SIEM(Security Information and Event Management)|ログとイベントを相関分析し可視化

2025.10.04

SIEM(Security Information and Event Management)

SIEM(Security Information and Event Management)は、組織内の多様なシステムが出力するログやイベントを集中収集・正規化し、相関分析と可視化によって脅威の早期検知とインシデント対応を支援する基盤である。リアルタイム警告、過去調査、監査証跡の保持を一体で扱える点が特徴であり、ガバナンス/リスク/コンプライアンスの要件にも適合させやすい。今日の環境はオンプレミスとクラウドが混在し、エンドポイント、ネットワーク、アプリケーション、ID基盤など観測点が増大しているため、SIEMは“見える化”と“相関”を機械的に回すための中枢として機能する。

Table Of Contents

基本概念とアーキテクチャ

SIEMは概ね「収集→搬送→正規化/保管→検索→相関/検知→可視化→連携」という処理段を持つ。エージェントやエージェントレスの転送、メッセージキューによるバッファリング、スキーマ定義、時刻同期(NTP)、インデックス設計、ホット/ウォーム/コールドの階層保管を織り込み、ピーク時の取りこぼしや遅延を抑える。調査効率はタイムレンジ、ホスト/ユーザ/プロセスなどの主キー設計とフィールドの正規化精度に強く依存する。

  • データソース例: OS/ミドルウェア、AD/IdP、EDR/NDR、DNS/DHCP、プロキシ、WAF、IDS/IPS、クラウド監査ログ、SaaS監査ログ、アプリケーション監査やAPIゲートウェイ
  • 保存戦略: 直近は高性能ストア、長期は圧縮/オブジェクトストレージ、必要に応じてWORM化

主な機能

  • ログ収集・正規化: 多様なフォーマットを共通スキーマにマッピングし、ホスト名/ユーザ/IP/プロセス/イベントIDなどを抽出する。
  • 相関分析: 時間窓を跨ぎ、複数ソースの事象を結びつけて攻撃キルチェーンを復元する。
  • ルールベース検知: 既知のシグネチャやポリシー違反を即時検出する。
  • UEBA: ユーザ/エンティティの平常行動から逸脱スコアを算出し未知の異常を炙り出す。
  • ダッシュボード/可視化: 資産別、脅威カテゴリ別、時間推移で状況認識(SA)を高める。
  • アラート/ケース管理: 重複排除、抑止、チケット連携、ワークフロー起動を担う。
  • レポーティング: 監査対応やKPI(MTTD/MTTR、検知率、誤警報率)の定期出力。
  • SOAR連携: 自動隔離やブロック、封じ込めプレイブックの実行と証跡記録。

導入と運用のポイント

ユースケース起点で要件化するのが肝要である。想定脅威、観測点、検知/対応の粒度、保持期間、検索性能(SLA)、予算を先に固め、EPS(Events Per Second)や日次取込量からライセンスとインフラ規模を見積もる。運用は検知チューニングとノイズ低減、アラート優先度の整列、検知コンテンツのライフサイクル管理(作成→評価→本番→廃止)を回す“検知工学”として継続運用するべきである。

相関ルールとUEBAの設計

相関は「観測の連鎖」を明確にし、時間窓、順序、回数、組合せを定義する。UEBAは同僚群/役割群の行動を参照して動的しきい値を用いると誤検知を抑えやすい。リスクスコアは事象の重み、確度、資産重要度(BIA)を掛け合わせ、一定値でケース化する。

  • 例1: 短時間に多回の失敗認証→異常地理からの成功→権限昇格→大量データ転送
  • 例2: サービスアカウントの使用時間帯逸脱→新規端末からのAPI濫用
  • 例3: 端末での不審プロセス生成→横展開の管理共有アクセス→疑わしいSMB列挙

クラウドとハイブリッド環境

クラウドではAPI引込とイベントハブを用いるのが一般的である。監査ログ(例: CloudTrail/Activity/Audit)やSaaSログを疎結合に取り込み、スキーマ変化に追随する。データ転送料や保存コスト、地域越境、ログ冗長化、マルチアカウント/サブスクリプション統合を考慮する。クラウドネイティブなSIEMも選択肢となるが、可観測性の範囲、保持費用、外部データ連携の容易性を評価する必要がある。

パフォーマンスとスケーラビリティ

スケールアウト型の検索/インデックスとメッセージキューでバックプレッシャを緩和し、到達不能時の再送と順序性を担保する。パーティションは時間軸とテナント/ドメイン単位の両面で切り、ホット期間は高速ストレージ、以後は圧縮/低コスト層へ階層化する。スキーマ設計は検索性と取り込み性能のバランス(書き込み時整形か読取時整形か)を検討する。

コンプライアンスと監査

ISMSやSOC 2、PCI DSS等の要件では、完全性(改ざん防止)、可用性、責任追跡性が重視される。WORMストレージやハッシュ鎖、署名付きエクスポートで証跡の完全性を示し、保持ポリシーと削除手順を文書化する。監査対応では、用語と時間軸を統一し、アカウント/資産の命名規則と台帳整合性を維持することが重要である。

アラート疲労の抑制

重複排除、しきい値の動的化、抑止(メンテナンス時間帯や既知ノイズ条件)を組み合わせ、重要アラートの可視化面積を確保する。ケース管理では重大度、仮説、一次対応、封じ込め、根本原因、再発防止の各フィールドを義務化し、フィードバックループでルール改善へ還元する。KPIはMTTD/MTTRと同時に、解析着手率、誤検知率、再発率を追うと改善が進む。

よくある落とし穴

  • “集めるだけ”で正規化/命名が不統一となり検索が機能しない。
  • ユースケース不在で網羅的に警報が出続け、アラート疲労に陥る。
  • 保持期間とコストの不整合により性能劣化や予算超過が発生する。
  • 資産/アカウント台帳の更新遅延で誤認識とブラインドスポットが生じる。
  • 暗号化通信の可視化設計不足で主要テレメトリが欠落する。

関連技術

EDR/NDRはエンドポイント/ネットワーク面の深掘り観測を担い、SOARは対応自動化を担う。XDRは複数センサを統合し横断的検知を志向する。SIEMはこれらの広域な出来事を時系列に束ね、証跡と文脈を提供する中核であり、観測・相関・対応のループを高速に回すことで、攻撃の初期兆候の把握と被害最小化に資するのである。

コメント(β版)