なぜ“手を動かす”ことがそれほど大切なのか。たとえばSigmaやYARAのルールを書けても、本物の攻撃ログに当ててみなければ、それが本当に効くのか分かりません。ZeekやSuricataも、実際に通信を流してログが生まれる様子を見て初めて“腑に落ちる”。自宅ラボは、「攻撃を起こす→検知される様子を見る→検知を改善する」というサイクルを、リスクゼロで回せる装置なのです。これは座学の何倍もの学びになります。

そして、自宅ラボには「安全と合法」という、何にも代えがたい価値があります。攻撃手法や検知を学ぼうとすると、つい本物のシステムで試したくなりますが、それは厳禁。自分が所有し、外部から隔離した環境の中なら、何を試しても自由で、誰も傷つけません。“隔離された箱庭”を持つこと——それが、防御者として安心して腕を磨くための、最初の一歩なのです。

ラボの土台は仮想化ソフト（ハイパーバイザ）です。1台のPCの中に複数の仮想マシンを動かすための道具で、無料の VirtualBox、VMware Workstation、サーバー向けの Proxmox などがあります。その上に、役割の違う3つのVMを立て、インターネットから切り離した“隔離ネットワーク”でつなぐ——これが基本形です。

ここで“隔離”の肝になるのが、ハイパーバイザのネットワークモードの選び方です。仮想マシンの接続方法には主に4種類あり、ラボでは使い分けが決定的に重要です。ブリッジ（家庭LANに直結）とNAT（ホスト経由でインターネットに出る）は、検体や攻撃通信を外へ漏らすため検証VMには使いません。代わりに、internal（内部ネットワーク）＝VM同士だけが通信できる完全隔離か、host-only＝ホストPCとVMの間だけに閉じた構成を選びます。「外に出る線を、そもそも引かない」——これが隔離の本質です。

仮想環境ならではの便利な点が、“仮想SPAN”です。物理ネットワークではSuricataやZeekに通信を渡すためにスイッチのミラーポートやTAPが要りましたが、ラボではSecurity Onionの監視用NICを“プロミスキャスモード”にするだけで、同じ隔離スイッチ上を流れる全通信が見えるようになります。3つのVMの役割は、次のとおりです。

Security Onionは、Doug Burks氏が中心に開発する、ネットワーク監視・脅威ハンティング・ログ管理のためのオープンソースLinuxディストリビューションです。何がすごいかというと、プロのSOC（セキュリティ運用センター）が使う道具一式が、1つにまとまって無料で手に入ること。個別に導入・連携させると大変なツール群を、最初から“つながった状態”で使えます。

導入方法はいくつかありますが、自宅ラボの入門に最適なのが「Import（取り込み）構成」です。これはサーバーを常時動かさず、解析したいpcapやログを“放り込む”だけの軽量モード。手持ちの演習用pcapを取り込めば、Zeek／Suricataが自動で解析し、結果をKibanaで見られます。リソースも控えめなので、まずはここから始めるのがおすすめです。

Import構成の主役コマンドが so-import-pcap です。世界中の防御者が公開する演習用pcap（後述）を、これ1行で解析パイプラインに乗せられます。

▲ so-import-pcap は、1本のpcapからSuricataのアラート・Zeekのログ・抽出ファイルを一気に生成し、Kibanaで横断検索できる状態にしてくれます。“Wiresharkで1パケットずつ”の先にある、“俯瞰して狩る”世界の入口です。

“取り込む”だけでは物足りなくなったら、「Eval（評価）構成」へ進みましょう。こちらは監視用NICを常時動かし、ライブの通信をリアルタイムで監視できます。さらにSecurity Onionには、エンドポイントを監視するWazuh、ブラウザ上で攻撃を追うHunt／ダッシュボード、調査をまとめるケース管理までそろい、まさに“1台に詰まったSOC”。最初はImportで“読む”感覚をつかみ、慣れたらEvalで“リアルタイムに狩る”へ——段階を踏むほど、無理なく力がつきます。

自宅ラボで“何でも試せる”のは、外の世界から完全に切り離されているからです。この隔離が破れると、検証用のマルウェアが家庭LANや会社のネットワークに飛び火したり、攻撃シミュレーションが外部に漏れたりと、一気に危険な存在に変わります。隔離とスナップショット——この2つだけは、絶対に手を抜かない。それがラボの“安全装置”です。

仕組みはシンプルです。検証VMのネットワークは、ハイパーバイザの設定で「host-only（ホストオンリー）」や「internal（内部）」にして、NATやブリッジ（＝インターネットや家庭LANに出る設定）を絶対に使わない。これで通信は隔離スイッチの中に閉じ込められます。検体がインターネットに出たがる場合は、本物につなぐのではなく、INetSimのような“偽のインターネット”を立て、DNSやWebの応答を演じさせて挙動だけ観察します。

隔離できているかは、必ず“自分の目で”確認します。検証VMから外部に出られないことを確かめるのが確実で、“つながらないこと”が“正常”——この逆転した感覚に慣れましょう。

もう一つの命綱がスナップショットです。仮想マシンの“ある瞬間の状態”をまるごと保存しておき、実験で汚れたらボタン一つで巻き戻す。これがあるから、マルウェアを動かそうが、システムを壊そうが、何度でもやり直せます。「実験の前にスナップショット」を、歯磨きのように習慣化しましょう。安全が確保できて初めて、ラボは“自由な学びの場”になります。

ラボができたら、いよいよ“攻撃”を起こして、検知される様子を観察します。とはいえ、本物のマルウェアを動かす必要はありません。むしろ初心者は避けるべき。攻撃の“見え方”を安全に学べる、3つの王道があります。

いちばんのおすすめは、やはりpcapの再生です。世界中のアナリストが解析・公開している“本物の攻撃通信”を取り込めば、攻撃者の手口がSuricataのアラートやZeekのログにどう現れるかを、リスクなく学べます。慣れてきたら、Atomic Red Teamで“自分の防御”をテストへ。これは攻撃の指南ではなく、「自分のラボで、自分の検知が効くかを確かめる」防御者のためのツールです。

テレメトリを生んだら、“ちゃんと検知されたか”をKibanaで確かめるのを忘れずに。pcapを取り込んだらSuricataのアラート画面を開き、どのルール（SID）が、どの通信に反応したかを追います。さらにZeekのログを flow_id でたどれば、“1つのアラート”の背後にある通信の全体像が見えてくる。“起こした攻撃”と“光った検知”を突き合わせる——この答え合わせの反復こそが、検知の勘所を育てます。

▲ tcpreplay は保存したpcapをネットワークに“再生”し、ライブ監視の練習になります。Invoke-AtomicTest（Atomic Red Team）は、ATT&CKの手口を“検知テスト目的”で安全に1つ実行する仕組み。必ず自分のラボ＋スナップショット前提で。

道具がそろい、安全も確保できたら、いよいよ検知エンジニアリングの“学びのループ”を回します。これは、これまでの記事で学んだ道具が、すべて一つの流れにつながる瞬間。起こす → 見える → 狩る → 検知を書く → 測る、そしてまた起こす——この反復こそが、防御者を育てます。

このループの素晴らしさは、一つひとつのステップが、これまでの記事と対応していること。①は本章で学んだ安全なテレメトリ生成、②はZeek・Suricata・Sysmon、③はKibanaでのログ分析と脅威ハント、④はSigma・YARA・Suricataルール、⑤はMITRE ATT&CKでのカバレッジ測定。バラバラだった道具が、ここで一本の“実戦の型”になります。さらに、検知して終わりではなく、インシデント対応の初動を演習するところまで、ラボなら安全に練習できます。

練習は、背伸びせず段階的に進めるのがコツです。初級は“見る”——演習pcapを取り込み、SuricataのアラートとZeekのログを読み解く。中級は“書く”——同じ攻撃に対して自分でSigmaやSuricataのルールを書き、ちゃんと光るか検証する。上級は“つなぐ”——ATT&CKの一連の攻撃チェーンを再現し、どこで検知できて、どこに穴があるかを地図化する。1段ずつ上るうちに、気づけば“実戦の型”が身についています。

ここまでに登場した言葉の“答え合わせ”として、用語集とFAQをまとめました。自宅ラボは奥が深い世界ですが、入口はこの記事の範囲で十分です。あとは安全を守りながら、少しずつ環境を育てていきましょう。最初の1本のpcapを“狩れた”とき、これまで読んできた記事のすべてが、一本の線でつながります。

📖 用語集

❓ よくある質問（FAQ）

🧭 次に読む