オーストラリア 米国他 SIEM/SOAR導入のためのガイダンス (2025.05.27)

こんにちは、丸山満彦です。

オーストラリア信号局サイバーセキュリティセンター (Australian Signals Directorate’s Australian Cyber Security Centre) が米国のCISA、英国のNCSC、カナダのCCCS、ニュージーランドのNCSC-NZに加えて、日本のNISCとJPCERT/CC、韓国のNIS、シンガポールのCSA、チェコの国家サイバー・情報セキュリティ庁(Národní úřad pro kybernetickou a informační bezpečnost: NUKIB) が共同で、SIEM/SOAR導入のためのガイダンスを３つ公表していますね...

Implementing SIEM and SOAR platforms: Executive guidance	SIEMとSOARプラットフォームの導入：エグゼクティブガイダンス
Implementing SIEM and SOAR platforms: Practitioner guidance	SIEMとSOARプラットフォームの導入：実務者向けガイダンス
Priority logs for SIEM ingestion: Practitioner guidance	SIEM に取り込むログの優先順位：実務者向けガイダンス

 

オーストラリア

● Australian Signals Directorate’s Australian Cyber Security Centre

・2025.05.27 New advice on implementing SIEM/SOAR platforms in your organisation

New advice on implementing SIEM/SOAR platforms in your organisation	SIEM/SOARプラットフォームを組織に導入するための新しいアドバイス
Today, in collaboration with our international partners, we published a series about implementing and prioritising Security Information and Event Management (SIEM) and Security Orchestration, Automation, and Response (SOAR) platforms.	本日、我々は海外のパートナーと共同で、セキュリティ情報・イベント管理（SIEM）とセキュリティ・オーケストレーション・オートメーション・レスポンス（SOAR）プラットフォームの導入と優先順位付けに関するシリーズを発表した。
Implementing SIEM and/or SOAR platforms can greatly benefit your organisation by collecting, centralising, and analysing important data that would otherwise be extremely complex and scattered. The platforms also help your organisation detect cyber security events and incidents and then prompt timely intervention through alerting and ensuring that incident responders have access to the data that records what happened.	SIEMやSOARプラットフォームを導入することは、そうでなければ非常に複雑で分散してしまう重要なデータを収集、一元化、分析することによって、組織に大きな利益をもたらす。このプラットフォームはまた、サイバーセキュリティのイベントやインシデントを検知し、アラートによってタイムリーな介入を促し、インシデント対応者が何が起こったかを記録したデータにアクセスできるようにする。
This series of publications provide advice to executives and practitioners to help entities navigate decision making around the procurement and implementation of these platforms. There are 3 publications:	本シリーズは、事業体がこれらのプラットフォームの調達と導入に関する意思決定をナビゲートするのに役立つアドバイスを、経営幹部や実務者に提供するものである。3つの出版物がある：
Implementing SIEM and SOAR platforms: Executive guidance defines SIEM and SOAR platforms, explains their value and also their challenges and provides high level recommendations for implementing them. It is written for executives, but can be used by any organisation that is considering whether and how to implement a SIEM and/or SOAR.	SIEMとSOARプラットフォームの導入：エグゼクティブガイダンスは、SIEMとSOARプラットフォームを定義し、その価値と課題を説明し、それらを導入するための高レベルの推奨事項を提供する。エグゼクティブ向けに書かれているが、SIEMやSOARを導入するかどうか、またどのように導入するかを検討している組織であれば誰でも利用できる。
Implementing SIEM and SOAR platforms: Practitioner guidance provides high-level guidance for cyber security practitioners and describes how a SIEM/SOAR can enhance visibility, detection and response as well as principles for procurement, establishment and maintenance of those platforms.	SIEMとSOARプラットフォームの導入：実務者向けガイダンスは、サイバーセキュリティの実務者向けのハイレベルなガイダンスを提供し、SIEM/SOARによってどのように可視化、検知、対応を強化できるか、また、これらのプラットフォームの調達、確立、保守の原則について説明している。
Priority logs for SIEM ingestion: Practitioner guidance provides practitioners with detailed logging guidance for specific categories of log sources, such as from Endpoint Detection and Response tools, Windows/Linux operating systems, network devices and Cloud deployments.	SIEM に取り込むログの優先順位：実務者向けガイダンスでは、エンドポイント検知・応答ツール、Windows/Linuxオペレーティングシステム、ネットワークデバイス、クラウド展開など、特定のカテゴリーのログソースに関する詳細なロギングガイダンスを提供している。
Read the publication series to learn more.	詳しくは、この出版物シリーズをお読みいただきたい。

 

Implementing SIEM and SOAR platforms: Executive guidance

SIEMとSOARプラットフォームの導入：エグゼクティブガイダンス

Implementing SIEM and SOAR platforms: Executive guidance	SIEMとSOARプラットフォームの導入 エグゼクティブガイダンス
Introduction	序論
This publication:	本書は
• explains the value of Security Information and Event Management (SIEM) and Security Orchestration, Automation, and Response (SOAR) platforms.	・セキュリティ情報・イベント管理（SIEM）およびセキュリティオーケストレーション、自動化、レスポンス（SOAR）プラットフォームの価値を説明する。
• explains how these platforms work.	・これらのプラットフォームがどのように機能するかを説明する。
• outlines their challenges.	・課題を概説する。
• provides high-level recommendations for implementing them.	・これらのプラットフォームを導入するためのハイレベルな推奨事項を提供する。
It is primarily intended for decision-makers at an organisation’s executive level but can be used by any organisation that is considering whether and how to implement a SIEM and/or a SOAR.	本書は、主に組織のエグゼクティブレベルの意思決定者を対象としているが、SIEMやSOARを導入するかどうか、またどのように導入するかを検討している組織であれば、誰でも利用することができる。
This publication is one of three in a suite of guidance on SIEM and SOAR platforms:	本書は、SIEMとSOARプラットフォームに関する3つのガイダンスのうちの1つである：
Implementing SIEM and SOAR platforms: Executive guidance	SIEMとSOARプラットフォームの導入 エグゼクティブガイダンス
This document is intented for executives. It defines SIEM/SOAR platforms, outlines their benefits and challenges, and provides broad recommendations for implementation that are relavant to executives.	本書は経営幹部向けである。SIEM/SOARプラットフォームを定義し、その利点と課題を概説し、エグゼクティブに関連する実装のための幅広い推奨事項を提供する。
Implementing SIEM and SOAR platforms: Practitioner guidance	SIEMとSOARプラットフォームの導入 実務者向けガイダンス
This document is intended for cyber security practitioners. In greater technical details, it defines SIEM/SOAR platforms, outlines the benefits and challenges, and provides best practice principles for implementation.	この文書は、サイバーセキュリティの実務者を対象としている。技術的な詳細について、SIEM/SOARプラットフォームを定義し、その利点と課題を概説し、導入のためのベストプラクティスの原則を示している。
Priority logs for SIEM ingestion: Practitioner guidance	SIEMに取り込むログの優先順位 実務者向けガイダンス
This document is intended for cyber security practitioners and provides detailed, technical guidance on the logs that should be prioritised for SIEM ingestion. It covers log sources including Endpoint Detection and Response tools, Windows/Linux operating systems, and Cloud and Network Devices.	この文書は、サイバーセキュリティの実務者を対象としており、SIEMへの取り込みのために優先すべきログに関する詳細で技術的なガイダンスを提供する。エンドポイント検知・レスポンスツール、Windows/Linux オペレーティングシステム、クラウドおよびネットワークデバイスを含むログソースを対象としている。
This guidance should also be read alongside Best Practices for Event Logging and Threat Detection, which provides high-level recommendations on developing a logging strategy.	このガイダンスは、イベントロギングと脅威検知のベストプラクティス（Best Practices for Event Logging and Threat Detection）と併せて読むべきである。
1. What is the value of SIEM and SOAR platforms?	1. SIEMとSOARプラットフォームの価値は何か？
SIEM and SOAR platforms may be components of your organisation’s logging and visibility strategy. Visibility is foundational for the detection of malicious cyber activity and is critical for an effective and holistic cyber security strategy.	SIEMとSOARプラットフォームは、組織のロギングと可視化戦略の構成要素であるかもしれない。可視化は、悪意のあるサイバー活動を検知するための基礎であり、効果的かつ総合的なサイバーセキュリティ戦略にとって不可欠である。
These platforms can:	これらのプラットフォームは以下のことができる：
• enhance the general visibility of what is happening on your organisation’s network by collecting, centralising, and analysing important, qualified event data that would otherwise be extremely complex and scattered	・そうでなければ非常に複雑で分散してしまう重要で適格なイベントデータを収集、一元化、分析することで、組織のネットワーク上で何が起きているのかの全体的な可視性を高める。
• enhance your organisation’s detection of cyber security events and incidents by generating swift alerts about suspicious activity	・疑わしい活動に関する迅速なアラートを生成することで、サイバーセキュリティイベントやインシデントの検知を強化する。
• enhance event and incident detection by preventing malicious actors from modifying/deleting certain data to maintain their access to the network, as was observed in the Volt Typhoon campaign1	・Volt Typhoonキャンペーンで観測されたように、悪意のある行為者がネットワークへのアクセスを維持するために特定のデータを変更/削除することを防止することで、イベントとインシデントの検知を強化する1。
• enhance your organisation’s response to cyber security events and incidents by prompting timely intervention through alerting and ensuring incident responders have access to data that records what happened	・アラートによってタイムリーな介入を促し、インシデント対応者が何が起こったかを記録したデータにアクセスできるようにすることで、サイバーセキュリティのイベントやインシデントに対する組織の対応を強化する。
• in the case of a SOAR, enhance event and incident response by automating certain response actions, shortening the mean time to respond, and allowing the security team to focus on more complex problems	・SOAR の場合、特定の対応アクションを自動化することでイベントとインシデントへの対応を強化し、対応までの平均時間を短縮して、セキュリティチームがより複雑な問題に集中できるようにする。
• assist with implementing the Australian Signal Directorate’s  Essential Eight Maturity Model and and the Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Performance Goals (CPGs), which both require log data to be collected and centralised.2	・オーストラリア信号局（Australian Signal Directorate）のEssential Eight Maturity Modelやサイバーセキュリティ・インフラセキュリティ庁（Cybersecurity and Infrastructure Security Agency：CISA）のCybersecurity Performance Goals（CPGs）の実施を支援する。
Consequently, these platforms can help to keep your organisation’s systems and services functioning and protect your data from unauthorised access or modification and theft.	その結果、これらのプラットフォームは、組織のシステムとサービスの機能を維持し、不正アクセスや改ざん、盗難からデータを保護するのに役立つ。
However, these benefits are only delivered where the SIEM or SOAR is properly implemented (see Section 3).	しかし、これらの利点は、SIEMやSOARが適切に実装されている場合にのみもたらされる（セクション3参照）。
2. How do these platforms work?	2. これらのプラットフォームはどのように機能するのか？
The network of a single organisation can be extremely complex, containing multiple devices, applications, operating systems and cloud services. Each of these sources within the network may also generate log data, or particular information about what is happening within the source (such as user activity on a device).	一つの組織のネットワークは非常に複雑で、複数のデバイス、アプリケーション、オペレーティング・システム、クラウド・サービスを含んでいる。ネットワーク内のこれらのソースはそれぞれ、ログデータ、つまりソース内で起きていることに関する特定の情報（デバイス上のユーザーアクティビティなど）を生成することもある。
A SIEM is a type of software platform that collects, centralises, and analyses log data.	SIEMは、ログデータを収集、一元化、分析するソフトウェアプラットフォームの一種である。
A SIEM gathers complex and dispersed log data from across the network and consolidates it into streamlined reports and dashboards. A SIEM also analyses this data through the application of rules and filters in order to detect anomalous network activity that could represent a cyber security event or incident. Many SIEM products enhance this analysis by incorporating up-to-date cyber threat intelligence from external sources. If it detects a potential event or incident, the SIEM will generate alerts, prompting the organisation’s security team to investigate and respond as necessary.	SIEMは、ネットワーク全体から複雑で分散したログデータを収集し、合理化されたレポートやダッシュボードに統合する。SIEMはまた、サイバーセキュリティイベントやインシデントを示す可能性のある異常なネットワークアクティビティを検知するために、ルールやフィルタを適用してこのデータを分析する。多くのSIEM製品は、外部ソースからの最新のサイバー脅威インテリジェンスを組み込むことによって、この分析を強化する。潜在的なイベントやインシデントを検知した場合、SIEMはアラートを生成し、組織のセキュリティ・チームが調査し、必要に応じて対応するよう促す。
A SOAR is a type of software platform that builds upon the collection, centralisation, and analysis of log data. Some SOAR platforms perform these functions themselves, while others integrate with an existing SIEM and leverage its log collection, centralisation, and analysis.	SOARは、ログデータの収集、一元化、分析を基盤とするソフトウェアプラットフォームの一種である。SOARプラットフォームには、これらの機能を自ら実行するものもあれば、既存のSIEMと統合し、そのログの収集、一元化、分析を活用するものもある。
Either way, a SOAR automates some of the response to detected cyber security events and incidents. It does so by applying predefined ‘playbooks’, which set certain actions to be taken when specific events occur, such as isolating the source of the event in the network. These automated actions do not replace human incident responders but can complement them.3	いずれにせよ、SOARは検知されたサイバーセキュリティイベントやインシデントへの対応の一部を自動化する。これは、事前に定義された「プレイブック」を適用することによって行われ、特定のイベントが発生したときに実行される特定のアクション（ネットワーク内のイベント発生源の切り分けなど）が設定される。これらの自動化されたアクションは、人間のインシデント対応者に取って代わるものではないが、彼らを補完することができる3。
3. What are the key challenges of implementing these platforms?	3. これらのプラットフォームを実装する上での主な課題は何か？
Neither a SIEM nor a SOAR is a ‘set and forget’ tool. Implementing either platform is an intensive, ongoing process that requires highly skilled human personnel. These personnel face two key technical challenges.	SIEMもSOARも「セット・アンド・フェザー」ツールではない。どちらのプラットフォームを導入するにしても、集中的かつ継続的なプロセスであり、高度なスキルを持つ人材が必要となる。これらの担当者は、2つの重要な技術的課題に直面する。
The first is ensuring that the SIEM produces alerts when cyber security events and incidents are occurring and, inversely, no alerts when no events/incidents are occurring. To achieve this, personnel need to identify the right types and quantities of log data for the SIEM to ingest, as well as the right rules and filters to apply to that data. This includes developing a threat model that defines events of interest that can trigger alerts related to the model in order to promote accurate alerting. If accurate alerting is not achieved, security teams may be operationally overwhelmed by false alerts from the SIEM or miss real events/incidents because of the absence of alerts.	1つ目は、サイバーセキュリティのイベントやインシデントが発生しているときにSIEMがアラートを出し、逆にイベントやインシデントが発生していないときにはアラートを出さないようにすることである。これを実現するために、担当者はSIEMが取り込むログデータの適切な種類と量、およびそのデータに適用する適切なルールとフィルタを特定する必要がある。これには、正確なアラート発報を促進するために、そのモデルに関連するアラートのトリガーとなる注目すべきイベントを定義する脅威モデルの開発も含まれる。正確なアラートが達成されない場合、セキュリティ・チームはSIEMからの誤ったアラートによって運用が圧迫されたり、アラートがないために実際のイベントやインシデントを見逃したりする可能性がある。
The second key technical challenge is ensuring that the SOAR only takes appropriate action in response to actual cyber security incidents, and does not take action against regular network activity or impede human incident responders. If accurate actioning is not achieved, the SOAR may significantly disrupt service delivery.	2つ目の重要な技術的課題は、SOARが実際のサイバーセキュリティインシデントに対してのみ適切なアクションを取り、通常のネットワークアクティビティに対してアクションを取ったり、人間のインシデント対応者を妨げたりしないようにすることである。正確な対処が達成されない場合、SOARはサービス提供に大きな支障をきたす可能性がある。
To meet these technical challenges, personnel must carefully configure the SIEM and/or SOAR for the unique network and organisation in which it is used. They must then continually adjust it and test its effectiveness as the network, technology, and cyber threat landscape keep changing. This ongoing work may be done internally, by an external service provider, or through some combination of the two.	このような技術的な課題を解決するために、担当者はSIEMやSOARを使用する固有のネットワークや組織に合わせて慎重に設定しなければならない。そして、ネットワーク、テクノロジー、サイバー脅威の状況が変化し続ける中で、継続的に調整し、その有効性をテストしなければならない。この継続的な作業は、社内で行うことも、外部のサービスプロバイダーが行うことも、あるいはその2つを組み合わせて行うこともできる。
Properly implementing a SIEM and/or SOAR therefore involves significant costs. These may include the upfront and sustained:	したがって、SIEMやSOARを適切に導入するには、多大なコストがかかる。これには、初期費用や継続的な費用が含まれる：
• licensing and/or data use costs of the platform	・プラットフォームのライセンス費用やデータ使用費用
• costs of hiring and retaining staff with in-demand, specialist skills in implementing a SIEM and/or SOAR	・SIEMやSOARを導入するための、需要の高い専門スキルを持ったスタッフの雇用と維持にかかるコスト
• costs of upskilling existing staff, as well as the continual training that is necessary to enable them to maintain the platform as the technology, network, and threat landscape change	・技術、ネットワーク、脅威の状況が変化する中で、既存のスタッフをスキルアップさせ、プラットフォームを維持できるようにするために必要な継続的なトレーニングのコスト
• service costs, if implementation is outsourced.	・実装をアウトソーシングした場合のサービスコスト
However, failing to detect or properly respond to a cyber security incident can be extremely costly. It may also lead to your organisation having systems taken offline, service delivery disrupted, data leaked or destroyed, and public confidence lost. For more on defining scope of implementation for your organisation, please see Implementing SIEM and SOAR platforms: Practitioner guidance.	しかし、サイバーセキュリティインシデントを検知できなかったり、適切に対応できなかったりすると、非常に大きなコストがかかる。また、組織がシステムをオフラインにされ、サービス提供が中断され、データが流出または破壊され、社会的信用が失われることにもつながりかねない。自組織への導入範囲の定義については、SIEMとSOARプラットフォームの導入を参照されたい： 実務者向けガイダンス」を参照のこと。
4. Recommendations for implementation	4. 実装のための推奨事項
Below are high-level, strategic recommendations for executives who are considering whether and how to implement a SIEM and/or SOAR. It is important to note that these platforms are just one form of technology that can collect and centralise log data and enhance incident detection – there are other options, such as log management tools.	以下は、SIEMやSOARを導入するかどうか、またどのように導入するかを検討している経営幹部に対する、ハイレベルで戦略的な推奨事項である。これらのプラットフォームは、ログデータを収集・一元化し、インシデント検知を強化する技術の一形態に過ぎないことに留意することが重要である。
a.  Consider whether you need to, and can, implement the platform in-house	a. 自社でプラットフォームを導入する必要があるか、また導入できるかどうかを検討する。
If your organisation manages sensitive information or provides critical services, it may be necessary to implement the platform in-house.	組織が機密情報を管理していたり、重要なサービスをプロバイダとして提供していたりする場合は、社内にプラットフォームを導入する必要があるかもしれない。
A key benefit of implementing a SIEM and/or SOAR in-house is that staff will generally have strong knowledge of the organisation’s unique network and business processes, as well as authority to query users about unusual behaviour and instigate incident response actions. In contrast, outsourcing can produce visibility gaps, work duplication, and communication difficulties.	SIEMやSOARを社内に導入する主なメリットは、一般的に、スタッフが認可組織独自のネットワークやビジネスプロセスに関する強力な知識を持っており、異常な行動についてユーザーに照会し、インシデント対応アクションを開始する権限を持っていることである。これとは対照的に、アウトソーシングは可視性のギャップ、作業の重複、コミュニケーションの難しさを生む可能性がある。
However, developing and retaining an in-house capability can be challenging because it is resource-intensive and these skills are in high demand. Executives should expect that multiple personnel will need to work on implementing the SIEM and/or SOAR on a full-time basis. Operating these platforms can also involve long periods of highly stressful work.	しかし、社内で能力を開発し、維持することは、リソースが集中し、これらのスキルの需要が高いため、困難な場合がある。経営幹部は、複数の担当者がフルタイムでSIEMやSOARの導入に取り組む必要があることを想定しておく必要がある。また、これらのプラットフォームの運用には、ストレスの多い作業が長時間伴うこともある。
If your organisation does outsource some or all of the implementation, the authoring agencies recommend considering whether different service providers:	導入の一部または全部をアウトソーシングする場合、作成機関は、異なるサービスプロバイダーかどうかを検討することを推奨する：
• provide a high-quality, 24/7 monitoring and incident response service	・高品質で、24時間365日の監視とインシデント対応サービスを提供している。
• are known to have good cyber security posture	・サイバーセキュリティの態勢が整っていることが知られている
• are bound by foreign data storage requirements	・外国のデータ保管要件に拘束されている
• are located in a foreign nation or have offices in foreign nations.	・外国に所在している、または外国に事務所がある。
You should also pay special attention to contractual provisions regarding:	また、以下のような契約条項にも特に注意を払うべきである：
• how the service’s effectiveness will be verified and assured	・サービスの有効性がどのように検証され、保証されるか。
• how the service provider will verify their compliance with the legislative, regulatory, and internal requirements that apply to your organisation	・サービス・プロバイダが、組織に適用される法律、規制、および内部要件に準拠していることを、どのように確認するか。
• the service provider’s skill level	・プロバイダのスキルレベル
• the services to be delivered, including use of standards, training and end user feedback	・標準の使用、トレーニング、エンドユーザーからのフィードバックなど、提供されるサービスの内容
• the degree of visibility the service provider will provide back to your organisation	・サービスプロバイダーが、どの程度の可視性を貴組織に提供するか
• the division of responsibility and liability for detecting and responding to cyber security incidents.	・サイバーセキュリティインシデントの検知と対応に関する責任と義務のディビジョン
b.  Look for potential hidden costs across different products	b. 異なる製品に潜在する隠れたコストを探す
The authoring agencies recommend carefully examining the costs involved in different SIEM and/or SOAR products. It is common for personnel to feed a SIEM increasing amounts of log data over time to improve the platform’s visibility and detection. Most SIEM pricing models are based on the quantity of data the SIEM ingests. Some products cap ingestion according to a pre-purchased amount. For products that do not, your organisation should be mindful of the potential to incur very significant costs if ingestion is not carefully managed.	作成機関は、異なるSIEMやSOAR製品に関わるコストを注意深く調べることを推奨する。SIEMの可視性と検知を改善するために、担当者は時間の経過とともに大量のログデータをSIEMに供給するのが一般的である。ほとんどのSIEMの価格モデルは、SIEMが取り込むデータ量に基づいている。製品によっては、事前に購入した量に応じてインジェストに上限を設けているものもある。そうでない製品の場合、インジェストを注意深く管理しないと、非常に大きなコストが発生する可能性があることに留意する必要がある。
The Implementing SIEM and SOAR platforms: Practitioner guidance publication provides further guidance on ways to reduce the costs of collecting, centralising, and analysing logs through these platforms, and on defining the scope of implementation for your organisation. Please also see Best practices for event logging and threat detection.	SIEMとSOARプラットフォームの導入 実務者向けガイダンスの出版物は、これらのプラットフォームを通じてログを収集、集中化、分 析するコストを削減する方法、および組織の実装範囲を定義する方法について、さらなるガイダ ンスを提供している。イベントロギングと脅威検知のベストプラクティスも参照のこと。
c.  Plan for the ongoing costs of implementation, particularly training costs	c. 導入にかかる継続的なコスト、特にトレーニングコストを計画する。
As outlined above, properly implementing a SIEM and/or SOAR involves significant upfront and sustained costs. Organisations should consult vendor documentation to determine whether alternative logging options can reduce these costs. For organisations that develop an in-house capability, the authoring agencies recommend committing significant effort and funding to continually train staff over time.	上述したように、SIEM や SOAR を適切に導入するには、多額の初期費用と継続費用がかかる。組織は、代替のロギングオプションがこれらのコストを削減できるかどうかを判断するために、ベンダーの文書を参照すべきである。社内で能力を開発する組織の場合、作成機関は、時間をかけて継続的にスタッフを訓練するために、多大な努力と資金を投入することを推奨する。
d.  Properly implement a SIEM before you consider implementing a SOAR	d. SOARの導入を検討する前に、SIEMを適切に導入する。
In general, it is necessary to properly implement a SIEM and ensure it is accurately alerting you to cyber security events and incidents before implementing a SOAR.	一般に、SOARを導入する前に、SIEMを適切に導入し、サイバーセキュリティのイベントやインシデントを正確にアラートしていることを確認する必要がある。
e.  Ensure the performance of the platform(s) is tested	e. プラットフォームのパフォーマンスがテストされていることを確認する。
It is essential to establish internal processes and procedures for testing whether the platform is effectively alerting you to cyber security events and incidents, as continual changes in networks, technologies and the cyber threat landscape will affect performance.	ネットワーク、テクノロジー、サイバー脅威の状況は絶えず変化しているため、プラットフォームがサイバーセキュリティイベントやインシデントに対して効果的にアラートを発しているかどうかをテストするための内部プロセスと手順を確立することが不可欠である。
Once a mature SIEM and/or SOAR capability has been established, the authoring agencies recommend testing performance by using an external professional service capability, such as penetration testing. The authoring agencies recommend researching different SIEM and/or SOAR vendors that best suit the needs of your organisation.	成熟したSIEMおよび/またはSOAR機能が確立されたら、作成機関は、侵入テストなどの外部専門サービス機能を使用してパフォーマンスをテストすることを推奨する。作成機関は、組織のニーズに最も適したさまざまなSIEMベンダーやSOARベンダーを調査することを推奨する。
Endnotes	注釈
1 See Identifying and Mitigating Living Off the Land Techniques | Cyber.gov.au	1 「現地調達手法の識別と緩和」｜Cyber.gov.au を参照のこと。
2 Please note that SIEMs are not the only tool that can collect and centralise log data, so if this is your organisation’s primary concern, other tools might be more cost-effective. In particular, CISA’s Logging Made Easy (LME) is a no cost, open source platform that centralises log collection. LME is intended for small- and medium-size organisations that need a log management and threat detection system; do not have an existing security operations centre (SOC), SIEM solution, or log management and monitoring capabilities; and/or work within limited budgets, time or expertise to set up and manage a logging and threat detection system. To get started with LME, download it directly from CISA’s LME GitHub page. See Implementing SIEM and SOAR platforms: Practitioner guidance for further details.	2 ログデータを収集し、一元管理できるツールはSIEMだけではないことに注意。特に、CISA の「Logging Made Easy」（LME）は、ログ収集を一元化するオープンソースの無償プラットフォームである。LME は、ログ管理・脅威検知システムを必要とする中小規模の組織、既存のセキュリティ・オペレーション・センター（SOC）、SIEM ソリューション、ログ管理・監視機能を持たない組織、ロギング・脅威検知システムを構築・管理するための予算や時間、専門知識が限られている組織を対象としている。LME を使い始めるには、CISA の LME GitHub ページから直接ダウンロードする。SIEM と SOAR プラットフォームの実装を参照のこと： 詳細は、実務者向けガイダンスを参照のこと。
3 Please note that SIEMs and SOARs are just one form of detection technology. Other forms, such as canary technology, are not discussed here.	3 SIEM や SOAR は検知技術の一形態に過ぎないことに注意。カナリア技術などの他の形態については、ここでは説明しない。

 

 

 

 

Implementing SIEM and SOAR platforms: Practitioner guidance

SIEMとSOARプラットフォームの導入：実務者向けガイダンス

Introduction	序論
1. Defining SIEM and SOAR platforms	1. SIEMとSOARプラットフォームの定義
What is a SIEM platform?	SIEMプラットフォームとは何か？
What is a SOAR platform?	SOARプラットフォームとは何か？
2. Potential benefits of SIEM and/or SOAR platforms	2. SIEMおよび/またはSOARプラットフォームの潜在的なメリット
Enhancing visibility	可視性の向上
Enhancing detection	検知の強化
Enhancing response	レスポンスの強化
3. Challenges of implementing SIEM and/or SOAR platforms	3. SIEM/SOARプラットフォーム導入の課題
Normalisation of ingested data	取り込まれたデータの正規化
Collection coverage across the environment	環境全体の収集範囲
Log centralisation versus log analysis	ログの一元化とログの分析
Achieving effective log analysis	効果的なログ分析の実現
The risks of automating responses	自動応答のリスク
Resource intensity	リソース集約
4. Best practice principles for implementing a SIEM and/or SOAR	4. SIEMやSOARを導入するためのベストプラクティスの原則
Principles for procurement	調達の原則
Principles for Establishment	構築の原則
Principles for maintenance	保守の原則
ANNEX A: SIEM architecture patterns	附属書A：SIEMアーキテクチャパターン
ANNEX B: Pre-processing methods	附属書B: 前処理方法
1. Source log separation	1. ソースログの分離
2. Replication point pre-processing	2. 複製ポイントの前処理
3. SIEM ingestion	3. SIEMへの取り込み
Footnotes	脚注

 

 

Priority logs for SIEM ingestion: Practitioner guidance

SIEM に取り込むログの優先順位：実務者向けガイダンス

Introduction	序論
This series of documents	この一連の文書
Risk considerations	リスクに関する考察
Architectural considerations	アーキテクチャに関する考察
Prioritised logging list	ロギングの優先順位リスト
Priority logs for SIEM ingestion footnote legend	SIEM取り込みのための優先ログ脚注凡例
Detailed logging guidance	詳細なロギングガイダンス
1. Endpoint detection and response (EDR) logs	1. エンドポイントの検知と対応（EDR）のログ
2. Network device logs	2. ネットワークデバイスのログ
3. Microsoft Domain Controller	3. マイクロソフト・ドメイン・コントローラー
4. Active Directory (AD) and Domain Service Security Logs	4. Active Directory（AD）とドメインサービスのセキュリティログ
5. Microsoft Windows endpoint logs	5. Microsoft Windowsのエンドポイントログ
6. Virtualisation system logs	6. 仮想化システムのログ
7. Operational technology logging	7. 運用技術のログ
Logging priorities for cloud computing	クラウドコンピューティングにおけるログの優先順位
Amazon Web Services logs	アマゾンウェブサービスのログ
Critical Azure service and app logs	クリティカルなAzureサービスとアプリのログ
Google Cloud Platform (GCP) logs	Google Cloud Platform（GCP）のログ
Google Workspace (GWS) logs	グーグル・ワークスペース（GWS）のログ
8. Container logs	8. コンテナのログ
9. Database Logs	9. データベースのログ
10. Mobile device management	10. モバイルデバイス管理
11. Windows DNS server analytic event logs	11. Windows DNSサーバー分析イベントログ
12. Linux endpoint auditing logs	12. Linuxエンドポイント監査ログ
13. Apple MacOS endpoint logs	13. アップルMacOSエンドポイントログ
Reference and resource annex	参考文献とリソース附属書
Active directory group policy changes	アクティブ・ディレクトリのグループ・ポリシーの変更
Windows Endpoint Group Policy Changes	Windowsエンドポイントグループポリシーの変更
Domain Controller Group Policy Changes	ドメインコントローラーグループポリシーの変更
Footnotes	脚注

 

 

 

 

米国

● CISA

・2025.05.27 New Guidance for SIEM and SOAR Implementation

・2025.05.27 Guidance for SIEM and SOAR Implementation

 

ニュージーランド

● NCSC-NZ

・2025.05.27 Joint Guidance: Implementing SIEM and SOAR platforms

 

チェコ...

● Národní úřad pro kybernetickou a informační bezpečnost: NUKIB

・2025.05.27 NÚKIB se zahraničními partnery spolupodepsal dokumenty zaměřené na platformy SIEM a SOAR