2025年上半期の統計から振り返るSIEM分析の重要性

まず、最新のサイバー攻撃の傾向を分析する上で欠かせない指標として、「MITRE ATT&CK（マイターアタック）フレームワーク」が挙げられます。これは、サイバー攻撃を体系的に整理し、「攻撃の地図」のように可視化したものです。

このフレームワークは、横軸と縦軸で構成されています。横軸は攻撃の進行段階を示しており、左から右へと時間が流れていきます。一番左の「偵察」や「武器化」は、攻撃者がターゲットの情報を集め、攻撃計画を練る準備段階です。そして、実際に攻撃を開始する「初期アクセス」、そこから被害を拡大させていく深刻な段階へと進みます。つまり、左側は攻撃の初期段階、右側に行くほど被害が深刻化している状態を表します。

一方、縦軸には、各進行段階で使われる具体的な「テクニック（手口）」がID付きで記されています。例えば、最初の侵入である「初期アクセス」と一言で言っても、メールを送りつける方法もあれば、システムの脆弱性を突く方法もあります。このように、一つの目的を達成するために、攻撃者が取りうる様々な選択肢がテクニックとして整理されています。

今回は、Mandiant社、Red Canary社、そしてMITRE自身の3つの情報源から公表された2025年上半期のレポートを分析し、特に頻繁に利用されたテクニックをヒートマップで色付けしました。色が濃い部分ほど、多くの攻撃で使われた手口であることを示します。

この複雑な攻撃の全体像を、セキュリティ初心者の方にも分かりやすくご理解いただくため、攻撃の進行を大きく3つのフェーズに分けて考えます。これは人間の体調変化に例えると、非常にイメージしやすくなるでしょう。

第一のフェーズは「初期感染」、人間で言えば「風邪をひいた」状態です。

何らかの形で、ウイルスが体内に侵入してしまった最初の段階といえます。統計によれば、この初期感染の手口として特に多かったのが、VPN装置やルーターなど、外部からアクセス可能な機器の脆弱性を突く方法です。また、意外にもUSBメモリなどを介した物理的な接触による攻撃や、カフェなどでのPC盗難も後を絶ちません。

そして最も警戒すべきは、過去に別のサービスから漏洩したIDとパスワードを悪用し、正規のルートからログインを試みる「漏洩済みアカウントの悪用」です。その他、メール等により悪意のあるファイルを実行させるという手法も一般的です。

これらはすべて、OSに標準搭載された正規のツールを悪用する「LOTL（Living off the Land）」という手法が使われるのが特徴です。

風邪をひいた後、放置すると気管支炎や肺炎へと症状が悪化します。これが第二のフェーズ、「重篤化」です。

ITの世界では、一度侵入を許した攻撃者が、その足場を固め、より深刻な活動を行うための準備段階に入ります。具体的には、PCを再起動してもウイルスが消えないようにする「持続化」、より強力な権限を奪い取る「権限昇格」、そしてウイルス対策ソフトなどを無力化する「回避」といった行動です。最近の傾向として、ウイルスの隠蔽先がUEFIやBIOSといった、OSよりも深いシステムの根幹部分にまで及んでおり、発見がより一層困難になっています。

そして最終的に訪れるのが、第三のフェーズ、「実被害」です。

肺炎が悪化し、体に酸素が回らなくなると「臓器不全」に陥るように、組織のITシステムも致命的なダメージを受ける段階です。攻撃者はシステム内部を自由に動き回り（ラテラルムーブメント）、機密情報のありかを探し、根こそぎ盗み出します。そして最終的には、データを人質に身代金を要求するランサムウェアによって、システム全体が暗号化されるといった「インパクト」に至るのです。この段階では、メモリ空間から認証情報を直接抜き取ったり、奪い取った特権アカウントでアクセス可能なサーバーのデータをすべて破壊したりと、被害は甚大なものになります。

さて、攻撃の全体像が見えてきたところで、防御戦略について考えてみましょう。まず、攻撃者が侵入する前の「偵察」や「武器化」のフェーズです。ここでは、守る側として「自社の弱点が外部にどのように見えているか」に気づくことが重要になります。

これは、CTI（サイバー・スレット・インテリジェンス）やASM（アタック・サーフェス・マネジメント）といった製品やサービスが対応する領域です。例えば、自社で使っているIDやパスワードがダークウェブで売買されていないか、あるいは利用中のソフトウェアに未対応の脆弱性（ゼロデイ）情報が出回っていないかなどを調査し、攻撃対象となりうる弱点を事前に把握します。

しかし、これらの対策をどれだけ徹底しても、攻撃を100%防ぎきることは極めて困難です。
そこで主戦場となるのが、侵入後の黄色い枠で囲った部分のフェーズとなります。

ここで多くの企業が陥りがちなのが、対策の「偏り」です。例えば、「風邪をひかなければ、そもそも肺炎にはならない」と考え、EDR（Endpoint Detection and Response）などのさまざまなエンドポイント保護に投資を集中させる戦略です。これは一見正しく見えますが、先述したLOTLのような巧妙な攻撃の前では、侵入を完全に防ぐことはできません。

逆に、「どうせ侵入されるのだから」と、最後の砦である「実被害」フェーズの対策に注力する戦略もあります。しかし、攻撃者がここまで到達した時点で、最初のPC内の情報や、奪われたアカウントでアクセスできる範囲の情報は、すでに盗まれていると考えるべきです。その被害を切り捨てるのは、あまりにも愚かな判断だといえるでしょう。

結論として、どちらかのフェーズに偏った対策は「ほぼ不正解」です。現代の攻撃は非常に高度化・複雑化しており、どこか一つのフェーズだけで防御を頑張っても、もはや意味をなさなくなってきています。重要なのは、攻撃の連鎖全体を俯瞰し、各フェーズのログを横断的に分析することで、攻撃の兆候を早期に捉える「バランスの取れたアプローチ」です。

バランスの取れたアプローチを実現するために、具体的に何をすべきか。まず、「初期感染」と「重篤化」のフェーズでは、やはりEDR/MDR/XDRが中心的な役割を担います。ただし、ここで極めて重要なポイントがあります。それは、EDRで攻撃を検知するだけでなく、EDRが取得したログを必ずSIEMに転送するということです。

SIEMは、攻撃の後半フェーズへの対策で使われるもの、というイメージが強いかもしれませんが、それは誤解です。本来はエンドポイントの些細なログの変化も取り込み、全体像を把握するために使うべきなのです。ちなみに、より望ましいEDR製品とは、単にウイルスファイルを検知するだけでなく、プロセスの不審な挙動や設定パラメータの変更といった微細な変化までログとして記録できるものです。

ちなみに最低限このぐらいは取りましょうというログがこちらです。

ただ、これだけのものを手運用で取ることは現実的ではないですよね。なので、製品にまかせていきましょう。

そして、後半の「実被害」フェーズ。今回統計をとっていて良く分かったんですが、攻撃者が本格的な活動を開始してから、システムを破壊し尽くすまでの時間は、平均してどれくらいだと思いますか？

実は、わずか「6分」です。

皆さんの会社で定められたインシデント対応フローは、この6分以内に完了させることは可能でしょうか。答えは明白です。もはや人の手による運用で対応できるスピードを、攻撃は遥かに超えています。この領域では、テクノロジー、特にAIの力を借りるほかありません。これがSIEMです。エンドポイント、サーバー、ネットワーク機器など、組織内のあらゆるログをSIEMに集約し、AIが横断的かつ自動で分析し、異常を瞬時に検知・対応する。この仕組みを構築しなければ、高速化する攻撃には到底太刀打ちできません。

SIEMを導入すると、MITRE ATT&CKフレームワーク上の多くの攻撃テクニックをカバーできるようになります。

こちらで緑色に示した範囲が、一般的なSIEM製品で検知可能な攻撃テクニックです。ご覧いただくと分かる通り、その防御範囲は広く、一つの製品でこれだけの攻撃手法に対応できます。投資対効果が高いと言われるのも納得ですね。

しかし、同時に、オレンジ色で示された領域にも注目しなければなりません。これは、最新の攻撃で頻繁に悪用されているにもかかわらず、SIEM単体では検知が難しいテクニックです。つまり、SIEMはセキュリティ対策の強力な中核となり得ますが、決して万能薬ではないということなんです。日々のセキュリティ運用とは、いわばこの攻撃マップの空白を一つひとつ埋めていく作業です。SIEMで広い範囲を一度にカバーしつつ、それでも残ってしまう「オレンジ」の領域に対しては、別の専門的なセキュリティ製品を組み合わせて、多層的に防御していく必要があります。

そして、ここからがSIEMを選定する上で最も重要な観点となります。先ほどお見せした広大な緑色の領域は、あくまでSIEMが持つポテンシャルを最大限に引き出せた場合の話です。SIEMは分析エンジンであり、その性能はインプットされる「ログの質と量」に完全に依存します。適切な場所から、適切な形式のログが収集されていなければ、SIEMは本来の力を発揮できず、この緑色の防御範囲はどんどん狭まってしまいます。

ですから、SIEM製品を選定する際には、「どのような機器やシステムのログを、どのような形式で収集できるのか」という、ログの収集能力を必ず確認してください。多種多様なログフォーマットに対応し、組織内のあらゆるログを横断的に分析できる能力こそが、SIEMの能力を引き出すための鍵となるのです。

現代のサイバー攻撃に対抗するための本質は、突き詰めると「ログを適切にとること。それをいかに活用するか」という点に集約されます。多くの企業がログを保管していますが、何か問題が起きた後に過去の記録を遡るためだけに貯めているケースがほとんどです。これは、組織を守るための非常に重要な「資産」を、ただ寝かせているに過ぎません。一言で言えば意味がないとすらいえます。

米国のNISTが策定したサイバーセキュリティフレームワークでは、セキュリティ対策を「特定・防御・検知・対応・復旧」の5段階で定義しています。

このすべての土台となるのが、自社のIT資産を正確に把握する「特定」であり、その資産からどのようなログが出力されるかを把握し、適切に収集するという「ガバナンス」です。むしろこれができないとセキュリティもなにもありません。

この土台がしっかりと構築できているのであれば、次に取り組むべきは間違いなくSIEMの導入です。収集したログという資産をリアルタイムで分析・活用し、「防御」「検知」「対応」のフェーズを自動化・高速化することで、セキュリティレベルは飛躍的に向上します。

さらに、SIEMによるログ活用の仕組みは、セキュリティの次の潮流である「ゼロトラスト」を実現するための基盤ともなります。

ゼロトラストとは、「誰も信用しない」ことを前提に、すべてのアクセスを検証する考え方です。

その中核をなすものを「トラストアルゴリズム」といいます。これは、ユーザーがログインしてから行うすべての操作を、裏で常に点数評価し続けるようなものです。例えば、持ち点が10点満点だとします。普段日本からしかアクセスしないはずの社員が、突然海外のIPアドレスからアクセスしてきたら、「これは怪しい」と判断して点数を引きます。IDとパスワードが合っていたとしても、です。

このようにして、様々な行動ログから怪しい振る舞いを検知するたびに点数を引いていき、ある社員の信頼スコアが7点まで下がったとします。その社員が、アクセス条件として「信頼スコア9点以上」と定められている経営情報のフォルダを開こうとしたら、どうなるでしょうか。トラストアルゴリズムは「このユーザーは資格を満たさない」と判断し、アクセスを自動的に拒否するのです。

そして、このトラストアルゴリズムが判断の材料、つまりインプットとしているものこそ、ユーザーID単位で収集されたイベントログに他なりません。

つまり、やっていることはSIEMとほぼ同じなのです。SIEMによるログの収集・分析に、アクセス制御の仕組みを組み合わせたものがゼロトラスト、と考えることもできます。

だからこそ、今、SIEMを導入してログ活用の文化を根付かせることは、将来的にゼロトラストへとスムーズに移行していくための、最も確実で合理的な第一歩と言えるのです。