Cyber-sec+Publicationへの投稿
🔖

Cyber-sec+ College vol.3のイベントレポート

Tamadu
に公開
Security
イベントレポート
idea

はじめに

Cyber-sec+の企画・運営メンバーであるCyber-sec+ XメンバーのTamaduです。2026/4/21(火)にCyber-sec+ College vol.3を開催しました。今回のテーマは、「インシデント対応から逆算する『ログ設計』入門」です。イベントの内容について共有します。

イベントについて

Cyber-sec+(サイバーセキュリティ プラス・略称:セキュプラ) の企画・運営メンバーである Cyber-sec+ X が主催するサイバーセキュリティに関するハンズオン形式のイベントです。

インシデントが発生した際に「必要なログが残っていなかった」「どこにログがあるのか分からない」といった問題に直面するケースは少なくありません。
本イベントではインシデント対応の調査・報告プロセスから逆算し「どのログを」「どこから」「どの粒度で」取得・保存すべきかを整理します。
インシデントタイムラインの作成や影響範囲特定に必要な情報を例に、ログの種類・保存設計・データ量の考え方までを体系的に解説し、ログ設計の基礎を理解し、実務で活用できる「いざ」というときに困らないログ取得・保管・分析の考え方・整理方法を学びました。

イベントのAgenda

  1. なぜログ設計が重要なのか
  2. インシデント対応から逆算するログの考え方
  3. インシデントタイムライン作成に必要な情報
  4. 必要なログの種類と取得場所
  5. ログに含まれる情報の分解(5W1H)
  6. ログデータ量の考え方(ログ 1 件のサイズ / 生成量)
  7. ログ設計の整理方法(ログ × サイズ当て込みシート)

イベント挨拶


Nissyさんの開催のご挨拶

当日の雰囲気

今回は約15名の方にご参加いただきました。SOCやCSIRTの実務に携わっている方から、情シスとしてこれからログ管理を整備したいという方まで、幅広い層が集まっていたのが印象的でした。現場目線の質問や意見交換が活発に行われていました。普段なかなか他社のログ運用事情を聞ける機会は少ないので、参加者同士で率直に情報を共有できる場になっていたと思います。

イベントでの学び

企画・運営メンバーであるTamaduが得た学びを記載します。

事前準備の重要性

インシデント発生時に適切な対応・報告を行うためには、平時からどのようなログを取得・保存しておくかの設計が不可欠であることを再認識しました。
例えば、クラウド環境の初期構築時にログ設計を組み込んでおけば、いざインシデントが起きたときに「ログが残っていない」と慌てる事態を防げます。新規プロジェクトのキックオフや環境構築のチェックリストに「ログ設計の確認」を入れるだけでも、大きな違いが出ると感じました。

実例から得た教訓

複数のインシデント事例を通じて、以下の点を学びました。

  • 調査対応には相応のコスト(人的・金銭的)がかかるため、事前のログ取得設計がコスト削減にも直結する
  • 実際のインシデント報告書を読み解くことで、「報告書に盛り込むべき情報」から逆算してログ設計を考えるアプローチが有効

自社のインシデント対応フローを見直す際、まず過去のインシデント報告書(または他社の公開された報告書)を読み、「この報告を書くには何のログが必要だったか」を逆算してみると、ログ設計の優先度が明確になりそうと感じました。

優先的に取得すべきログの指針

ログの取得についてはすべてを網羅するのではなく、リスクの高い領域から優先順位をつけて設計することが重要であると学びました。具体的な優先度の考え方についても整理する機会を得ました。
実務では、まず認証ログ(誰がいつログインしたか)など、侵害の初動調査で最初に確認するログから整備していくのが効果的だと理解しました。限られた予算の中でも、このアプローチなら優先順位をつけやすくなると感じました。

報告の基本フレームワーク

インシデントに関わる情報は、4W1H1R(Who / What / When / Where / How / Result)のフレームワークで整理できることを学びました。R の Result(どうなったか)は、活動の成功/失敗を表します。たとえば「ログイン試行が成功したのか失敗したのか」「ファイルアクセスが許可されたのか拒否されたのか」といった成否は、インシデントの緊急度を判断するうえで欠かせない情報であり、ログに含めておくべき重要な要素です。
この4W1H1Rの考え方は、インシデント対応に限らず、日常の障害対応や上長への報告にも活用できるフレームワークだと感じました。「何が・いつ・どこで・誰が・どうやって・どうなったか」を軸に整理する習慣をつけておくと、報告の精度とスピードが上がりそうです。

記念撮影と懇親会


いい写真
記念撮影の後、懇親会で参加者同士の交流を深めていました。

参加者の声


満足度が高いイベントになりました。引き続きより良いイベントを作っていきますので、ぜひ今後開催される予定のイベントにご参加ください!

イベントを終えて

インシデント対応にかかるコストの実態を知り、事前準備の重要性を改めて痛感しました。「何かあってから考える」ではなく「報告できる状態を平時から作っておく」ことが、結果的に組織を守ることにつながると実感できたイベントだったと思います。

Cyber-sec+
Cyber-sec+Publication

サイバーセキュリティ特化コミュニティ:Cyber-sec+(サイバーセキュリティ プラス)のオンラインコミュニケーションスペース:Cyber-sec+ Slack(通称:Security Slack)は、サイバーセキュリティに関する情報共有・情報交換を目的に匿名で参加可能です。気軽に質問・議論を展開することができます。

Discussion