NDRのログ欠損はなぜ起きる？4つの原因と対策、SIEM連携を解説

NDR運用の成否は、収集するデータの品質と網羅性に大きく依存します。特にネットワーク機器から得られるログは、セキュリティの異常を検知するための最も重要な情報源です。

NDRは、ネットワークトラフィック全体を監視・分析し、従来の方法では検知困難な未知の脅威や内部不正を発見します。この脅威検知の基盤となるのが、ルーター、スイッチ、ファイアウォールなどから収集されるSyslog、NetFlow、IPFIXといった多様なログデータ（Telemetryデータ）です。

NDRはこれらのデータをリアルタイムに分析し、通信の異常パターンや不審な振る舞いを検知します。

• マルウェア感染端末から外部C&Cサーバーへの不審な通信
• 内部ネットワークにおける横展開活動（ラテラルムーブメント）の兆候

ログがなければ、NDRは何も見ることができず、その真価を発揮できません。

もし、この重要なネットワークログに欠損が発生した場合、最も深刻な問題は脅威の「見逃し」です。攻撃の兆候を示すログがなければ、NDRは異常を検知できず、サイバー攻撃の侵入や被害拡大を許してしまいます。

また、インシデント発生時の原因調査も困難になります。ログの整合性が失われると、攻撃経路や活動内容の追跡ができず、インシデント対応が大幅に遅延するリスクが高まります。データ損失は、セキュリティ運用の信頼性を根本から揺るがす致命的な欠陥なのです。

多くの企業では、NDRとSIEM（Security Information and Event Management）を連携させ、複数製品のログを統合・相関分析しています。この連携を成功させる上でも、元となるTelemetryデータの品質は極めて重要です。

ログに欠損や遅延があると、SIEMでの相関分析の精度が著しく低下します。例えば、NDRが検知した不審な通信と、同時刻のActive Directoryの認証失敗ログを突き合わせることで、ブルートフォース攻撃を特定できるかもしれません。しかし、どちらかのログが欠損していれば、この分析は成立しません。

データ品質の高いログを安定的に収集することは、SOCやCSIRTの運用負荷を軽減し、迅速な意思決定を支援する上で不可欠です。

ログ欠損は、単一の原因ではなく、ログの生成から収集、保管までの様々な段階で発生します。効果的な対策を講じるには、まず問題の発生箇所を正確に把握することが重要です。

ログを生成・送信するネットワーク機器自体が原因となるケースです。

• リソース不足: 高負荷状態の機器では、CPUやメモリ不足でログの取りこぼしが発生します。
• バッファ溢れ: ログの送信バッファが溢れ、新しいログが古いログを上書きして失われます。
• 設定ミス: デバッグ等の目的でログレベルを詳細にしすぎると、大量のログが生成され、機器やネットワークに過大な負荷をかけ、結果的に重要なログまで欠損させることがあります。

生成されたログは、ネットワークを経由してログコレクターに転送されますが、この経路に問題があるとログは失われます。特に、業務トラフィックとログ転送が同じ帯域を共有している場合、ネットワークが輻輳（ふくそう）するとパケットロス（パケット破棄）が発生しやすくなります。UDPプロトコルは再送する仕組みがないため、ネットワークの不安定さが直接的なデータ損失に繋がります。

受信側であるログコレクターやSIEMの処理能力不足もログ欠損の原因です。

• 処理性能の限界: 大量のログが集中すると、コレクターが処理しきれずにログを破棄してしまいます。システムのサイジング（性能設計）が不適切な場合に発生します。
• ストレージのボトルネック: ログを書き込むストレージのI/O性能が低いと、書き込み待ちのログがバッファから溢れて失われます。
• ディスク容量の枯渇: ストレージの空き容量がなくなれば、当然ログは保存できません。

ログ転送に広く使われるSyslogは、デフォルトでUDP（User Datagram Protocol）を使用します。UDPは高速ですが、到達確認や再送制御の仕組みを持たない「コネクションレス型」プロトコルです。そのため、ネットワーク経路上でパケットロスが発生しても検知できず、ログは静かに失われます。NetFlowやIPFIXも同様にUDPベースのため、同じリスクを抱えています。

ログ欠損の原因を理解した上で、次は具体的な対策です。送信元、転送経路、受信側の各ポイントで信頼性を高めるアプローチが必要です。

まず、ログ発生源であるネットワーク機器の設定を見直します。機器の負荷（CPU、メモリ使用率）を監視し、常に高い場合はリソース増強やリプレースを検討しましょう。

その上で、NDRの脅威検知やインシデント対応に必要なログレベルを精査し、不要なデバッグログの出力を抑制してログ総量をコントロールします。また、機器の送信バッファサイズを調整し、一時的なログの急増に対応できるように設定することも有効です。

ログ転送の信頼性を確保するため、ネットワーク経路の設計が非常に重要です。

• ネットワーク分離: ログ転送専用のネットワークセグメントやVLANを構築し、他の業務トラフィックから分離します。
• TCPの利用: SyslogをUDPではなくTCP上で転送する「Syslog over TCP」を検討します。TCPは到達確認と再送制御を行うため、信頼性が格段に向上します。
• 経路の冗長化: 2つの異なる経路上にログコレクターを配置するなど、経路を冗長化することで耐障害性を高めます。

将来的なログ量増加を見越した適切なサイジングが最も重要です。収集対象の機器数やログ生成レート（EPS）から、十分なマージンを持たせたCPU、メモリ、ストレージを選定します。

大規模環境では、複数台のコレクターで負荷分散を行うアーキテクチャが有効です。ストレージには、書き込み性能（IOPS）が高い高速なSSDを採用するなどの対策で、書き込みのボトルネックを解消します。

ログ収集基盤は、構築後の継続的な監視が不可欠です。コレクターのパフォーマンスや各機器からのログ受信状況をリアルタイムで監視する仕組みを導入しましょう。

「特定の機器から5分以上ログが届かない場合にアラートを発する」といった設定により、ログ欠損の発生を早期に検知し、迅速な対応が可能になります。定期的なレビューと改善プロセスの実施が、信頼性の高いログ管理基盤を維持する鍵です。

高品質なログ収集基盤が整って初めて、NDRとSIEMの連携はその真価を発揮します。

NDRが検知した「内部サーバーが不審な海外IPと通信を開始した」といったアラートをSIEMに取り込みます。SIEMが持つプロキシ、ファイアウォール、エンドポイント等のログと突き合わせることで、「どのユーザーが、どの端末で、どのアプリを使い、不審な通信を発生させたか」といったインシデントの全体像を迅速に可視化できます。

SIEMに集約された多様なTelemetryデータは、より高度な異常検知ルールの作成に活用できます。例えば、NetFlowの情報を時系列で分析し、平常時の通信パターンを学習させ、そこから大きく逸脱する通信（深夜の大量データ送信など）を異常として検知するカスタムルールを作成できます。これにより、巧妙な内部脅威を捉えるチャンスが広がります。

ログ欠損のない、整合性のとれたデータ基盤は、SOCやCSIRTのインシデント対応プロセスを劇的に効率化します。調査に必要なログがすべて揃っているため、原因究明や影響範囲の特定にかかる時間が大幅に短縮され、被害拡大前に対策を講じることが可能になります。

本記事では、NDR運用を成功させるためのログ収集設計、特にログ欠損対策に焦点を当てて解説しました。ログ欠損は、ネットワーク機器、転送経路、受信側システム、プロトコルなど、様々な要因で発生します。

これらの原因を正しく理解し、以下の多角的な対策を講じることが不可欠です。

• 送信元の最適化
• 転送経路の信頼性向上
• 受信側の性能確保
• 継続的な監視体制の構築

高品質なTelemetryデータを安定的に収集する基盤は、NDRの脅威検知精度を高めるだけでなく、SIEMと連携した高度な相関分析を可能にし、組織全体のインシデント対応能力を飛躍的に向上させます。本記事を参考に、自社のセキュリティ運用の根幹となるログ管理基盤を見直し、より堅牢な体制を構築してください。