RasPi 5(ARM64)にWazuhをDocker Composeで構築しようとしたらIndexerが落ちて失敗。直接インストールに切り替えた実録。3台を監視したらCritical脆弱性が203件出てきた話。
この記事でわかること
- RasPi 5(ARM64)でDocker版Wazuhが落ちる理由と、安定して動く代替手順
- debパッケージによる直接インストールのコマンド(そのまま使える)
- 実際に検知されたCritical脆弱性203件の概要
検証環境: Wazuh 4.x系 / Ubuntu 24.04 LTS / RasPi 5(16GB) / 2026年2月時点
自宅のネットワークを監視したいと思ったのは、特に何か事件があったわけではありません。ただ、仕事でセキュリティ関係の話を20年以上聞いてきて、「うちのネットワーク、正直どうなってるか分からないな」という感覚がじわじわ積み重なっていた。
そこで選んだのが Wazuh。オープンソースのSIEM(セキュリティ情報・イベント管理)ツールで、ネットワーク上の端末を監視してセキュリティイベントをリアルタイムに収集します。企業用途では有名ですが、個人のhomelabに無料で使える点がポイントです。
展開場所は Raspberry Pi 5(16GB)。既にHome Assistantを動かしていて余力があったこと、省電力で24時間稼働できることが理由です。使ったパーツと構成の詳細はHomelab構成ページにまとめています。
問題は——Dockerで入れようとしたら、盛大に失敗したことです。
Wazuhの公式サイトを見ると、インストール方法の最初に Docker Composeでの構築 が案内されています。これが一番手軽に見える。
実際にやってみました。docker-compose up -d でコンテナが起動し、しばらく待つと——Wazuh Indexer(OpenSearchベースの検索エンジン)が落ちる。再起動する。また落ちる。
ログにはメモリ不足のエラーが出ていましたが、RasPi 5は16GBあります。問題はメモリ量ではなく、ARM64アーキテクチャとWazuh Indexerの相性でした。
Wazuh IndexerはOpenSearchをベースにしており、x86_64を前提に最適化されています。ARM64では動作が不安定になるケースが報告されており、Docker版はIndexer・Manager・Dashboardを同一ホストで動かす構成のため、Indexerが落ちると全体が道連れになります。
| 方式 | ARM64での安定性 | メモリ使用量 |
|---|---|---|
| Docker Compose版 | 不安定(Indexerクラッシュ頻発) | 高い(全コンポーネントが同居) |
| 直接インストール(deb) | 安定 | 比較的低い |
「公式が推しているインストール方法が動かない」。気持ちが萎えますが、これは直接インストールに切り替えれば解決します。
Ubuntu 24.04 LTSが動いているRasPi 5に、WazuhのAPTリポジトリを追加してインストールします。Wazuh公式ドキュメントにも詳細な手順がありますが、ARM64環境では以下のdebパッケージ方式を推奨します。
# Wazuhリポジトリの追加
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
gpg --no-default-keyring \
--keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] \
https://packages.wazuh.com/4.x/apt/ stable main" | \
tee /etc/apt/sources.list.d/wazuh.list
apt-get update
インストール順序は Indexer → Manager → Dashboard の順番が重要です。依存関係があります。
apt-get install wazuh-indexer
apt-get install wazuh-manager
apt-get install wazuh-dashboard
インストール後、wazuh-passwords-tool.sh でパスワードを生成・設定し、各サービスを起動します。
systemctl daemon-reload
systemctl enable --now wazuh-indexer
systemctl enable --now wazuh-manager
systemctl enable --now wazuh-dashboard
ブラウザで https://<RasPi5のIP>:443 を開くと——Wazuh Dashboardが起動しています。
Dockerで詰まっていた時間が嘘のように、あっさり動きます。その後1週間稼働させていますが、Indexerが落ちることは一度もありませんでした。再起動テストも3回実施済みで、いずれも正常起動を確認しています。
WazuhはSIEMの「サーバー側」です。実際にセキュリティイベントを収集するには、監視対象の端末に Wazuhエージェント をインストールします。
自宅環境では以下の3台を対象にしました。
Dashboardの「Deploy new agent」ボタンから、OS・アーキテクチャを選ぶとインストールコマンドが自動生成されます。各端末でそれを実行するだけです。

3台が登録されました。Ubuntu 2台がアクティブ、Windows 1台は現在disconnected(電源OFF中)です。
エージェントが繋がると、Wazuh Overviewに各エンドポイントの状態が集約されます。

ENDPOINT SECURITYセクションには設定評価・マルウェア検知・ファイル整合性監視などのモジュールが並んでいます。THREAT INTELLIGENCEにはVulnerability Detection(脆弱性検知)、Threat Hunting、MITRE ATT&CKフレームワークとの連携もあります。
「自宅homelab用に入れた」とは言いましたが、このUIを見たとき、これは企業向けのツールだ、と正直思いました。機能の密度が違います。
Wazuhを動かしてすぐ、Vulnerability Detectionに数字が出ました。

Critical: 203件、High: 927件、Medium: 1,877件。
正直、引きました。
ただ、これは「今すぐ攻撃されている」という意味ではありません。Wazuhは端末にインストールされているパッケージのバージョンを収集し、既知のCVEデータベースと照合しています。つまり「このソフトウェアには既知の脆弱性がある」という事実の列挙です。
Top 5に出ているCVEを見ると、CVE-2023-3326(PAM関連・CVSS 9.8 Critical)などが並んでいます。これらが何者なのか、対処が必要なのか、放置していいのかは——別の記事で掘り下げます。数が多いので一記事では収まりません。
なお、この構成をその後4.5ヶ月運用した実測データ(メモリ2.7GB・ノイズとの付き合い方・実際に飛んだアラート実例)は
BlogLinux向け無料EDRは実質Wazuh一択だった — 自宅RasPi 5で4.5ヶ月運用した本音と実測個人のLinuxで無料EDR的監視はWazuhが現実的。RasPi 5で4台を4.5ヶ月運用した実測と、商用EDRとの違いを整理します。→ にまとめています。
必須の注意点:
良かった点:
しんどかった点:
自宅のネットワークが何をしているか、ずっと分からないままにしていた。「何も起きていなかった」のか「何かが起きていたけど気づかなかっただけ」なのか、監視を始めるまで区別ができていなかったのだと気づきます。
監視を始めることは、知らなくて良かったことを知ることでもある。それでも、見えるようにしたほうがいいと思っています。
セキュリティを強化するなら、パスワード管理の見直しも合わせて検討してみてください。
Blogパスワード管理に困っていない?Bitwardenで始めるセキュアなパスワード管理全部同じパスワードを使い回していませんか?Bitwardenを使えば無料で安全にパスワード管理ができます。おすすめ設定・注意事項・デメリットまで正直に解説します。→や、
Blog1Passwordは本当におすすめ?プロが教える正直レビューと使いこなし術有料パスワードマネージャーの代表格1Password。料金に見合う価値はあるのか?UI/UX・セキュリティ・家族プランのメリットとデメリットを正直に解説します。→も参考にどうぞ。パスワードだけでなくSSH鍵まで同じRasPi 5で一元管理する構成は
Blogパスワードも SSH 鍵も、自宅に置いておく——Vaultwarden + Bitwarden SSH Agent で作る個人セキュリティ基盤クラウドパスワードマネージャーへの不安と ~/.ssh/ ファイル管理の煩雑さを、Vaultwarden(RasPi 5 Docker)と Bitwarden SSH Agent の組み合わせで解決した実録。GNOME Keyring の競合解消・毎回確認ダイアログによるプロンプトインジェクション対策・snap バージョン非依存のソケット設定まで解説。→に実録をまとめています。
Q. RasPi 5(ARM64)でWazuhは動きますか?
A. 動きますが、Docker Compose版のWazuh Indexerが不安定です。debパッケージを使った直接インストール方式なら安定動作します。この記事で紹介した手順でインストールしてください。
Q. Docker版と直接インストールの違いは何ですか?
A. Docker Compose版はIndexer・Manager・Dashboardをコンテナで一括起動する方式で、x86_64環境では便利です。ARM64(RasPi 5等)ではWazuh IndexerベースのOpenSearchがクラッシュするため、直接インストール(debパッケージ)を推奨します。メモリ使用量も直接インストール方式の方が少ない傾向があります。
Q. 脆弱性が大量に検知されましたが、すぐに危険な状態ですか?
A. 即座に「攻撃されている」ということではありません。Wazuhは既知のCVEデータベースとパッケージバージョンを照合しており、「このソフトウェアに既知の脆弱性が存在する」という事実を列挙しています。Critical件数が多くても、インターネットに直接公開されていないサービスや、エクスプロイトが困難な脆弱性も含まれます。各CVEの内容を確認して優先順位をつけることが重要です。詳細な分析は次の記事で扱う予定です。
HW系エンジニアとして20年以上、10,000件を超える顧客訪問と2,000件を超える単独ソリューション実績。AIツールを使った個人開発やIoT農園など、Raspberry Piを使ったオートメーション化なども実践中です!エンジニア専門結婚相談所も運営中、ClaudeCodeで解決できない心の課題も解決いたします!