いまさら聞けない「EDR」と「SIEM」の“機能の違い”とは？：「EDR」と「SIEM」を比較【前編】

サイバー攻撃の脅威が拡大する中、エンドポイントセキュリティを強化する「EDR」や「SIEM」の活躍の場が広がっている。従来のアンチマルウェアツールを超えるEDRと、SIEMの機能に迫る。

≫ 2024年09月17日 05時00分公開

[Ravi Das，TechTarget]

そもそも「EDR」と「SIEM」の違いとは？

併せて読みたいお薦め記事

さまざまなセキュリティツール

　EDRツールは、物理サーバやPC、モバイルデバイスから仮想マシン（VM）まで、幅広いエンドポイントから情報を収集する。その目的は、疑わしい動きや差し迫った脅威をリアルタイムで検出し、特定することだ。セキュリティ担当者が、エンドポイントで発生したデータ侵害を封じ込めることを支援する。基本的なアンチマルウェア（アンチウイルスとも）機能に加えて、高度な分析機能や自動インシデント対処機能を備える。

EDRツールの機能

　以下はEDRツールの主要な機能だ。

大規模データ分析
- 機械学習（ML）などの人工知能（AI）技術を活用して大量のデータを処理する。
- データを基に、攻撃手法や侵入経路に関する情報を自動更新し、迅速かつ効果的なインシデント対処を支援する。
最新の情報に基づいた対処
- インシデントの原因やデータ侵害のリスクといった、サイバー攻撃や脅威の情報を迅速かつ効率的に報告する。
包括的なインシデント対処
- 他のセキュリティツールと連携し、データ侵害に迅速に対処する。
  - 例えばエンドポイントがランサムウェア（身代金要求型マルウェア）などのマルウェアに感染した際は、自動対処プログラムを起動し、影響を受けたエンドポイントにセキュリティ担当者がすぐアクセスできるようにする。この操作によって、セキュリティ担当者はレジストリ（設定情報をまとめたファイル）などの重要なファイルを復元できる。
完全なアクセス権の提供
- 攻撃を受けたエンドポイントへの完全なアクセス権を提供する。セキュリティ担当者はこのアクセス権を使って、インシデントの潜在的な証拠を掘り起こし、フォレンジック（インシデント発生時の痕跡調査や被害解明の取り組み）を遂行可能だ。

「SIEM」とは何か？

　SIEMとは、セキュリティ情報管理とセキュリティイベント管理を組み合わせた手法だ。具体的には、ファイアウォールやネットワーク侵入検出デバイス、ルーターのログファイルを収集して分析する。それらのデータから異常な挙動や攻撃の兆候を示すパターンを検出し、セキュリティ担当者にアラートを出す。最新のSIEMツールは、MLなどのAI技術を活用し、誤検知の抑制や不要なアラートのフィルタリング機能といった性能向上を実現している。

SIEMの機能

　一般的に、SIEMツールは以下の機能を備える。

ログの収集と管理
- 管理下に置いた全デバイスからログを収集し、ログ間の関連性を分析する。分析結果から、マルウェアなどの攻撃の兆候を検出する。
- ログファイルを保管し、データプライバシー規制についての監査に備えられるようにする。
自動化
- データ侵害が発生した場合の対処プロセスを事前に計画し、手順を自動化する。
  - 例えば脅威を封じ込めるためのプレイブック（条件に応じた処理の自動化を設定したスクリプト）を作成し、効率的な対処を支援する。
特権管理
- 上位のアクセス権限を持つアカウントを監視する。不適切なアクセス権の付与があった場合は、セキュリティ担当者にアラートを出す。
- 不正アクセスされた疑いがあるアカウントを、自動的に無効化する。
UEBA
- エンドユーザーとシステム（エンティティ）の異常な行動を検出する「UEBA」（User and Entity Behavior Analytics）の役割を果たす。
  - エンドユーザーが、適切なアクセス権限がない状態でファイルやフォルダにアクセスしようとしたときにアラートを出す。
  - シャドーIT（IT部門が把握していないツールの利用）を検出する。

　次回は、EDRツールとSIEMツールのメリットを比較する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ