています(SigmaHQ/sigma)。

ログの保管と法的要件

法規制・基準ログ保管期間の要件
PCI DSS最低12ヶ月(3ヶ月はオンライン)
ISO 27001組織が定義(一般的に1〜3年)
個人情報保護法(日本)不正アクセス等のリスク低減に必要な期間
金融業界(FSA)7年程度が一般的
ログの改ざん防止

攻撃者はログを削除・改ざんして痕跡を消そうとします。ログは収集後すぐに改ざん不可能な外部のSIEMに転送し、ローカルログへの依存を避けることが重要です。書き込み専用ログ(Append-only)ストレージも有効です。

SOC(セキュリティオペレーションセンター)

SIEMを運用するチームがSOCです。アラートのトリアージ・調査・対応を担当します。

アラート疲労(Alert Fatigue)問題:

誤検知(False Positive)が多いと、アナリストがアラートを無視するようになります。

対策:

  • ルールの定期的なチューニング(誤検知率の削減)
  • アラートの優先度付け(Critical/High/Medium/Low)
  • SOAR(Security Orchestration, Automation, and Response)による自動化
  • XDR(Extended Detection and Response): EDR・ネットワーク・クラウドを横断して相関分析し、SIEMへの依存を減らすアプローチ。2024年以降、SIEM と XDR の統合製品が主流化
理解度チェック

SIEMにおける「相関分析」の主な目的はどれですか?