SIEM(Security Information and Event Management)を導入・運用するうえで、多くのセキュリティ担当者が悩むのが
「結局、どのログをSIEMに連携すべきなのか?」という点です。

ログは多ければ多いほど良いわけではありません。
SIEMでは、目的に応じて“価値のあるログ”を選択的に収集・分析することが重要です。

本記事では、SIEMに連携すべきログの種類と優先順位を、実務に即して解説します。

1. まずは「なぜログを集めるのか」を整理する

SIEMにログを連携する前に、以下の目的を明確にしましょう。

  • 不正アクセスやマルウェア感染の早期検知
  • インシデント発生時の原因調査・影響範囲特定
  • 内部不正や不審な操作の検知
  • 監査・内部統制・証跡管理への対応

この整理ができていないと、
「ログはあるが分析できない」「コストだけが増える」
という状態に陥りがちです。

2. 最優先で連携すべきログ:認証・ID関連ログ

SIEM連携で最も重要度が高いのが認証・ID関連ログです。

代表的なログ

  • Active Directory / Entra ID(旧 Azure AD)のサインインログ
  • MFA(多要素認証)の成功・失敗ログ
  • 管理者権限の付与・変更履歴

これらのログから、以下のような検知が可能になります。

  • 不審な国・IPからのログイン
  • ログイン失敗の連続(ブルートフォース)
  • 権限昇格や管理者アカウントの悪用

**「誰が・いつ・どこから・何にアクセスしたか」**は、
あらゆるインシデント調査の起点となるため、最優先で連携すべきログです。

3. エンドポイント(端末)系ログ

次に重要なのが、PCやサーバーなどのエンドポイントに関するログです。

代表的なログ

  • EDRの検知ログ(マルウェア、挙動検知など)
  • 不審なプロセス実行やスクリプト実行ログ
  • 端末隔離・ファイル隔離の履歴

これらをSIEMに連携することで、

  • 端末侵害を起点とした攻撃の可視化
  • 認証ログや通信ログとの相関分析
  • 攻撃の全体像把握

が可能になります。

EDR単体では見えない「環境全体での攻撃の流れ」を把握できる点が、SIEM連携の大きなメリットです。

4. ネットワーク・通信系ログ

ネットワーク系のログは、外部攻撃や情報漏えいの兆候把握に役立ちます。

代表的なログ

  • Firewallの通信許可・拒否ログ
  • Proxy / Secure Web Gateway の通信ログ
  • VPN / ZTNA の接続ログ

これらをSIEMに連携すると、

  • 不審な通信先(C2サーバーなど)の検知
  • 通常と異なる通信量・通信パターンの把握
  • 認証ログと組み合わせた不正利用検知

が可能になります。

ただし、通信ログは量が非常に多く、コストに直結しやすいため、
全量ではなく「セキュリティイベントに関係するログ」に絞る設計が重要です。

5. クラウド・SaaSの操作ログ

クラウドやSaaSの利用が一般化した現在、クラウド操作ログは必須です。

代表的なログ

  • Azure / AWS / GCP の管理操作ログ
  • Microsoft 365 の監査ログ(Exchange、SharePoint、Teams 等)
  • SaaS管理者による設定変更ログ

これらのログにより、

  • 危険な設定変更や権限操作
  • 不審なファイル操作・大量ダウンロード
  • 内部不正やアカウント悪用

といった事象を検知・調査できます。

特にMicrosoft 365を利用している場合、Microsoft Sentinelと連携することで
比較的容易にこれらのログを活用できます。

6. 必ずしも最初から連携しなくてよいログ

SIEM導入初期から、以下のログを無条件で連携するのは注意が必要です。

  • 詳細すぎるアプリケーションアクセスログ
  • デバッグ用途のログ
  • セキュリティ判断に使われない業務ログ

これらはコスト増加・運用負荷増大の原因になります。

SIEMでは、
「後から追加できるログは、最初は入れない」
という判断も非常に重要です。

7. 実務的なおすすめ:スモールスタート+段階的拡張

実務では、以下の順でログ連携を進めるのがおすすめです。

  1. 認証・ID関連ログ
  2. エンドポイント(EDR)ログ
  3. 重要なクラウド・SaaS操作ログ
  4. ネットワーク・通信ログ

まずは検知・調査に直結するログから始め、
運用に慣れた段階で徐々に範囲を広げることで、
失敗しにくいSIEM運用が実現できます。

まとめ:SIEMの価値は「ログ選定」で決まる

SIEMは「たくさんログを集めるためのツール」ではありません。
セキュリティ判断に必要なログを、適切な粒度で集め、分析するための基盤です。

  • 目的を明確にする
  • 優先度の高いログから連携する
  • コストと運用負荷を意識する

これらを意識することで、SIEMは強力なセキュリティ基盤になります。
ぜひ、自社環境に合わせたログ選定を進めてみてください。

Colorkrew Securityでは、Microsoftが提供するSIEMである Microsoft Sentinel について、導入から運用までを一貫してご支援しています。
取得すべきログの選定や分析方針についても、コストを考慮しながら最適な導入設計を行うことが可能です。

また、Microsoft Sentinelはログの取得を停止すれば追加の利用料金は発生しないため、
「まずは環境を構築し、どのような分析が可能かを確認したい」といったスモールスタートにも適しています。

Microsoft Sentinelの活用や導入をご検討中の方は、ぜひお気軽にご相談ください。