STOP Inc.

セキュリティ監視と脅威検知の実践

2026.02.14
#SIEM #SOC運用 #インシデント対応 #サーバ監視 #セキュリティ監視 #ログ分析 #脅威検知
セキュリティ監視と脅威検知の実践

セキュリティ監視と脅威検知の実践

攻撃面の棚卸しと観測点の設計

脅威検知は「どこを見て何を異常とみなすか」を最初に固めると、あとが楽になります。資産台帳を更新し、公開ポート、管理系(RDP/SSH/管理コンソール)、認証経路、データ出入口(S3/共有ストレージ/メール)を洗い出します。MITRE ATT&CKで横展開(Lateral Movement)や認証情報窃取(Credential Access)に該当する手口に対し、対応する観測点をマッピングすると抜け漏れが減ります。目標値は「MTTD(検知時間)」「MTTA(対応開始)」「MTTR(復旧)」を数値で置き、最初はMTTD=60分以内など達成可能な水準から始めます。ログは“全部集める”より“検索しやすく異常が立つ”ものに絞り、メタデータ(ユーザー、IP、プロセス、地理、デバイス)を欠かさないのが要点です。

最低限のログセット

  • 認証・認可系:SSO/IdPの成功・失敗、MFA結果、特権昇格
  • エンドポイント:プロセス生成、権限変更、ドライバ読み込み
  • ネットワーク:フロー、DNS、プロキシ、異常転送量
  • アプリケーション:エラー率、管理API呼び出し、Webhook改変
  • クラウド制御面:IAM変更、鍵発行、ストレージ公開設定

ルールと振る舞いの二段構えで外す

検知はシグネチャ(既知の悪)と振る舞い(文脈の異常)を組み合わせます。前者はSigmaやYARA-Likeなルールで「管理者の深夜sudo」「海外からの連続MFA失敗」「特定端末からの大量S3 GET」などを明文化。後者はベースライン学習で「普段のログイン国・時間帯・端末」を把握し、スライディングウィンドウで逸脱を検知します。例えば「通常は日本からだが、同一ユーザーが15分内に別大陸から成功」を相関させると、単発の失敗/成功では見えない不審が浮きます。通知は重大度とプレイブック紐づけを必須にし、チケット起票・隔離・連絡先まで自動化。ChatGPTやClaudeを使ってルールの説明文や一次トリアージ手順のドラフトを生成し、人手で最終整備すると運用ドキュメントが枯れません。

アラートを現場で回すチューニング手順

  1. 仮説作成:攻撃ストーリー→観測点→しきい値を紙に書く
  2. 小さく導入:対象範囲を1部門/10台に限定し誤検知率を測定
  3. 調整:除外条件(バックアップ窓、保守元IP)を加える
  4. SLA化:重大は5分通知・1時間内初動などを明文化
  5. 棚卸し:使われないアラートは無効化、重要は自動化に昇格

対応を速くする運用器具

検知だけでは終わりません。対応を標準化するため、プレイブック(SOP)を短文で作り、コマンド例・ロールバック手順・関係者を1ページに集約します。SOARがなくても、Webhookでチケット起票、隔離スクリプト実行、関係者Slack通知までをワンボタン化するとMTTAが縮みます。ダッシュボードは「今の未処理アラート数」「重大アラート経過時間」「今週の誤検知率」「MTTD/MTTRトレンド」を固定で掲示。変更管理とも結びつけ、リリース窓はアラート評価を緩和、計画外変更は強化などのルールにします。コード化も効果的で、CopilotでログパーサやLambda自動隔離関数の雛形を素早く整え、レビューで安全性を担保する流れが現実的です。

ログの保存戦略とコスト

  • ホット/ウォーム/コールド分離:直近30日は全文検索、以降は圧縮と低頻度ストレージ
  • フィールド設計:検索キー(ユーザー/ホスト/URI/IOC)は必ずインデックス
  • サンプリング:高頻度メトリクスは秒→分集約、異常時のみ原本退避
  • 保持方針:法令・監査要件を満たしつつ匿名化・マスキングを適用

身近な企業活用例:EC中堅「カラメル商事」の失敗と再起

従業員200名のEC企業カラメル商事は、オンプレ基盤とクラウドのハイブリッド。SIEMにあらゆるログを流し込んだ結果、日次3000件のアラートで疲弊し、実際のクレデンシャルスタッフィングを見逃して一部顧客の不正転売を許してしまいました。再設計では、まず攻撃面を棚卸しし、12本の優先検知に絞りました。「海外からの連続MFA失敗→同ユーザーの成功」「管理APIキー発行後24時間以内の大量在庫更新」「決済ゲートウェイ設定変更→Webhook URL差し替え」を相関。ベースラインで通常ログイン国と時間帯を学習し、逸脱のみを通知する方式に変更しました。

運用面では、重大度ごとにSOPを1枚に集約。初動は「該当アカウントのトークン失効→強制パスワードリセット→影響範囲検索→顧客通知案内」を定型化。ChatGPTでSOPの叩き台を生成し、法務とCSが加筆。分析クエリはGeminiに自然言語からSQL雛形を作らせてBigQueryに貼り、検知までの時間を短縮。隔離用のLambdaスクリプトはCopilotで雛形を書き、コードレビューで権限最小化を徹底しました。週次の誤検知レビューでは、保守ベンダーIPと定期バッチを除外条件に追加。結果として、アラートは日次3000→180件、誤検知率は-60%、MTTDは9時間→25分、MTTRは2日→4時間に短縮。週末の当直でも回る運用に改善しました。追加施策として、Claudeでインシデント要約を自動作成し、経営向け報告の作成時間も半減しました。

セキュリティ監視は、観測点の設計、シグネチャと振る舞いの二段構え、SOPと自動化の地道な積み上げで初めて実効性が出ます。サーバの可用性監視と同じ土台(メトリクス、ログ、オンコール、変更管理)を活かせるため、サーバ監視運用事業の延長線で自然に組み込めます。性能も安全も「見える化→基準化→自動化→継続改善」という同じリズムで前に進みます。

関連記事