能動的サイバー防御とSIEMの親和性 ~ログ解析の決定的役割~
2022年に公開した前回の記事では、サイバー攻撃への備えとして「可視化と検知」の重要性に触れました。
しかし、現在サイバー攻撃はますます巧妙化・高速化しており、攻撃を受けてから対応する「受動的防御」だけでは十分に対処できない時代に入っています。
2025年には、政府主導による新たな枠組み「能動的サイバー防御」が法制化され、国家レベルでのセキュリティ対策にも大きな変化が見られます。
本記事では、こうした最新の政策動向を踏まえつつ、能動的防御を支えるSIEMやXDRの役割、さらにその基盤となる 「ログ解析」の重要性に焦点を当て、具体的なアプローチを分かりやすく解説します。
「能動的サイバー防御」関連法が成立
2025年5月16日、能動的サイバー防御の導入に向けた関連法案が参院本会議で可決・成立しました。
これは、日本の安全保障や経済に不可欠なシステム(=重要電子計算機)を、巧妙化するサイバー脅威から守るための制度改革です。
■法律のポイント
本法律の柱は大きく分けて2つあります。
攻撃インフラへの迅速な対処
警察
国民への重大な危害が想定される緊急時には、攻撃元サーバーの管理者に対処を命じたり、自ら無害化措置を実施できるようになります。
自衛隊
国家規模の重大攻撃に対し、警察と連携しながら通信の防護に取り組むことが可能になります。
第三者によるチェック体制
新設される「サイバー通信情報監理委員会」(第三者機関)が承認・監督を担い、権限の濫用を防ぎます。
国家の重要インフラに対するサイバー攻撃を阻止するため、攻撃の兆候を検知し、攻撃元サーバーに侵入・無害化するといったように、政府が「予防的」「能動的」に動けるよう法整備が進んだことは、大きな転換と言えるでしょう。
法案成立による企業への影響
法案成立によって、政府のサイバー攻撃に対する防御体制に大きな変化が生じることを紹介しましたが、企業にはどのような影響があるのでしょうか。
基幹インフラ事業者に対しては、インシデントやその原因となり得る事象を発見した場合、事業所管大臣および内閣総理大臣に報告する義務があると明記されています。また、インシデント報告等を怠り、是正命令を受けてもなお対応しない場合は200万円以下の罰金が科される可能性があります。
■政府が提供するサイバー防御情報
基幹インフラ事業者は政府が収集・分析した高度なサイバー防御情報を受け取ることができるようになります。
総合整理分析情報
基幹インフラ事業者から報告されたインシデント情報や、政府が取得・選別した通信情報、その他情報を統合し、整理・分析したものです。
協定(同意)に基づく通信情報の分析結果
基幹インフラ事業者が政府と協定を結び、通信情報を提供した場合、それに対する分析結果がフィードバックされます。
脆弱性情報
政府から基幹インフラ事業者に対し、脆弱性情報の提供を受けることができます。
現時点では基幹インフラ事業者のみを対象としていますが、経済安全保障などの観点から、将来的に対象が拡大し、他の企業も政府からサイバー防御に関する情報を受け取ることができるようになる可能性があります。
また、この法案が成立した背景には、サイバー脅威がより深刻化している状況があることから、現時点で対象となっていない組織においてもサイバーセキュリティに対する対策方法の見直しを行う意義は大きいと考えられます。
能動的サイバー防御とは?
サイバーセキュリティ対策を見直すにあたり、まずは「能動的サイバー防御」という用語について整理しておきましょう。従来の受動的な防御との違いを踏まえつつ、その主な手法について確認していきます。
■受動的防御との違い
従来の防御は、攻撃を受けてから対応する“受動型”が中心でした。それに対し「能動的サイバー防御」は、攻撃が発生する前に兆候をとらえ、先手を打つことを目的としています。
受動型防御 | 能動的サイバー防御 | |
アプローチ | 攻撃後に対応 | 攻撃前に兆候を察知・介入 |
目的 | 被害最小化 | 被害の未然防止 |
主な手法 | IDS/IPS、ファイアウォール、EDR | 脅威ハンティング、行動分析(UEBA) |
■主な手法
「能動的サイバー防御」で活用される代表的な手法は次のとおりです。
脅威ハンティング
既知の攻撃パターンに依存せず、ログや挙動を人とAIが能動的に分析し、潜在的な兆候を発見します。UEBA(User and Entity Behavior Analytics)
機械学習によって「通常の挙動」を学習し、逸脱した行動を自動で検知。不正アクセスや内部不正の兆候を早期に発見します。
SIEMが果たす役割
「能動的サイバー防御」を実現するうえで欠かせないのがSIEMです。
“SIEM(Security Information and Event Management)”は、組織内に散在するセキュリティデータを集約・可視化・分析する、まさに「情報基盤」と言える存在です。
SIEMの基本機能は、サーバーやクラウドファイアウォール、EDRなど多様なログを一元的に収集・正規化し、相関分析によって異常を洗い出すことで、脅威の兆候を早期に可視化することにあります。
近年では、機械学習を活用した次世代SIEMが注目されており、従来型に比べて脅威の早期発見能力が大幅に向上しています。
具体的な進化のポイントは以下のとおりです。
UEBAとの連携
人では気付きにくい“異常の兆し”を機械学習で自動的に検出します。SOAR(Security Orchestration, Automation and Response)との統合
検知後の初動対応(端末の隔離、通知など)を自動化し、迅速な対応を可能にします。※SOARとは、セキュリティ運用業務の効率化や自動化を実現するための技術・ソリューションで、事前定義されたプレイブックに沿ってインシデント対応を実施し、情報収集や初期調査、状況報告を行います。
このような機能を備えたSIEMは、組織全体のセキュリティ状況を統合的に管理することができます。
XDRによる迅速な検知と対応
SIEMと同様に、XDRも「能動的サイバー防御」の実現には欠かせない存在です。
XDR(Extended Detection and Response)は、SIEMと補完関係にある次世代の検知・対応ソリューションで、より迅速かつ精密な脅威対応を可能にします。
■SIEMとの違い
XDRは主にエンドポイントやクラウド環境における脅威の検出に特化しており、収集するデータの範囲はSIEMよりも狭い分、より高密度で詳細な情報を取得できます。
一方、SIEMは組織全体のログを統合的に管理し、長期間のデータ保管やシステム横断での調査に強みがあります。そのため、XDRとSIEMは互いに補完し合う関係にあります。
SIEM | XDR | |
目的 | 可視化・監査 | 検知・即応 |
データ | ログ(幅広い) | テレメトリ(高密度) |
特徴 | 分析・統合に優れている | 相関分析と自動対応に優れている |
■XDRの強み
XDRは迅速な検知と対応を得意としています。AIを活用した相関解析やアラート統合によって、脅威を早期に特定し、効率的に対応可能です。
テレメトリの自動相関
端末・クラウド・ネットワークなど、多層の情報をAIが解析し、脅威の兆候を自動で関連付けます。
アラートの統合
複数の関連アラートを1つのインシデントとして統合処理することで、MTTD(平均検知時間)やMTTR(平均対応時間)の短縮が可能です。
このようにXDRは「即応エンジン」として迅速な脅威検知を実現し、SIEMは「情報基盤」として全体の可視化・分析を担います。両者を連携させることで、組織全体のサイバー防御力が飛躍的に向上します。
ログ解析が支える能動的サイバー防御
能動的サイバー防御を支える中核が、SIEMやXDRを活用したログの解析です。
ログは、ネットワークや端末の振る舞いを「証拠」として残す唯一無二のデータ資源です。能動的サイバー防御においては、このログをどれだけ迅速かつ深く、そして相関的に解析できるかが、セキュリティ防御の成否を左右します。
■ログ解析の重要性とは?
攻撃者の痕跡は必ずどこかに残ります。システムに侵入した直後から、通常では発生しないログイン試行や不自然なデータ転送などの兆候が記録されます。
こうした初期段階の「異常」を見逃さないためには、日々のログを単に集約するだけでなく、定期的な監視と解析が不可欠です。
■単体のアラートでは見えない“関連性”を浮かび上がらせる
複数のログを「相関分析」することで、SIEMやXDRは真価を発揮します。
単独では気付きにくい小さな異常も、関連付けることで 「攻撃の全体像」として把握でき、迅速な対応につなげることができます。
■インシデント後の調査(フォレンジック)にも不可欠
万が一、インシデントが発生しても正確なログが残っていれば「何が、いつ、どこで起きたのか」を追跡可能です。これにより、再発防止策の策定や、責任の所在の明確化も滞りなく行うことができます。
■ログ解析の活用事例
事例①:攻撃者の横展開を可視化
端末間の通信ログを解析することで、攻撃者が侵入後に他の端末へ拡散する「水平展開(ラテラルムーブメント)」の経路を可視化できます。これにより、被害の拡大を未然に防ぐ判断が可能となります。
事例②:フィッシング攻撃の早期兆候把握
「ログイン失敗の急増」や「外部との不審な通信の増加」など、複数の小さなサインを関連付けることで、フィッシング攻撃の初期段階での対処が可能になります。
また、ログを継続的にモニタリングすることで、サイバー攻撃の調査だけでなく、退職予定者による大量データ持ち出しや、業務時間外の不審なアクセスなど、内部不正につながる異常な行動パターンを早期に検知できます。
まとめ
サイバーセキュリティは従来の“受け身”の対応から“先手を打つ能動的防御”へと大きく転換しています。
その中核を担うのが、ログを中心とした”能動的”な監視・解析の仕組みです。
SIEM
組織全体のログを統合・分析し、セキュリティ状況を俯瞰する「情報基盤」
XDR
高精度な検知と自動対応を可能にする「即応エンジン」
ログ解析
単体では見えない兆候を相関的に把握し、“気づき”に変える「知見の源」
さらに、実際の事例からも分かるとおり、ログの活用は現実の脅威への即応力向上に直結します。
能動的サイバー防御を実現する第一歩は、自社が持つログをどれだけ有効に活用できているかを把握することです。
いまこそ、ログを「溜める」だけでなく「活かす」運用へと転換する時期です。本記事を機に、貴社のセキュリティ運用の見直しを検討してみてはいかがでしょうか?
関連サービス
