SIEMログ設計とSOC運用の入口

この記事の位置づけ

この記事では、SIEM/SOC設計のうち「どのログを、何のために集めるか」を扱います。

相関分析、閾値、検知ルールの設計は SIEM検知ルールと相関分析の設計 に分けます。検知後の隔離、復旧、証跡保全は SOCアクション設計 に分けます。

要旨

SIEMはログ保管庫ではありません。ログを大量に集めても、検知、判断、封じ込め、復旧、事後調査につながらなければSOC運用の負荷だけが増えます。

設計時に最初に決めるべきことは、次の順番です。

1. 何を検知したいか。
2. そのためにどのログが必要か。
3. どのログ同士を突合するか。
4. どの条件でアラートにするか。
5. アラート後に誰が何をするか。
6. どの証跡を保全するか。

NIST SP 800-92は、ログ管理を組織的に設計、実装、維持するためのガイダンスです。NIST SP 800-61 Rev.3は、インシデント対応を検知、対応、復旧を含むリスク管理活動として扱っています。¹²

よくある失敗

SIEM導入で起きやすい失敗は、ログ収集を目的化することです。

失敗	問題
とりあえず全ログを入れる	費用とノイズが増え、重要アラートが埋もれる
製品デフォルトルールに任せる	自社の資産、業務、例外送信元を反映できない
アラート後の動きが未定義	SOCが確認しても封じ込めや復旧へ進まない
証跡保全が後回し	後から調査に必要なログが残っていない
監視対象の優先度がない	重要システムと低リスク環境が同じ扱いになる

ログは「見るため」ではなく「判断するため」に集めます。

最初に優先するログ

最初から全ログをSIEMへ入れる必要はありません。優先度は、初期侵入、認証突破、横展開、外部通信、重要操作を説明できるかで決めます。

優先度	ログ	主な用途
最優先	IdP、AD/Entra ID、MFA、VPN	不正ログイン、パスワード攻撃、MFA疲労攻撃
最優先	EDR	プロセス実行、ファイル作成、隔離判断
最優先	クラウド監査ログ	権限変更、API実行、鍵作成、監査設定変更
高	DNS、Proxy、FW	C2通信、不審サイト接続、外部送信
高	WAF、CDN、Webサーバ	公開Webへのスキャン、攻撃試行
高	重要SaaS監査ログ	共有、外部公開、管理者操作、データ持ち出し
補助	資産台帳、脆弱性情報、人事イベント	重大度調整、対象者確認、文脈付け

CISAなどの共同ガイダンスでも、イベントログの集中収集、相関、完全性、脅威検知戦略が重要な要素として整理されています。³⁴

ログを集める目的

ログの目的は、フェーズごとに変わります。

フェーズ	ログの目的	例
予兆検知	攻撃準備や初期侵入の兆候を見る	スキャン、認証失敗、フィッシングクリック
侵害検知	成功後の不審行動を見る	深夜ログイン後の権限変更、異常なダウンロード
封じ込め	止める対象を決める	端末、ID、送信元IP、APIキー、共有リンク
復旧	安全な状態に戻ったことを確認する	再スキャン、設定復旧、セッション失効
事後調査	時系列で説明する	初期侵入、横展開、外部送信、対応履歴

同じログでも、検知だけでなく復旧や監査説明に使うことがあります。ログ設計では、検知条件だけでなく、後から説明できる粒度と保存期間も決める必要があります。

ログ設計時の確認項目

ログをSIEMへ入れる前に、次を確認します。

確認項目	見ること
主体	誰が、どのIDが、どのサービスアカウントが操作したか
対象	どの資産、ファイル、設定、API、ユーザーに対する操作か
操作	ログイン、変更、削除、作成、共有、ダウンロードなど
結果	成功、失敗、拒否、部分成功、エラー
時刻	タイムゾーン、時刻同期、遅延、取り込み時刻
送信元	IP、ASN、国地域、端末、User-Agent
関連ID	セッションID、リクエストID、チケットID、端末ID
保全	保存期間、改ざん耐性、原本参照、アクセス権

不足しやすいのは、主体、対象、結果の組み合わせです。たとえば「ログイン成功」だけでは、どの端末から、どのセッションで、その後に何をしたかを追えない場合があります。

優先順位の決め方

ログ取り込みの優先順位は、次の3軸で決めます。

軸	質問
リスク	侵害された場合の影響が大きいか
検知価値	攻撃シナリオの判断に使えるか
運用可能性	SOCが確認し、対応できる粒度か

すぐに全対象へ広げるより、重要システム、共通ID基盤、クラウド管理面、公開Web、重要SaaSから始める方が現実的です。

次に読む

• SIEM検知ルールと相関分析の設計
• SOCアクション設計

まとめ

SIEM設計の入口では、ログ量ではなく判断可能性を重視します。

重要なのは、攻撃仮説から必要なログを逆算し、検知、封じ込め、復旧、事後調査へつながる形でログを集めることです。

参考資料（出典）

Footnotes

1. NIST, SP 800-92, Guide to Computer Security Log Management（2006）。組織全体のログ管理を設計、実装、維持するためのガイド。 https://csrc.nist.gov/pubs/sp/800/92/final ↩

2. NIST, SP 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management（2025）。インシデント対応をサイバーセキュリティリスク管理活動に統合するための推奨事項。 https://csrc.nist.gov/pubs/sp/800/61/r3/final ↩

3. CISA, Best Practices for Event Logging and Threat Detection（2024）。イベントログ、集中収集、相関、完全性、脅威検知に関する共同ガイダンス。 https://www.cisa.gov/resources-tools/resources/best-practices-event-logging-and-threat-detection ↩

4. Canadian Centre for Cyber Security, Best practices for event logging and threat detection（2024）。イベントログと脅威検知に関する共同ベストプラクティス。 https://www.cyber.gc.ca/en/news-events/best-practices-event-logging-and-threat-detection ↩