いまさら聞けない「EDR」と「SIEM」の“機能の違い”とは?「EDR」と「SIEM」を比較【前編】

サイバー攻撃の脅威が拡大する中、エンドポイントセキュリティを強化する「EDR」や「SIEM」の活躍の場が広がっている。従来のアンチマルウェアツールを超えるEDRと、SIEMの機能に迫る。

2024年09月17日 05時00分 公開
[Ravi DasTechTarget]

関連キーワード

SIEM(セキュリティ情報イベント管理) | エンドポイントセキュリティ | セキュリティ | セキュリティ対策


 サイバー攻撃の脅威が絶えない中、企業は自社を守るためにさまざまなセキュリティツールを活用している。ツールごとに機能や働きが異なるため、どのツールを導入すべきか、あるいは併用すべきかを選択するのは難しい。

 代表的なセキュリティツールの例が、「EDR」(Endpoint Detection and Response)ツールと「SIEM」(Security Information and Event Management)ツールだ。これらは両方とも脅威の監視と検出に役立つツールだが、幾つかの違いがある。それぞれの特徴やメリット、共通点、異なる点を掘り下げよう。

そもそも「EDR」と「SIEM」の違いとは?

 EDRツールは、物理サーバやPC、モバイルデバイスから仮想マシン(VM)まで、幅広いエンドポイントから情報を収集する。その目的は、疑わしい動きや差し迫った脅威をリアルタイムで検出し、特定することだ。セキュリティ担当者が、エンドポイントで発生したデータ侵害を封じ込めることを支援する。基本的なアンチマルウェア(アンチウイルスとも)機能に加えて、高度な分析機能や自動インシデント対処機能を備える。

EDRツールの機能

 以下はEDRツールの主要な機能だ。

  • 大規模データ分析
    • 機械学習(ML)などの人工知能(AI)技術を活用して大量のデータを処理する。
    • データを基に、攻撃手法や侵入経路に関する情報を自動更新し、迅速かつ効果的なインシデント対処を支援する。
  • 最新の情報に基づいた対処
    • インシデントの原因やデータ侵害のリスクといった、サイバー攻撃や脅威の情報を迅速かつ効率的に報告する。
  • 包括的なインシデント対処
    • 他のセキュリティツールと連携し、データ侵害に迅速に対処する。
      • 例えばエンドポイントがランサムウェア(身代金要求型マルウェア)などのマルウェアに感染した際は、自動対処プログラムを起動し、影響を受けたエンドポイントにセキュリティ担当者がすぐアクセスできるようにする。この操作によって、セキュリティ担当者はレジストリ(設定情報をまとめたファイル)などの重要なファイルを復元できる。
  • 完全なアクセス権の提供
    • 攻撃を受けたエンドポイントへの完全なアクセス権を提供する。セキュリティ担当者はこのアクセス権を使って、インシデントの潜在的な証拠を掘り起こし、フォレンジック(インシデント発生時の痕跡調査や被害解明の取り組み)を遂行可能だ。

「SIEM」とは何か?

 SIEMとは、セキュリティ情報管理とセキュリティイベント管理を組み合わせた手法だ。具体的には、ファイアウォールやネットワーク侵入検出デバイス、ルーターのログファイルを収集して分析する。それらのデータから異常な挙動や攻撃の兆候を示すパターンを検出し、セキュリティ担当者にアラートを出す。最新のSIEMツールは、MLなどのAI技術を活用し、誤検知の抑制や不要なアラートのフィルタリング機能といった性能向上を実現している。

SIEMの機能

 一般的に、SIEMツールは以下の機能を備える。

  • ログの収集と管理
    • 管理下に置いた全デバイスからログを収集し、ログ間の関連性を分析する。分析結果から、マルウェアなどの攻撃の兆候を検出する。
    • ログファイルを保管し、データプライバシー規制についての監査に備えられるようにする。
  • 自動化
    • データ侵害が発生した場合の対処プロセスを事前に計画し、手順を自動化する。
      • 例えば脅威を封じ込めるためのプレイブック(条件に応じた処理の自動化を設定したスクリプト)を作成し、効率的な対処を支援する。
  • 特権管理
    • 上位のアクセス権限を持つアカウントを監視する。不適切なアクセス権の付与があった場合は、セキュリティ担当者にアラートを出す。
    • 不正アクセスされた疑いがあるアカウントを、自動的に無効化する。
  • UEBA
    • エンドユーザーとシステム(エンティティ)の異常な行動を検出する「UEBA」(User and Entity Behavior Analytics)の役割を果たす。
      • エンドユーザーが、適切なアクセス権限がない状態でファイルやフォルダにアクセスしようとしたときにアラートを出す。
      • シャドーIT(IT部門が把握していないツールの利用)を検出する。

 次回は、EDRツールとSIEMツールのメリットを比較する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ
会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方