用語集 › 🔒 セキュリティ › Sigmaルール
【シグマルール】

Sigmaルール とは?

💡 脅威検知レシピを、どの厨房でも作れる共通フォーマットで書く
📌 このページのポイント
Sigmaルール:共通フォーマットで各SIEMへ変換 Sigmaルール YAML形式 detection: logsource: 変換ツール Splunk Elastic SIEM MS Sentinel ログイベントへの適用例 logsource: windows / eventid: 4720 → 管理者アカウントの新規作成を検知 MITRE ATT&CK 1つのSigmaルールを複数のSIEMに変換して流用できる
Sigmaルールのイメージ:共通フォーマットから各SIEMへ変換
ひよこ ひよこ

SigmaルールってYARAルールと何が違うの?

ペンギン先生 ペンギン先生

YARAはマルウェアファイルそのものを調べるルールだよ。Sigmaはログやイベント、つまり「何が起きたか」の記録を調べるためのルールなんだ。

ひよこ ひよこ

ログを調べるってことは、SIEMで使うものなの?

ペンギン先生 ペンギン先生

そうだよ。でも困るのが、SplunkとElasticMicrosoft Sentinelでは書き方がバラバラなこと。SigmaはYAML形式の共通フォーマットで書いておけば、各SIEMの構文に自動変換できるんだ。

ひよこ ひよこ

じゃあ一回書いたら使い回せるんだね!具体的にどんな内容を書くの?

ペンギン先生 ペンギン先生

たとえば「Windowsイベントログに管理者権限の作成が記録されたら検知する」といった条件をYAMLで記述するよ。`detection` フィールドに検索条件、`logsource` にどのログを対象にするかを書く形式だね。

ひよこ ひよこ

自分でゼロから書かなきゃいけないの?それは大変そう…

ペンギン先生 ペンギン先生

SigmaHQという公式GitHubリポジトリに数千件の既製ルールが公開されているよ。セキュリティコミュニティが日々更新しているから、最新の攻撃手法に対応したルールをすぐ取り込めるんだ。

ひよこ ひよこ

MITREのATT&CKフレームワークとも関係があるって聞いたけど?

ペンギン先生 ペンギン先生

正解だよ。各SigmaルールにはMITRE ATT&CKのテクニックIDがタグ付けされていることが多くてね。「この検知ルールはどの攻撃手法をカバーしているか」を可視化することで、自組織の検知カバレッジを体系的に管理できるんだ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「Sigmaルール」って出てきたら「SIEMで使う脅威検知の共通ルール形式」と思えればだいたいOK!
📖 おまけ:英語の意味
「Sigma Rules」 = シグマルール
💬 ギリシャ文字のΣ(シグマ)はまとめる・集約するという意味合いで使われ、バラバラなSIEM向け検知ルールを一つの共通言語にまとめる試みを表しているだよ
🔗 あわせて読みたい
← 用語集にもどる