← サイバーセキュリティ 一覧

🎓 レベル：標準　|　重要度：A（必須） 📎 前提：リスク評価と多層防御

要点（BLUF）

• 予防（第1〜6章）が破られても気づけるようにするのが監視。ログは「事後に何が起きたか」を語る唯一の証拠になることも多い。
• SIEM（Security Information and Event Management）が各所のログを集約し、横断的に相関分析して異常を浮かび上がらせる。それを SOC が監視・対応する。
• 設計の要点は3つ：何を残すか（網羅）・ログ自体をどう守るか（完全性）・どう相関させるか（文脈）。

概念：見えないものは守れない

インシデントは、検知できなければ存在しないのと同じです。気づかないまま潜伏を許せば被害が広がります。だから「起きていることを観測できる状態（可視性）」を作るのが防御運用の土台です。OWASP でも「ログと監視の不足」が独立カテゴリ（OWASP Top 10 の概観）に挙がるほど、ここの欠如は事故を深刻化させます。

監視は多層防御（リスク評価と多層防御）の検知層そのもの。ファイアウォールや IDS（IDS/IPSと検知）が個別に出す情報を、全体として意味づけする役割です。

仕組み：ログ集約から相関へ

個々のログ（認証・ネットワーク・アプリ・クラウド操作）は単独だと意味が薄い。SIEM はこれらを一か所に集め、時系列と関連で相関させて初めて見える兆候を捉えます。

• 収集：各システムのログを正規化して集約。
• 相関：異なるソースの出来事を結びつける（例：深夜の認証失敗多発 → 別アカウントでの成功 → 大量データ参照）。
• 検知：ルール（既知パターン）と振る舞い分析（平常からの逸脱、IDS/IPSと検知 の異常型と同じ発想）。
• 通知：閾値超えでアラートを上げ、SOC が確認・対応へ。

flowchart LR
    L1["認証ログ"] --> SIEM["SIEM（集約・正規化・相関）"]
    L2["ネットワーク/ファイアウォール"] --> SIEM
    L3["アプリ/クラウド操作"] --> SIEM
    SIEM -->|"ルール＋振る舞い分析"| AL["アラート"]
    AL --> SOC["SOC（人が確認・トリアージ）"]
    SOC -->|"本物の兆候"| IR["インシデント対応へ"]

仕組み：ログ設計の3要点

• 網羅（何を残すか）：認証・認可・重要操作・設定変更・例外。事後に「誰が・いつ・何を」を再構成できる粒度で。ただし機密情報やシークレット（シークレット管理）は記録しない／マスクする。
• 完全性（ログ自体を守る）：侵入者が痕跡を消せないよう、ログを改ざんされにくい場所へ集約し、追記専用にする。完全性はハッシュ・署名（対称鍵暗号とハッシュ）の発想で担保。
• 文脈（相関できる形）：時刻同期、共通の識別子、正規化。バラバラの形式では相関できない。

防御側の使い方／設定

• 重要イベントを確実に記録：認証・認可・管理操作・設定変更を網羅。AAA の Accounting（情報セキュリティとは（CIAとAAA））の実装。
• 集約して改ざん耐性を持たせる：ログを各ホストに置きっぱなしにせず中央へ。追記専用・アクセス制限。
• 相関ルール＋振る舞い分析：単発では見えない連鎖を捉える。誤検知はチューニングで管理（アラート疲れ回避）。
• 保管期間を方針化：調査に必要な期間を定め、コストと両立させる。
• アラートを対応に接続：検知を インシデント対応のプロセス に確実に流す。出しっぱなしにしない。

なぜ安全か：可視性が対応の前提を作る

監視が効くのは、早く気づくほど封じ込めが間に合い、被害が小さく済むからです。相関分析は、個別には無害に見える出来事の連鎖から侵害の物語を浮かび上がらせます。ログの完全性を守ることは、侵入者による痕跡消去を防ぎ、事後の追跡（フォレンジックの基礎）と再発防止を可能にします。可視性は、対応・復旧・学習すべての前提条件です。

仕組みの直観

ログと監視はビル全体の防犯カメラと管制室です。各階のカメラ（個別ログ）の映像を1か所（SIEM）に集め、オペレーター（SOC）が複数の映像を突き合わせて異常を判断します。「1階で不審者、5分後に5階で警報、直後に金庫室へ」という個々は小さな事象を時系列でつなぐと事件が見える。録画（ログ）は上書き・消去されないよう厳重に保管し、後の捜査に使います。

⚠️ よくある誤解・設定ミス

• ログを取っていない／見ていない：取得も監視も無ければ侵害に気づけない。重要イベントを記録し相関する。
• ログをホスト上に放置：侵入者に消される。中央集約・追記専用・改ざん耐性。
• 時刻がずれている：相関できない。時刻同期は必須。
• アラート過多で疲弊：本物が埋もれる。チューニングと優先度付け。
• 機密情報をログに出す：ログ自体が漏えい源に。マスク・除外する。

対応 lab

ログ基盤・SIEM は環境依存のため lab は置きません。ログの完全性を支える発想（一方向ハッシュ）は security-study/labs/hash_oneway_demo.py で確認できます。

関連

• 検知の構成要素 → IDS/IPSと検知
• 気づいた後の動き → インシデント対応のプロセス
• 枠組み上の位置（Detect） → セキュリティガバナンスとフレームワーク（NIST CSF 2.0）