セキュリティツールの乱立から抜け出す「防御の3本柱」戦略とは？：“増やせばよい”わけではない

複雑化するシステムを保護するためにセキュリティツールを追加し続ければ、「ツールの乱立」によって、かえってリスクが増えかねない。セキュリティツールを連携させつつ、効果的な防御を実現するための3要素とは。

≫ 2025年08月07日 05時00分公開

セキュリティを支える“3本柱”とは

併せて読みたいお薦め記事

セキュリティツールの乱立に対処する

　調査会社Gartnerは、この考え方に基づいた新しいSOC（Security Operation Center）のセキュリティモデルを提唱している。それが「SOC Visibility Triad」だ。このモデルは、以下の3つの基本要素を組み合わせることで、網羅的なセキュリティ体制を構築する。

SIEM（Security Information and Event Management）
EDR（Endpoint Detection and Response）
NDR（Network Detection and Response）

　この3要素（Triad）という概念は、2015年にアントン・チュバキン氏が提唱した。その目的は、「攻撃者が目的を達成するまで侵入先のネットワーク内で活動し続ける可能性を、大幅に減らす」ことにある。SOC Visibility Triadは、セキュリティ侵害を不可避なものとして受け入れつつ、脅威をいかに効果的に検出、対処し、被害を修復できるかを重視するセキュリティ戦略を推進する。

　Gartnerは、「脅威の高度化が進む中、脅威の検出と対処には複数のデータソースを利用することが不可欠だ」と指摘する。SOC Visibility Triadは、上記の3つの柱を組み合わせることで、それぞれのツールの長所を生かしつつ、弱点を補い合う仕組みだ。それぞれのツールが互いを補強し合うことで、多層的かつ広範なネットワークセキュリティを実現するという構想だ。

　以下で、1つ目の要素であるSIEMに焦点を当て、なぜSIEMが企業にとって重要かつ有益なのかを詳しく見ていきたい。

そもそもSIEMとは何か

　SIEMは、サイバーセキュリティに関連するイベントをリアルタイムで識別、監視、記録、分析するための仕組みだ。これによって、膨大なログデータを処理し、システムの異常や悪意のある振る舞いを検出できる。IT担当者はダッシュボードなどの可視化ツールを通じて、インフラの稼働状況を任意のタイミングで把握可能だ。

　SIEMは、複数のベンダーのハードウェアやソフトウェア、ネットワーク内にある全てのアプリケーションにわたって、ITインフラのセキュリティ状況を一元的かつ網羅的に可視化する。これにはエンドポイントやアプリケーション、クラウドサービスといった多様なデータソースから収集したログデータを利用する。収集したログデータは、形式が異なっていても相関分析しやすいように整形する。データの相関分析によって脅威の検出精度が向上し、脅威を早期に発見できるようになる。その結果、SIEMの最終目標である「ドウェルタイム（攻撃が発生してから検知されるまでの時間）の短縮」につながる。

　セキュリティ担当者はSIEMを利用することで、企業における脅威の全体像を把握し、定義済みのルールに基づいて攻撃を特定して、内外のセキュリティ脅威に対して先手を打つことが可能になる。これらのルールには、攻撃者が用いる最新の戦術、技術、手順（TTP）が反映されているインシデント発生時には、セキュリティ運用を自動化するSOAR（Security Orchestration, Automation, and Response）がアラートを起点にして、不審な活動の進行を自動で阻止し、迅速なインシデント対処を実現する。

　SIEMは、時間の経過とともに監視能力と精度が高まることが期待できる。そのため、進化し続ける脅威や攻撃者にも有効だ。多様なシステム構成に適合し、ビジネスの成長に合わせて規模を拡張できる適応性の高さも特徴だ。

TechTargetジャパントップセキュリティ