「うちにSIEMって必要なのか?高そうだし、運用も大変そうで二の足を踏んでいる…」
情シスの担当者からこういった相談をよく受けます。セキュリティ関連の提案書やベンダーの資料には必ずと言っていいほど「SIEM」という単語が登場しますが、「何ができて、何が難しいのか」をあいまいなまま使っているケースも少なくありません。
この記事では、SIEMの仕組みと主要機能を整理したうえで、導入を検討するときの判断基準、中小企業の情シス1人体制でも現実的に選べる選択肢まで、現場目線でお伝えします。
SIEMとは?一言で言えば「セキュリティの神経中枢」
SIEM(シーム)は Security Information and Event Management の略で、組織内のさまざまなシステムやデバイスからログ・イベントデータを一か所に集め、脅威を検知・分析するプラットフォームです。
「Security Information Management(SIM)」と「Security Event Management(SEM)」という2つの概念が統合されたもので、2005年頃にガートナーが提唱したとされています。
一言で表すなら、「社内のあらゆるセキュリティ情報を集めて、攻撃を見逃さないための神経中枢」です。
ファイアウォール、VPN、Active Directory、クラウドサービス、エンドポイントなど、各システムが個別に出力するログを、人間がバラバラに確認していては見落としが出ます。SIEMはこれらを自動で収集・正規化し、相関ルールに基づいてアラートを出すことで、インシデントの検知を劇的に効率化します。
なぜSIEMが必要になったのか?攻撃の複雑化が背景
攻撃手法が単純だった時代は、ウイルス対策ソフトやファイアウォールで多くの脅威を防げていました。しかし現代の攻撃は、正規の認証情報を使い、複数のシステムにまたがって侵入経路を広げていくため、個別のログを見るだけでは全体像が見えません。
たとえば、こんなシナリオが現実に起きています。
・VPNへの認証失敗が深夜に200回記録されている(ブルートフォース攻撃)
・その後、別の正規アカウントで深夜にVPN接続に成功している(クレデンシャルスタッフィング成功)
・成功後15分以内にActive Directoryへの大量アクセスが発生している(内部偵察)
この3つの出来事がバラバラのシステムに記録されていた場合、人間が個別に確認していては「点」として見えても「線」として認識できません。SIEMは「相関分析」によってこれを1つの脅威シナリオとして検知します。
2023年に国内の医療機関で発生したランサムウェア被害では、侵入から暗号化開始まで数日の活動ログが残っていたにもかかわらず、リアルタイムに異常を検知できなかったことが問題視されました。SIEMがあれば、この段階で警告を発せられた可能性があります。
SIEMの4つの主要機能
1. ログの収集と正規化
SIEMの第一の役割はデータ収集です。エージェント型(各機器にソフトをインストール)またはエージェントレス型(syslogやAPIで転送)でログを取り込み、機器ごとに異なるフォーマットを統一の形式に変換(正規化)します。
たとえば、CiscoのファイアウォールのログとWindowsのイベントログでは、時刻の書式も項目名も異なります。SIEMはこれを統一フォーマットに変換することで、横断検索や相関分析を可能にします。
対応できる主なログソースはこの通りです。
・ネットワーク機器: ファイアウォール、スイッチ、ルーター、VPN
・認証基盤: Active Directory、LDAP、Azure AD(Entra ID)、Okta
・エンドポイント: Windowsイベントログ、macOS syslog、Linux auditd
・クラウド: AWS CloudTrail、Azure Monitor、Google Cloud Audit Logs
・アプリケーション: Webサーバーアクセスログ、メールサーバーログ
2. 相関分析とルールエンジン
収集したログに対して、事前に定義した「相関ルール」を適用し、攻撃パターンを検知します。たとえば「1分以内に同一IPから認証失敗が10回以上発生したらアラート」といったルールが代表例です。
現代のSIEMはこれに加えて、機械学習による異常検知(UEBA: User and Entity Behavior Analytics・ユーザーとエンティティの行動分析)機能を持つものが増えており、ルールに定義されていない未知の攻撃パターンも検出できます。
UEBAは「このユーザーは普段9時~18時にしかログインしないのに、午前3時にログインしている」「このサーバーは通常外部へほとんど通信しないのに、突然大量のデータを外部送信している」といった”ベースラインからの逸脱”を自動で検知します。
3. アラートとダッシュボード
検知した脅威はダッシュボードに視覚化され、重要度(Critical・High・Medium・Low)でランク付けされます。メール通知やチケット発行ツール(ServiceNow・Jiraなど)との連携も可能で、担当者がすぐに対応に入れる状態を作ります。
ダッシュボードには複数のビューが用意されています。
・リアルタイムビュー: 現在進行中のインシデント状況
・トレンドビュー: 週次・月次の傾向分析
・コンプライアンスビュー: PCI DSS・ISO 27001対応のレポート出力
・脅威マップ: 地理的な攻撃元の可視化
4. ログの長期保存と証跡管理
インシデント発生後の調査(デジタルフォレンジック)では、数か月前のログが決定的な証拠になることがあります。SIEMはログを長期保存する機能を持ち、コンプライアンス要件への対応にも使えます。
主なコンプライアンス要件とログ保存期間の例をまとめます。
| 規格・法令 | 必要なログ保存期間 | 対象組織 |
|---|---|---|
| PCI DSS v4.0 | 12か月(最低3か月はすぐ検索可能) | クレジットカード決済を扱う事業者 |
| ISO 27001 | 規定なし(リスクベースで組織が決定) | 認証取得組織 |
| 個人情報保護法・不正競争防止法 | インシデント後の証拠として有効な期間 | 国内事業者全般 |
| NISC ガイドライン(重要インフラ) | 1年以上を推奨 | 重要インフラ事業者 |
SIEMとSOAR・EDRの違いを整理する
セキュリティ製品の分類が複雑で、SIEMとSOAR・EDRの違いが分からないという声もよく聞きます。それぞれ役割が異なります。
| 製品カテゴリ | 略称の意味 | 主な役割 | SIEMとの関係 |
|---|---|---|---|
| SIEM | Security Information and Event Management | ログ収集・相関分析・脅威検知 | —(中心的存在) |
| SOAR | Security Orchestration, Automation and Response | インシデント対応の自動化・オーケストレーション | SIEMのアラートを受けて自動対応を実行する |
| EDR | Endpoint Detection and Response | エンドポイント(PCやサーバー)の脅威検知・隔離 | EDRのログをSIEMに取り込んで相関分析に使う |
| XDR | Extended Detection and Response | EDR・ネットワーク・クラウドを統合した検知 | SIEMの機能の一部を包含する形で進化中 |
整理すると、「SIEMで検知 → SOARで自動対応」という組み合わせが現代のSOCの基本構成です。EDRはSIEMへのログ入力ソースの1つと考えると分かりやすいです。
SIEMを使ったインシデント検知の流れ(実例)
不審なVPNログインを例に、SIEMがどう動くかを追ってみましょう。
・Step 1: ログ収集 VPN機器がsyslogでSIEMにログを転送する
・Step 2: 正規化 「認証失敗」「送信元IP」「タイムスタンプ」を統一フォーマットに変換する
・Step 3: 相関分析 「同一IPから5分で50回の認証失敗 → アラート生成」というルールに合致する
・Step 4: アラート発報 担当者にSlack・メールで通知し、インシデントチケットを自動作成する
・Step 5: 調査・対応 担当者が該当IPのトラフィックを精査し、必要であればブロックする
・Step 6: 記録と改善 対応内容をSIEMに記録し、誤検知があればルールをチューニングする
このサイクルをSIEM無しで人手で回そうとすると、Step 1~4だけで数時間かかることもあります。SIEMはこれを数秒~数分に短縮し、重大なインシデントを見落とすリスクを大幅に下げます。
主要SIEM製品の比較
代表的なSIEM製品を、規模感・コスト感・特徴で整理します。
| 製品名 | 提供形態 | 主な対象規模 | 特徴 |
|---|---|---|---|
| Microsoft Sentinel | クラウド(Azure) | 中堅~大企業 | Microsoft 365との統合が強力。従量課金制で初期費用なし。AIによる脅威検知機能も充実。 |
| Splunk Enterprise Security | オンプレ・クラウド | 大企業・SOC | 業界シェアトップクラス。高い柔軟性と豊富なプラグイン。コストは高め。 |
| IBM QRadar | オンプレ・クラウド | 中堅~大企業 | 相関分析エンジンが成熟。マネージドサービスと組み合わせやすい。 |
| LogRhythm SIEM | オンプレ・クラウド | 中堅企業 | UEBA機能が標準搭載。国内での導入実績あり。 |
| Elastic Security | オンプレ・クラウド | 中小~中堅 | オープンソースベースで低コスト。自前で構築できる技術力が必要。 |
| Wazuh(オープンソース) | オンプレ・クラウド | 小規模~中堅 | 完全無料。ファイル整合性監視・脆弱性検知も標準搭載。コミュニティサポートあり。 |
コストの目安として、Microsoft SentinelはGB単位の従量課金で、分析ログ1GBあたり約330円(東日本リージョン)が基準になります。小規模環境でも月数万円からスタートできる場合があります。Wazuhは完全無料ですが、サーバー構築・運用コストは別途かかります。
中小企業でも今日からできること
「SIEMは大企業向け」というイメージが根強くありますが、規模に応じた現実的な選択肢があります。情シス1人体制でも段階的に取り組めます。
【フェーズ1】まずログを「集める」だけでも価値がある
SIEMを導入する前段階として、各機器のsyslogをrsyslogで1台のサーバーに集約するだけでも、インシデント調査の効率が大きく上がります。「ログが存在する状態」を作ることが最初の一歩です。
# rsyslog でリモートログを受信する設定(/etc/rsyslog.conf に追記) # UDPでsyslogを受信(ポート514) module(load="imudp") input(type="imudp" port="514") # TCPでsyslogを受信(ポート514) module(load="imtcp") input(type="imtcp" port="514")
Linuxのrsyslogやauditdの詳細な設定については、姉妹サイトLinuxMaster.JPでも関連するLinuxサーバー管理の基礎を解説しています。
【フェーズ2】Wazuh(無料)で可視化・アラートを実現する
Wazuhはオープンソースで完全無料のSIEMプラットフォームです。最低でも4コア・8GB RAMのLinuxサーバー1台があれば構築でき、エンドポイントへのエージェントインストールで各機器のログを集約できます。
Wazuhが標準搭載している主な機能はこの通りです。
・ログ収集・相関分析: ElasticsearchベースのSIEM機能
・ファイル整合性監視(FIM): 設定ファイルの改ざんを検知
・脆弱性スキャン: インストール済みパッケージの既知脆弱性を自動検出
・コンプライアンスチェック: PCI DSS・HIPAA・GDPR対応のレポート出力
【フェーズ3】Microsoft Sentinelで本格的なクラウドSIEMへ移行する
Microsoft 365 E5ライセンスを持っている、またはAzureを活用している場合は、Microsoft Sentinelとの統合が現実的な選択肢です。Defender for Endpoint、Azure AD(Entra ID)、Exchange Onlineのログを一元化し、まず「認証ログの可視化」から始めるのが効果的です。
・まずできること: rsyslogでサーバーのログを1か所に集約する
・次のステップ: Wazuh(無料)で検索・可視化・アラートを実現する
・本格導入: Microsoft SentinelやIBQ QRadarなどの商用SIEMへ移行する
よくある誤解と注意点
【誤解1】SIEMを入れれば安全になる
SIEMは「検知」ツールです。アラートが出ても、それに対応する人間がいなければ意味がありません。SIEM導入と同時に、「誰が・何時間以内に・何をするか」というインシデント対応フローを整備することが不可欠です。ツールを導入しただけで安心してしまうことが、最も危険な状態です。
【誤解2】アラートは多ければ多いほど良い
初期設定のままSIEMを使うと、大量の誤検知(フォールスポジティブ)が発生して担当者が疲弊する「アラート疲れ(Alert Fatigue)」に陥ります。ルールのチューニングは導入後も継続的に行う必要があります。特に最初の1~3か月は、ルール調整に相当な工数がかかることを前提に計画してください。
【誤解3】一度導入したら終わり
攻撃手法は日々進化します。SIEMのルールセット更新、脅威インテリジェンスの取り込み、新しいログソースの追加など、継続的な運用改善が必要です。社内リソースが不足している場合は、SOC(Security Operations Center)をアウトソースする「マネージドSIEM」サービスも有力な選択肢です。
【注意】ログを集めすぎるとコストが急増する
クラウドSIEMは従量課金のため、不要なログを全量取り込むとコストが急増します。「何のためのログか」を明確にして、分析対象を絞り込む設計が重要です。最初はファイアウォール、VPN、認証(AD/LDAP)の3つから始めることを推奨します。
本記事のまとめ
SIEMとは、組織のログを一元収集・相関分析して脅威を検知するセキュリティプラットフォームです。
| ポイント | 内容 |
|---|---|
| SIEMとは | ログ収集・正規化・相関分析・アラートを一元化するセキュリティプラットフォーム |
| 必要な理由 | 現代の攻撃は複数システムにまたがるため、個別ログ監視では全体像が見えない |
| 4つの主要機能 | ログ収集・正規化/相関分析・ルールエンジン/アラート・ダッシュボード/長期ログ保存 |
| 製品選択の目安 | 中小企業はWazuh(無料)またはMicrosoft Sentinel(従量課金)から検討する |
| SOARとEDRとの違い | SIEMで検知→SOARで自動対応。EDRはSIEMへのログ入力ソースの1つ |
| 導入時の注意 | SIEMは検知ツール。運用体制・対応フローを同時に整備することが必須 |
SIEMは「大企業だけのもの」ではなく、Wazuhのような無料ツールから段階的に始めることで、中小企業の情シス1人体制でも現実的に取り組めます。まず「ログを集める」ところから始めて、段階的にセキュリティの可視化を高めていきましょう。
SIEMの導入前に、まず「正しいセキュリティの考え方」を整理しませんか?
ツールを選ぶ前に土台となるセキュリティ知識が必要です。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
