SIerのブラックボックスから脱却する:オープンソースで構築する中小企業向けSOCアーキテクチャ
なぜ日本の中小企業はセキュリティ監視で損をしているのか
情報システム部門の担当者であれば、次のような状況に心当たりがあるだろう。
経営層からは「セキュリティをしっかりやれ」と言われる。しかし予算は限られている。大手SIerに相談すれば、マネージドSOCサービスの見積もりが月額数十万円から届く。契約期間は3年。何が監視されているかは月次レポートでしかわからない。アラートの内容を自分で確認したければ、別途問い合わせが必要だ。
これは、セキュリティ監視が「コンプライアンスのためのチェックボックス」として設計されてきた時代の遺産である。ベンダーの運用効率を優先した構造であり、クライアント側の可視性や柔軟性は二の次にされてきた。
脅威の実態はすでに変わっている。攻撃者は大企業のセキュリティが強固であることを知っており、そのサプライチェーンに連なる中堅・中小企業を経由路として狙う。経済産業省の「中小企業の情報セキュリティ対策ガイドライン」も改訂を重ね、中小企業に対してより積極的な対策を求めている。
本稿では、オープンソースツールと自社開発の統合レイヤーを組み合わせた、現実的かつ拡張性の高いSOCアーキテクチャを紹介する。
アーキテクチャの全体像
本構成は4つの独立したレイヤーで成立している。各レイヤーは単独でも機能するが、組み合わせることで検知・対応能力が大幅に向上する。
flowchart TD
subgraph SOURCES["ログソース"]
FW["FortiGate FW\nsyslog UDP 514"]
WIN["Windows / AD\nSysmon / WinEvt"]
VPN["FortiGate VPN"]
VM["VMware"]
end
subgraph WAZUH["Wazuh SIEM"]
MGR["Wazuh Manager\nカスタムルール A1–C3\nデコーダー / CDB IOCリスト"]
IDX["OpenSearch Indexer\nwazuh-alerts-*"]
MGR -->|インデックス書き込み| IDX
end
subgraph INTEGRATOR["SOC-INTEGRATOR(FastAPI :8088)"]
WORKER["自動同期ワーカー"]
NORM["正規化処理"]
ENRICH["IOCエンリッチメント\nVirusTotal · AbuseIPDB"]
CORR["相関検知エンジン\nC1 不可能移動\nC2 時間外アクセス\nC3 ラテラルムーブメント"]
GEO["GeoIP API\nipwhois"]
KPI["KPI / SLAエンジン"]
PG["PostgreSQL\nioc_trace"]
WORKER --> NORM
NORM --> ENRICH
NORM --> CORR
CORR --> GEO
CORR --> KPI
CORR --> PG
end
subgraph TI["脅威インテリジェンスフィード(定期更新)"]
FEEDS["Feodo Tracker · URLhaus\nThreatFox · MalwareBazaar"]
end
subgraph DOWNSTREAM["下流システム"]
IRIS["IRIS-web\nアラート・ケース :8443"]
SOAR["Shuffle SOAR\nワークフロー :3001"]
PD["PagerDuty\n(任意のWebhook)"]
TIAPI["VirusTotal / AbuseIPDB API"]
end
FW & WIN & VPN & VM --> MGR
IDX -->|60秒ごとにポーリング| WORKER
ENRICH -->|リアルタイム照会| TIAPI
FEEDS -->|CDBリスト更新| MGR
KPI --> IRIS
IRIS --> SOAR
SOAR --> PDレイヤー1:Wazuh — 検知の基盤
WazuhはSIEM基盤としてログ収集・初期検知を担う。オープンソースでありながら商用SIEMと比較して遜色のない検知能力を持ち、本構成では以下のログソースを対象とする。
- FortiGate ファイアウォール — syslog(UDP 514)経由
- Windows / Active Directory — Sysmon・Windows イベントログ
- FortiGate VPN — VPNログイン・セッション情報
- VMware — プラットフォームイベント
カスタム検知ルールは6つの対象領域をカバーする。
| ルールID | 対象 |
|---|---|
| A1 | DNS・ファイアウォールのIOCヒット(脅威インテリジェンスリストとの照合) |
| A2 | FortiGate固有のファイアウォールイベント |
| A3 | 国外からのVPNログイン |
| A4 | Windows・ADセキュリティイベント(ログオン失敗・権限昇格・GPO変更) |
| B1 | VMwareプラットフォーム監視 |
| B3 | Sysmonプロセステレメトリ(エンドポイント挙動分析) |
WazuhはさらにCDB(Constant Database)リストを管理し、公開脅威インテリジェンスフィード(Feodo Tracker・URLhaus・ThreatFox・MalwareBazaar)から定期的に更新されるIOCリストをインライン検知に活用する。既知のIPアドレス・ドメイン・ファイルハッシュは、相関エンジンに到達する前の段階で検知される。追加のAPI呼び出しは不要であり、検知レイテンシも最小に抑えられる。
レイヤー2:soc-integrator — 柔軟性の核心
このレイヤーが、既製品のSIEMスタックと本アーキテクチャの本質的な差異を生む部分である。
soc-integratorはFastAPIで実装されたミドルウェアサービスであり、WazuhのOpenSearchインデクサーとすべての下流システムの間に位置する。60秒ごとにwazuh-alerts-*インデックスをポーリングし、生のアラートデータを内部統一フォーマットに正規化したうえで、エンリッチメント・相関検知・ルーティングのパイプラインを通す。
なぜこのレイヤーが重要か
SIer提供のマネージドSIEMでは、検知エンジンとケース管理システムが密結合している。新しい脅威インテリジェンスソースを追加したい、アラートの分類ロジックを変更したい、通知先を変えたい——そのたびに変更申請が必要になり、対応まで数週間から数ヶ月を要することがある。
soc-integratorは独立したオーケストレーションサービスとして設計されており、下流システムへのルーティングはすべてここで制御される。
- 高重要度アラートをPagerDutyへ、低重要度をSlackやメールへ → 設定1箇所
- 新しい脅威インテリジェンスAPIを追加 → エンリッチメントモジュールに1エンドポイント追加
- IRISを別のケース管理ツールに切り替え → インテグレーターレイヤーの変更のみ、Wazuhのルールには一切影響なし
- LINE Notify・Chatwork・Teams等の国内通知チャネルへの対応 → Webhookアダプター追加で完結
自社が実際に使っているツールやワークフローに合わせて、スタック全体を柔軟に適応できる。これはベンダー提供のブラックボックスでは実現できない性質である。
レイヤー3:相関検知とIOCエンリッチメント
個別のWazuhアラートは「ある時点でのある端末の出来事」を示す。相関検知は「環境全体で時系列にわたって何が起きているか」を示す。検知品質の差は大きい。
soc-integratorは取り込まれた全イベントに対して、3つの相関ルールを継続的に実行する。
C1 — 不可能移動(Impossible Travel)
あるユーザーアカウントが、物理的な移動が不可能な時間内に地理的に離れた2拠点から認証した場合にアラートを発火する。盗まれた認証情報を攻撃者が海外から使用している間、正規ユーザーが国内で通常業務を行っているケースは、クレデンシャル侵害の最も信頼性の高い指標の一つである。GeoIP解決は内蔵の/geoip/{ip}エンドポイント(ipwhois、6時間キャッシュ)が処理し、無料枠のレート制限内に収まる設計になっている。
C2 — 時間外アクセス(Off-Hours Access)
設定されたビジネスアワー(UTC単位で調整可能)外の認証イベントを自動フラグする。日本の組織においては、深夜3時台の国内IPからのアクセスでも要確認だが、深夜3時台の海外ASNからのアクセスはほぼ確実にアラート対象となる。
C3 — ラテラルムーブメント(Lateral Movement)
単一のソースIPまたはユーザーアカウントが、定義された時間ウィンドウ内に過剰な数のホスト・ポートに展開した場合にトリガーされる。これは初期侵入後の内部偵察・横移動に特徴的なパターンであり、攻撃者が最終目標に到達する前の早期段階での検知が可能になる。
IOCエンリッチメント
全アラートはパイプライン通過時にVirusTotal(ファイルハッシュ・IP・ドメイン)とAbuseIPDB(IPレピュテーション)によってリアルタイムエンリッチされ、結果はPostgreSQLに永続化されてトレンド分析に活用される。2週間にわたって繰り返しアラートを生成しているIPは、単発イベントとはまったく異なるリスクプロファイルを持つ。その差異が、永続化されたエンリッチメントデータによって初めて可視化される。
レイヤー4:IRISによるケース管理とSLAトラッキング
検知・相関済みのアラートは自動的にDFIR-IRIS(オープンソースのインシデントレスポンス・ケース管理プラットフォーム)へ同期される。同期ワーカーが重複排除・重要度フィルタリング・ルックバックウィンドウの設定を処理するため、アナリストが同一アラートを二重確認することはない。
IRISではすべてのアラートにリアルタイムのKPI/SLAゲージが付与される。
| 重要度 | SLA時間 | ステータス推移 |
|---|---|---|
| High | 4時間 | On Track → Watch → Warning → Urgent → Critical → Breached |
| Medium | 8時間 | On Track → Watch → Warning → Urgent → Critical → Breached |
| Low | 24時間 | On Track → Watch → Warning → Urgent → Critical → Breached |
解決済みケースは、解決タイムスタンプ時点で経過時間が固定される。これにより、クライアントへの報告や社内ステークホルダーへの説明に必要な対応時間の正確な記録が、手動作業なしに生成される。ベンダーセキュリティ審査やサプライチェーン調査への対応が増えている現在、監査可能な証跡データは実質的なビジネス資産となる。
IRISからはShuffle SOARを経由した自動対応ワークフロー(ファイアウォールでのIP遮断・ADアカウントの無効化・構造化通知の送信)と、PagerDutyや任意のWebhook互換システムへのオンコールエスカレーションが可能である。
SIerマネージドサービスとの比較
ITreviewのSIEM製品比較データおよびGXOのSIEM導入ガイド(2025年)によれば、日本国内のマネージドSIEM・SOCサービスの価格相場は以下のとおりである。オンプレ型は初期¥3,000,000〜+月額数十万円、クラウド型は初期¥500,000〜+月額¥100,000〜、MSS型(フルマネージド)は初期費用が比較的低い代わりに月額¥100,000〜¥300,000程度が一般的とされている。
| 項目 | 大手SIerマネージドSOC | 本オープンソース構成 |
|---|---|---|
| 初期費用(構築・導入) | ¥500,000〜¥3,000,000 | ¥300,000〜¥800,000 |
| 月額インフラ費用 | 込み | ¥20,000〜¥60,000 |
| 月額運用・チューニング | 込み | ¥30,000〜¥80,000(委託の場合) |
| 契約期間 | 1〜3年 | なし |
| 自社データへのアクセス | 月次レポートのみ | リアルタイム・プログラムアクセス可 |
| 検知ロジックの変更 | 変更申請・有償 | 自社で即時変更可 |
| 通知先・連携先の追加 | ベンダー依存 | Webhookアダプターで自由に追加 |
| SLA証跡の取得 | 要問い合わせ | 自動生成・エクスポート可 |
| ベンダーロックイン | 高 | なし |
| 3年間TCO(概算) | ¥4,100,000〜¥13,800,000 | ¥2,280,000〜¥6,080,000 |
TCO算出根拠(中央値ベース):
- SIer:初期¥1,500,000 + 月額¥200,000 × 36ヶ月 = ¥8,700,000
- 本構成:初期¥550,000 +(インフラ¥40,000 + チューニング¥55,000)× 36ヶ月 = ¥3,970,000
- 差額:約¥4,700,000(3年間)
同等の検知・対応能力を持ちながら、3年間で約半分以下のコストで運用できる試算となる。
このアーキテクチャが適している組織
以下の環境・状況に該当する情報システム部門の担当者は、本構成が直接適用可能な参照アーキテクチャとなる。
- FortiGateファイアウォール・VPNを運用している
- Windows / Active Directoryを主要な認証基盤として使用している
- VMwareベースの仮想化環境を持つ
- 社内セキュリティチームが小規模(1〜3名)
- 月次レポートでなく、リアルタイムの監視ダッシュボードを必要としている
- 取引先・親会社からのセキュリティ審査に対応できる証跡を求められている
本スタックは「自分たちで全部やる」ことを前提としない。WazuhルールのオーサリングやOpenSearch DSLクエリ設計、FastAPIミドルウェアの実装には専門的なエンジニアリング能力が必要である。重要なのは、構築後の運用コントロールが完全に自社に帰属するという点である。ベンダーへの依存はインフラコストのみに限定される。
まとめ
日本のサイバーセキュリティ市場は長らく「本格的なセキュリティ監視には大手SIerとの契約が必要」という前提で動いてきた。しかしオープンソースツールの成熟により、その前提は崩れつつある。
Wazuh・DFIR-IRIS・Shuffle、そしてsoc-integratorのような独立した統合レイヤーを組み合わせることで、マネージドSOCサービスと同等以上の検知・対応能力を、完全な透明性・完全なコントロール・合理的なコスト構造で実現できる。
soc-integratorが本アーキテクチャの核心的な設計判断である理由はここにある。既存ツールをより密に統合するのではなく、各コンポーネントを独立・交換可能・拡張可能に保つ独立したオーケストレーションサービスとして設計されているからこそ、スタック全体が長期にわたって自社の要件に追従できる。
セキュリティ監視の選択肢を検討中であれば、Simplicoのチームに相談いただきたい。導入支援・既存環境のレビュー・部分的な構築支援、いずれにも対応している。
Get in Touch with us
Chat with Us on LINE
iiitum1984
Related Posts
- Agentic AI × SOCワークフロー:プレイブックを超えた自律防御【2026年版ガイド】
- SOCをゼロから構築する:Wazuh + IRIS-web 現場レポート
- ECと基幹システムの二重入力をなくす:受注から仕訳までの自動化アーキテクチャ
- リサイクル工場管理システム:日本のリサイクル事業者が見えないところで損をしている理由
- エネルギー管理ソフトウェアのROI:電気代を15〜40%削減できる理由
- Wazuh + オープンソースで構築する軽量SOC:実践ガイド(2026年版)
- ECサイトとERPを正しく連携する方法:実践ガイド(2026年版)
- AI コーディングアシスタントが実際に使うツールとは?(Claude Code・Codex CLI・Aider)
- 燃費を本気で改善する:高負荷・低回転走行の物理学
- タイ産ドリアン・青果物デポ向け倉庫管理システム(WMS)— ERP連携・輸出書類自動化
- 現代のドリアン集荷場:手書き台帳をやめて、システムでビジネスを掌握する
- AI System Reverse Engineering:AIでレガシーソフトウェアシステムを理解する(Architecture・Code・Data)
- 人間の優位性:AIが代替できないソフトウェア開発サービス
- ゼロからOCPPへ:ホワイトラベルEV充電プラットフォームの構築
- Wazuh Decoders & Rules: 欠けていたメンタルモデル
- 製造現場向けリアルタイムOEE管理システムの構築
- 古い価格や在庫を表示しないECサイトのキャッシュ戦略
- AIによるレガシーシステム modernization:ERP・SCADA・オンプレミス環境へのAI/ML統合ガイド
- RAGアプリが本番環境で失敗する理由(そして解決策)
- AI時代のAI-Assisted Programming:『The Elements of Style』から学ぶ、より良いコードの書き方
