SIEM - SIEM(セキュリティ情報イベント管理)
複数のシステムからログを一元収集・相関分析し、セキュリティ脅威の検知とアラートを自動化するプラットフォーム。Splunk、Microsoft Sentinel、Elastic SIEM 等が代表的。
概念図
SIEM の役割と構成要素
SIEM は「ログ収集 → 正規化 → 相関分析 → アラート」のパイプラインを通じて、単体のログでは見えない攻撃チェーンを可視化するプラットフォームです。
親ガイドで扱う一般的なログ管理(Fluentd で集約する、保管期間を設定する、など)の先にあり、検知と対応を自動化する層に位置づけられます。
| 段階 | 処理内容 | 代表的な技術 |
|---|---|---|
| Collection(収集) | エージェント / Syslog / API でログやイベントを取り込む | Splunk UF、Winlogbeat、Fluent Bit、Sysmon |
| Normalization(正規化) | 各ソースの独自フォーマットを共通スキーマに変換 | CIM(Splunk)、ECS(Elastic)、ASIM(Sentinel) |
| Enrichment(強化) | IP の GeoIP、資産情報、脅威インテルを付与 | MISP、VirusTotal、AbuseIPDB |
| Correlation(相関分析) | 時系列・ユーザー・資産をまたいでルールを適用 | SPL、KQL、EQL、Sigma ルール |
| Detection / Alerting | 閾値・シグネチャ・振る舞いでアラート生成 | ユースケースルール、MITRE ATT&CK マッピング |
| Response(対応) | トリアージ、チケット化、自動対応 | SOAR、Playbook、チャットボット |
SIEM 単体では 「検知まで」 を担い、周辺製品がその前後を補完します。
| 製品カテゴリ | 役割 | SIEM との関係 |
|---|---|---|
| UEBA(User & Entity Behavior Analytics) | ユーザー / 端末ごとのベースラインを学習し、逸脱を検知 | SIEM の相関ルールでは拾えない「普段と違う振る舞い」を補完 |
| SOAR(Security Orchestration, Automation and Response) | アラートを起点に Playbook を実行し、対応を自動化 | SIEM が検知、SOAR が封じ込め・通知・チケット化を担当 |
| XDR | EDR / NDR / メール / ID を統合した検知・対応 | SIEM より範囲が狭いが深く、SIEM と併用 or 置き換え |
| TIP(Threat Intelligence Platform) | 脅威インテル IoC を管理し SIEM に配信 | SIEM の相関ルールに IoC マッチを組み込む |
近年の主要 SIEM ベンダーは UEBA と SOAR を SIEM 本体に内包する流れにあり、「SIEM + UEBA + SOAR」を一つのスイートとして提供する製品(例: Splunk ES + SOAR、Microsoft Sentinel) が主流になっています。
主要製品と選定ポイント
SIEM 製品は 「オンプレ or クラウド」「ライセンスモデル」「得意領域」 の観点で大きな違いがあります。
選定時はログ量の将来予測と自社の運用体制を軸に検討してください。
| 製品 | 提供形態 | 価格モデル | 強み | 注意点 |
|---|---|---|---|---|
| Splunk Enterprise Security | オンプレ / Splunk Cloud | ライセンスはインデックスするデータ量(GB/日)または SVC ベース | 圧倒的な検索言語 SPL、エコシステムの広さ、Splunk SOAR との統合 | 大規模になると非常に高価。スキーマオンリードで正規化に SPL スキルが必要 |
| Microsoft Sentinel | Azure 完全マネージド | Log Analytics 取り込み量 + 保存量の従量課金 | Azure / Microsoft 365 / Entra ID との統合が強力、KQL、無料データコネクタ多数 | Azure ロックイン。KQL 習熟が必要。M365 E5 等のセキュリティログは取り込むと高額 |
| Elastic Security | セルフホスト / Elastic Cloud | リソース(ノード)課金。取り込み量は課金対象外 | 検索性能が高い、ECS で標準化、取り込み量課金がないのでログを絞る必要がない | 運用は自己責任(セルフホストの場合)。UEBA / SOAR は他製品より弱め |
| IBM QRadar | オンプレ / QRadar on Cloud / QRadar Suite(SaaS) | EPS(Events Per Second)+ Flow ベース | ネットワークフロー分析(QFlow)、成熟した相関ルール、金融・公共に強い | UI が古め。近年は QRadar Suite(Cloud Pak)へ移行中で製品ラインが複雑 |
| Google Security Operations(旧 Chronicle) | Google Cloud 完全マネージド | 従業員数ベースの定額(ログ量非依存) | 1 年保持が標準、Google 規模のインフラ、VirusTotal 統合、YARA-L ルール | 小規模企業には割高。対応ログソースが他製品ほど広くない |
| Wazuh | OSS(セルフホスト) | 無料(有償サポートあり) | HIDS を内包、低コストで開始可能、OpenSearch ベース | スケール時の運用負荷が高い。商用 SIEM ほどの UEBA / SOAR は持たない |
選定時に押さえるべきチェックリスト:
- ログ量(EPS / GB/日)の将来予測 — 取り込み量課金の製品は 3 倍に増えると費用も 3 倍
- 保持要件 — 規制で 1 年以上必要か、ホット / ウォーム / コールドの階層化ができるか
- 既存スタックとの親和性 — Microsoft 中心なら Sentinel、Google Cloud 中心なら Google SecOps が自然
- SOC 体制 — 24/7 のアナリストがいるか、MSSP に委託するか
- 統合済み機能 — UEBA / SOAR / TI が本体に含まれるか、別ライセンスか
- ルールエコシステム — Sigma ルールや ATT&CK マッピング済みコンテンツパックの有無
導入時の課題と対策
SIEM は「入れれば使える」製品ではなく、運用フェーズで初めて真価が問われる タイプの投資です。
失敗プロジェクトの典型パターンと対策を整理します。
| 課題 | 具体的な症状 | 対策 |
|---|---|---|
| ログ量の見積もりミスとコスト爆発 | 取り込み量課金の SIEM で月額がライセンス予算の 2〜3 倍に膨らむ | 取り込み前にフィルタリング(例: デバッグログ除外)、階層化ストレージ、ログソース優先度付け |
| False Positive 疲労 | 1 日数千件のアラートで SOC アナリストが重要なものを見逃す | ユースケース駆動のルール設計、チューニング専任、アラート重要度の自動計算、同一 IoC の抑制 |
| データソース統合の難しさ | 独自フォーマットのアプリログを正規化できず、相関ルールが書けない | ECS / CIM / ASIM 等の共通スキーマへマッピング、ログ生成側に構造化ログを義務化 |
| SOC 体制の不足 | 24/7 の監視体制がなく、夜間のアラートが翌朝対応される | MSSP / MDR の利用、SOAR による自動対応、チャットボットでの一次トリアージ |
| ユースケース不足 | インストール直後はルールが動いていても、新しい攻撃手法に追従できない | MITRE ATT&CK へのマッピングで網羅性を可視化、Sigma ルールの取り込み、定期的なパープルチーミング |
| ログ品質の問題 | タイムスタンプ不整合、文字コード不一致、欠損で相関分析が崩れる | NTP 同期の徹底、UTC 統一、ログバリデーションパイプライン |
MITRE ATT&CK へのマッピングによる網羅性の可視化:
SIEM の検知ルールを ATT&CK のテクニック(例: T1078 Valid Accounts、T1110 Brute Force)にタグ付けすることで、「どの戦術が検知できて、どれができていないか」をマトリクスで可視化できます。
主要 SIEM 製品はこのマッピングを組み込みで提供しており、Splunk の Enterprise Security Content Update や Microsoft Sentinel の MITRE ATT&CK ブックが代表例です。
コスト最適化の典型テクニック:
| テクニック | 効果 |
|---|---|
| Edge フィルタリング | Fluent Bit / Cribl 等でログ生成側から不要なイベントを破棄 |
| サマリーインデックス | 生ログは短期保持、集計結果を長期保持 |
| S3 / Azure Blob 階層化 | コールドログはオブジェクトストレージに逃がし、必要時にリハイドレート |
| 取り込み前の PII マスキング | 個人情報を落としてコンプライアンスコストも削減 |