セキュリティインシデント調査の解説：SOCチームがアラートから答えを導き出す方法

「インシデント調査」と検索すると、検索結果のほとんどは労働災害に関するもの――OSHA（米国労働安全衛生局）のプログラム、ヒヤリハット事例、安全委員会など――です。本ガイドでは、それとは異なる意味について解説します。セキュリティインシデント調査とは、SOC（セキュリティオペレーションセンター）が、不審なアラートを、確認済みで範囲が特定され、原因が解明された攻撃へと導くために用いる分析手法のことです。この作業は、まさに探偵のような捜査活動です。 アラートは結論ではなく手がかりであり、調査員は全容が明らかになるまで、証拠、タイムライン、行動パターンを追跡します。攻撃者の手口が秒単位で変化する現在、この業務はかつてないほど時間的プレッシャーにさらされています。以下のセクションでは、7段階のワークフロー、証拠と証拠の保管管理、タイムラインの再構築、MITRE ATT&CK 、スピードを証明する指標、そしてAIが真に役立つ場面について解説します。

インシデント調査とは何ですか？

この用語は、2つの専門分野で使用されています。労働安全の分野では、インシデント調査とは、事故やヒヤリハットを検証して根本原因を特定し、再発を防止することを指します。これは、OSHA（米国労働安全衛生局）が規制の対象としている意味であり、検索結果の多くで説明されている内容でもあります。一方、サイバーセキュリティの分野では、同じ用語は、デジタル攻撃が残した痕跡からその経緯を再現することを意味します。

1つの用語に2つの意味があります。労働安全チームは、怪我を防ぐために物理的な事故を調査します。一方、セキュリティチームは、攻撃の確認、範囲の特定、原因解明を行うためにデジタル上のインシデントを調査します。本ガイドでは、「セキュリティインシデント調査」としてよく検索される、サイバーセキュリティにおける意味について解説します。

セキュリティインシデントの調査とは、セキュリティアラートが実際の攻撃によるものかどうかを確認し、何が起こったのか、どの程度拡大したのか、そしてその原因を特定するための分析プロセスです。調査担当者は、アラートの妥当性を検証し、影響を受けたシステムやアカウントの範囲を特定し、証拠を収集・保全し、攻撃のタイムラインを再構築した上で、被害の封じ込めと復旧に向けた調査結果を報告します。

サイバーセキュリティにおけるインシデント調査は、どのような成果を生み出すことを目的としているのでしょうか。その成果は主に3つあります。第一に、調査範囲です。攻撃者がどのホスト、ID、データにアクセスしたか、またそのインシデントが、規制上の報告期限が定められた報告義務のあるデータ侵害に該当するかどうかを特定します。第二に、根本原因です。攻撃を成功させた根本的な脆弱性を特定します。第三に、経営陣、監査人、規制当局、場合によっては裁判所に対しても説得力のある、正当性が認められる記録です。

この2つの分野には、共通のルーツがあります。「5つのなぜ」といった根本原因分析の手法や、直接原因と根本原因の区別といった概念は、安全対策の実践に由来しています。サイバーセキュリティインシデントの調査では、物理的な現場の代わりに、ログ、メモリキャプチャ、ネットワーク記録、IDアクティビティといった異なる証拠を用いて、その枠組みが再利用されています。

要するに、サイバーセキュリティにおけるインシデント調査とは、優先順位付けされたアラートを、確認済みで範囲が特定され、原因が解明されたインシデントへと変換する分析段階のことです。このガイドの残りの部分では、それを迅速かつ正当性のある方法で実行するためのノウハウについて解説します。

インシデント対応ライフサイクルにおける調査の位置づけ

調査は単独の分野ではありません。これは、より広範なインシデント対応ライフサイクルにおける「検知・分析」フェーズに相当します。インシデント対応（IR）は、準備から復旧に至るまでの一連のプロセスであり、そのライフサイクル全体については別のページで解説しています。また、調査は、統合型脅威検知・調査・対応（TDIR）ワークフローの中間フェーズでもあります。

トリアージが判断を下し、調査が原因を解明し、対応が実行に移す。トリアージとは、アラートを迅速に選別し、実在する脅威と判断された場合にエスカレーションを行う「最初の関門」である。調査とは、インシデントを確認し、その範囲を特定し、原因を突き止めるための詳細な分析作業である。そして対応では、被害の拡大を防ぎ、脅威を排除し、復旧を行う。

SOCアナリストによるトリアージの結果、調査に値すると判断されたアラートのみが調査対象となります。この選別プロセスが重要なのは、調査には多大なコストがかかるためです。誤報の調査にアナリストが何時間も費やすことは、まさにトリアージが防ごうとしている無駄なのです。

チームには誰が参加すべきか？ 主任調査員と、アラートの優先順位付けを行ったアナリストが中核となる。必要に応じてシステム、ID、クラウドの責任者が加わり、情報漏洩の通知が必要となりそうな場合は、法務および広報部門も参画する。

トリアージでアラートをエスカレーションし、調査で原因を解明し、対応で事態を収束させる――調査こそが、このライフサイクルの分析の中核である。

セキュリティインシデント調査のワークフロー：ステップバイステップ

インシデント調査はどのように行うのでしょうか？労働安全衛生研修では、インシデント調査プロセスの4段階版と6段階版が教えられています。サイバーセキュリティのワークフローは7段階から構成されています。これは、デジタル証拠には専用の再構築およびマッピングの段階が必要となるためです：

1. アラートの妥当性を確認する — リソースを投入する前に、それが正当なアラートであることを確認する。
2. 初期の範囲を特定する — 影響を受ける可能性のあるホスト、アカウント、およびデータを特定する。
3. 証拠を収集・保全する――揮発性物質を含む証拠を優先し、証拠の管理連鎖を常に確保する。
4. タイムラインを再構築する — あらゆるテレメトリソースにわたるイベントを関連付ける。
5. 各動作MITRE ATT&CK に照らし合わせMITRE ATT&CK 根本原因を特定する。
6. 作業の進捗に合わせて結果を記録する――説明可能なメモ、タイムスタンプ、ハッシュ値。
7. 調査報告書を作成し、対応部門に引き継ぐ。

‍

検証（ステップ1）。アラートを精査し、アーティファクトを既知の侵害の兆候（IOC）と照合し、他の場所で関連する検知が発生していないかを確認します。範囲の特定（ステップ2）。範囲の特定は、最初に確認されたアーティファクトを起点として外側へと展開します。具体的には、影響を受けたホストに認証されたアカウント、それらのアカウントがアクセスしたシステム、およびそれらのシステムが保持するデータを特定します。証拠が蓄積するにつれて、範囲の見直しを行います。ステップ3から5については、以下で個別のセクションを設けて説明します。作業の進行に合わせて記録（ステップ6）を行います。タイムスタンプとファイルハッシュを含むリアルタイムのメモを残すことで、調査結果の正当性を裏付けることができます。報告（ステップ7）。実用的なインシデント調査報告書のテンプレートには、検知方法、確認された範囲、再構築されたタイムライン、根本原因、および是正措置を記載します。

OpenClassroomsのインシデント調査コースで説明されているように、この作業はSIEMとエンドポイント検出・対応（EDR）ツールを連携させて行われます。 SIEMは「過去24時間にこのホストにアクセスしたアカウントはどれか？」といった具体的な質問に答える一方、EDRやネットワーク検知・対応（NDR）ツールは、関連するプロセスや接続に関する行動分析を可能にします。これが、SIEMアラートを実際に調査する方法です。まず周辺のアクティビティを照会し、次にエンドポイントやネットワークのテレメトリデータに焦点を移して、そのアクティビティが何を行ったかを確認するのです。

2026年に発生したCVE-2026-50751の悪用事例は、プレッシャー下でのワークフローを如実に示している。 この脆弱性（広く導入されているリモートアクセスVPNゲートウェイにおけるCVSS 9.3の認証バイパス）は、Qilinランサムウェアの関連グループによって実環境で悪用され、調査チームはCISAが定めたパッチ適用期限内に、IDベースの初期アクセスを再現し、正当なファイル転送ツールを介したステージングおよびデータ流出を追跡することを余儀なくされた。

このワークフローは、NISTのガイダンスと明確に整合しています。調査は、インシデント対応ライフサイクルの典型的な「検出・分析」フェーズに相当し、NISTインシデント対応プロジェクトを通じてCSF2.0に基づいてインシデント対応を再構築したNIST SP 800-61 Rev. 3では、この作業が「検出」および「対応」の機能に割り当てられています。

表：インシデント対応ライフサイクルの各フェーズおよびNIST SP 800-61 Rev. 3で採用されているCSF 2.0のカテゴリーに対応付けられた調査のサブステップ。

最初の15分間の分析

最初の数分間は、厳密なループに従って進めます。アラートに、資産の重要度、ユーザーの役割、脅威インテリジェンスを追加します。資産とアカウントを確認し、最近の不審な行動がないか調べます。環境全体で関連するアラートを検索します。これが、SOCアナリストが実際のセキュリティインシデントを迅速に確認する方法です。

2026年の現実を鑑みると、この対策は急務である。『M-Trends 2026』の調査によると、最初のアクセスから攻撃者への引き渡しまでの所要時間の中央値は、2022年の8時間以上から、2025年には22秒にまで短縮された。「日常的な」malware であっても、二次的な侵入の前兆である可能性を念頭に置くべきだ。仲介されたアクセス権は、すでに第三者の手に渡っているかもしれない。

再現性のある調査は、検証、範囲設定、情報収集、再構築、マッピング、文書化、報告という7つのステップで構成されており、最初の15分間で、残りの6つのステップがどれだけ順調に進むかが決まります。

証拠の収集と証拠の管理の連鎖の維持

証拠の収集は、データの消失速度の順に行います。最も早く消えてしまうものをまず確保し、分析を行う前にすべてを保存しておきましょう。メモリ上のデータは再起動すると消えてしまいますが、ディスク上のデータは数ヶ月間残ります。

表：証拠収集における変動性の順序 — 分析前に各情報源を保全しつつ、上から順に収集する。

「チェイン・オブ・カスターディ（証拠の連鎖）」とは、各証拠品を誰が、いつ、どのように収集し、その後誰が取り扱ったかを記録した文書であり、調査結果が法的、規制上、および経営陣による精査に耐えうるようにするための厳格な手順を指します。これは、弁護士が到着した時点ではなく、調査担当者が最初に行動を起こした時点から始まります。この段階における徹底的なフォレンジック調査は、デジタルフォレンジックおよびインシデント対応（DFIR）の領域であり、より広範なインシデント対応の枠組みの中で実施されます。

証拠の構成が変化した。 Unit 42の調査 2026年の調査の約90％でID関連の脆弱性が発見されたにもかかわらず、多くのガイドでは依然としてディスクフォレンジックに過度に重点が置かれている。ID 横方向の動き 調査では、IdPおよびActive Directoryへのサインイン、OAuthの認証、APIキーの使用状況、およびセッショントークンのデータを抽出します。その後、不自然な移動パターンを照合し、 代替認証手段の使用（T1550).

2026年に発生した2件の事例が、この教訓を鮮明に浮き彫りにしている。教育分野における過去最大規模の侵害事件では、調査チームが約4日間の潜伏期間を確認し、攻撃者のアクセス権を無効化したものの、当該組織は最終的に、データ消去の証拠として攻撃者から提供された「シュレッドログ」に依存することとなった。これは、法的に問題を抱えがちな、新たな形態の証拠である。 攻撃者が主張する被害範囲と、証拠によって確認された被害範囲は常に区別すべきである。また、米国の主要な公衆衛生システムで数ヶ月にわたり発生した第三者による侵入事件（影響を受けた人は少なくとも180万人、TechCrunch、2026年）は、もう一つの困難な事例を示している。それは、侵害された組織の外部に完全に存在する侵入経路である。

まず揮発性証拠を収集し、証拠の保管状況を厳格に記録するとともに、ID情報やSaaSのログについても、ディスク上のデータと同様に慎重に取り扱うこと。

時系列の再構築と事象の相関付け

インシデント調査手法の中で、タイムライン分析は中核となるスキルです。タイムラインの再構築では、EDR、SIEM、ネットワーク、ID、SaaSのログなど、入手可能なあらゆる情報源からのイベントを時系列順に整理し、攻撃の全容を1つの物語として描き出します。その原動力となるのがイベントの相関分析であり、単独では無害に見えるエントリ同士を結びつけることで、攻撃の連鎖を明らかにします。

具体例を考えてみましょう。SIEMは、09:02に未知のネットワークからのサービスアカウントに対するVPN認証を記録しています。EDRは、09:14に財務部門のワークステーションで異常なプロセス実行を記録しています。その後、IDプロバイダーは09:58に別のホストからの同アカウントへのサインインを記録し、続いて新たなOAuthグラントが行われました。これらのイベントは、それぞれ単独で見れば重要度判定を通過するかもしれません。 しかし、これらを1つのスーパータイムラインに統合することで、初期アクセス、ラテラルムーブメント、ステージングの経緯が明らかになり、次にどこを確認すべきかが正確に示される。

図：3つの情報源（見知らぬネットワークからのSIEM VPN認証、その数分後のEDRプロセス実行、さらに1時間後の新しいOAuthグラントによるIDプロバイダーへのサインイン）を1つの時系列に統合し、「初期アクセス」「横方向の移動」「準備段階」とラベル付けした注釈付きスーパータイムライン。

ログの保存期間が長いかどうかが、タイムラインを構築できるかどうかの鍵を握ります。『M-Trends 2026』によると、2025年の世界全体の平均滞在日数は14日となり、前年の11日から増加しました。この中では、平均滞在日数が122日に及ぶスパイ活動に関連する侵入が、データ全体の「ロングテール」を形成しています。 ステルス型の侵入は、標準的な90日間のログ保存期間を超えて存続する可能性があるため、必要になる前に保存期間を延長し、エッジデバイスのログを一元管理しておく必要があります。

この相関分析の技術こそが、アラートが発信される前に攻撃の経緯を探り出す「プロアクティブな脅威ハンティング」を支えています。タイムラインの再構築により、EDR、SIEM、およびID関連のイベントがひとつのストーリーとして統合され、相関分析によって個々のアラートだけでは見えなかった一連の経緯が明らかになります。

調査MITRE ATT&CK ATT&CKに照合しMITRE ATT&CK 根本原因を特定する

調査結果が蓄積されるにつれ、調査担当者は観察された各行動を MITRE ATT&CK の戦術および手法にマッピングします。この共通の用語体系により、調査範囲の特定が迅速化され、引き継ぎも明確になります。「ホスト12で何か奇妙な動きがある」といった曖昧な報告も、他のアナリストがATT&CKナレッジベースを用いて検証可能な明確な主張へと変わります。

表：調査項目とMITRE ATT&CK対応表（各項目に対する検知のヒント付き）

「横方向の移動」の行は、上記のタイムラインにある具体例です。あるホストから盗まれたセッションが別のホストで再利用された場合、それは T1550これにより、チームはそのトークンが到達しうるすべてのシステムを調査するよう指示されます。

ATT&CKマッピングは「どのように」を説明し、根本原因分析は「なぜ」を説明します。安全対策の分野から借用された「5つのなぜ」の手法では、答えが組織的な要因にたどり着くまで「なぜ」と問い続けます。アラートが発動したのは、malware であり、セッショントークンが盗まれたからであり、認証情報が更新されなかったからであり、それを義務付けるポリシーが存在しなかったからです。直接的なmalware 根本的な原因はポリシーの不備です。

2026年の傾向の一つが、分析を複雑にしている。『M-Trends 2026』によると、2025年の調査事例の9％で、分業モデル（初期アクセスブローカーが、事前に準備されたアクセス権限を後続の攻撃者に引き渡す）が確認されており、これは2022年の4％から増加している。 コモディティ型の情報窃取ツールといった目に見える直接的な原因が、すでに進行中の引き継ぎを覆い隠している可能性がある。あらゆる行動を洗い出し、解決可能な答えが得られるまで「5つのなぜ」を問い続けてほしい。

調査指標：スピードが重要な理由

調査にかかる平均時間（MTTI）——エスカレーションからインシデントの原因解明に至るまでの平均時間——は、調査部門が担当する指標であり、より広範なサイバーセキュリティ指標プログラムにおいて、認識にかかる平均時間（MTTA）と併せて追跡されます。対応にかかる平均時間（MTTR）は、対応フェーズに属します。

数字について触れる前に、一点明確にしておきたいことがあります。よく引用される「73％」という数字は、誤検知率ではなく順位を示すものです。SANS 2025年調査によると、73％のチームが「誤検知」を検知上の課題として第1位に挙げ、誤検知を「非常に頻繁に」経験していると回答した割合は、前年比で13％から20％に増加しました。こうしたノイズがアラート疲労を引き起こし、重要なアラートを見逃す原因となっています。

表：2026年の統計データ — 調査のスピードが重要な理由

明るい兆しも見られます。2025年の侵入攻撃のうち、内部で検知された割合が43%から52%に増加しており、複合中央値が上昇しているにもかかわらず、調査能力は向上しています。MTTIは、侵入後の滞在時間を短縮できるか否かを左右する鍵となります。これをベンチマークとして設定し、短縮に努めましょう。

セキュリティインシデント調査における最新の手法とAIを活用したアプローチ

AI SOCの調査ツールは多岐にわたります。手動による調査では、アナリストが各コンソールを自ら確認します。AIを活用したトリアージでは、機械学習を用いてアラートの情報を充実させ、相関付けを行い、優先順位を付けます。エージェント型調査はさらに一歩進んでおり、AIエージェントがTier-1アラートを自律的に処理し、それらを1つのインシデントストーリーとして統合し、誤検知を抑制し、低リスクのケースについては理由を文書化して解決します。 2026年、エージェント型アプローチはトリアージにおいては実用化されていますが、ID関連アクションに対する自律的な対応については、その有効性がまだ実証されていません。

早期導入企業からは目覚ましい成果が報告されている――アナリストによるトリアージ時間が60～80％短縮され、アラートのノイズも最大70％減少した（Help Net Security、2026年）――が、これらはあくまで参考となる初期導入者の主張であり、監査済みのベンチマークではないと捉えるべきである。 この誇大宣伝の陰には、構造的な懸念が残っている。VentureBeatによるRSAC 2026の発表内容の分析によると、主要なエージェント型SOCプラットフォームはエージェントの身元は確認するが、その動作は確認していないことが判明した。つまり、AIエージェントは現在、調査ツールであると同時に、ほとんど調査不可能な攻撃対象領域でもあるのである。

ツールの選択は依然として段階に応じて行われます。つまり、エンドツーエンドのケース対応には調査プラットフォーム、証拠の解析にはタスク特化型のフォレンジックユーティリティ、文書化や引き継ぎにはケース連携ツールが用いられます。プレイブックや自動化された封じ込め措置といった実行層は、インシデント対応の自動化の領域となります。 今後12～24ヶ月の間、SOC運用責任者が注目すべき点は、ベンダーが真に信頼できるエージェント動作のベースラインを提供できるかどうかである。それまでは、AIはティア1のトリアージや誤検知の低減には有効だが、エージェントの動作そのものを調査することはまだできない。この点を踏まえて計画を立てる必要がある。

Vectra AIが調査をどのように捉えているか

Vectra AIは、「侵害はすでに発生している」という前提に立って調査に臨みます。つまり、熟練した攻撃者は侵入してくるものであり、重要なのは防御側がどれだけ迅速にそれらを発見し、その経緯を解明できるかという点です。Attack Signal Intelligence 、調査の初期段階にAttack Signal Intelligence 。アラートの自動トリアージ、ネットワーク、ID、クラウドにわたる関連行動を統合して優先順位付けされた単一の攻撃シナリオを構築し、自然言語による調査をサポートすることで、少人数のチームでもコンソールを手作業で照合することなく、インシデントの範囲を特定できるようにします。 その目標は、「ノイズよりシグナル」——つまり、無関係なアラートの山ではなく、説明済みの攻撃ストーリーから調査を開始することです。

結論

あらゆる調査は、重要度が不明なアラートから始まります。その後の対応次第で、インシデントを封じ込められるか、あるいは数ヶ月にも及ぶ侵害へと発展するかが決まります。その手法は習得可能であり、再現性があります。アラートの検証を行い、最初の痕跡から調査範囲を広げ、Volatility順に証拠を収集し、タイムラインを再構築し、行動をATT&CKに照らし合わせ、その都度記録を残し、対応チームが即座に行動できるような調査結果を報告します。 2026年のデータは、両極端においてリスクを高めています。秒単位で測定されるハンドオフは、検証の遅れを許さず、スパイ活動レベルの長期潜伏は、ログの保存期間の短さを許しません。MTTI（平均調査時間）をベンチマークし、人間またはAIによる相関分析に投資するチームこそが、その時間を取り戻すことができます。調査結果が次にどこへ向かうのかを知るには、このフェーズが統合脅威検知・調査・対応（UTDR）ワークフローにどのように適合するかを検討してください。

‍