検索
特集/連載

いまさら聞けない「SIEM」「SOAR」「XDR」の役割と活用シーンSIEM、SOAR、XDRの違い【前編】

巧妙化するサイバー攻撃から自社を守るには、検出から対処まで一貫して実施できるセキュリティ体制が不可欠だ。その中核を担う「SIEM」「SOAR」「XDR」はそれぞれどのようなツールで、どのような役割を果たすのか。

Share
Tweet
LINE
Hatena

関連キーワード

SIEM(セキュリティ情報イベント管理) | 運用管理 | セキュリティ


 「SIEM」「SOAR」「XDR」はいずれも企業のセキュリティ対策に欠かせないツールだが、それぞれに得意な領域と課題がある。各ツールの機能はどのように異なり、それぞれどのような役割を持つのかを解説する。

それぞれの概要は?

 現代のセキュリティ部門にとって、サイバー攻撃への備えは経営における重要課題だ。サイバー攻撃のリスクを低減させるための技術や手法は多様化している。その中でも広く普及しているのが、脅威の特定から評価、管理、解決までを実行し、事業の継続を支える以下の3つのツールだ。

  • SIEM(Security Information and Event Management)
    • セキュリティイベントをはじめとする各種イベントのログデータを収集、分析して不審な振る舞いを特定する。インシデントにつながる異常や兆候を可視化することで、インシデント発生時に素早く対処できるように支援する。
  • SOAR(Security Orchestration and Response)
    • インシデントに関するデータを分析し、対処を自動化することで、SOC(Security Operations Center)による迅速なインシデント解決を可能にする。
  • XDR(Extended Detection and Response)
    • 能動的に脅威を見つけ出す「脅威ハンティング」、誤検知の特定、脅威インテリジェンスの生成といった機能を提供する。

 これらの製品分野を比較し、企業が全社的なセキュリティ対策を強化するために、どれが適しているのかを選択する上でのヒントを以下に示す。

SIEMとは?

 「セキュリティ情報の管理」と「セキュリティイベントの管理」という2つの要素を融合させたツールがSIEMだ。重要な役割の一つとして、企業が主要なセキュリティ基準や法規制への準拠(コンプライアンス)ができるよう支援することがある。近年はAI(人工知能)技術の導入が進んでおり、SIEMの分析能力の向上に貢献している。これによって、サイバーインシデントの兆候や実害の特定精度の向上が期待される。

 現在および未来の分析に備え、セキュリティイベントのデータを集積し続けることがSIEMの核となる活動だ。SIEMは収集したイベントデータを独自のルールに基づいて分析し、過去のサイバー攻撃に関する膨大なデータベースと照合することで、脅威の深刻度を評価する。

 SIEMが生成するインテリジェンスは、インシデントの対処や被害の緩和、復旧計画を立てる上での基礎になる。ダッシュボードはサイバー攻撃に関するデータをリアルタイムで提示し、セキュリティ部門が迅速な対処や作業の優先順位を付ける際に活用できる。

SOARとは?

 サイバー攻撃への対処を自動化することがSOARの主な役割だ。SOCにSOARを導入することで、セキュリティ部門の業務効率の向上が期待できる。セキュリティ担当者が他の課題に取り組んでいる間も、SOARは検出されたセキュリティ侵害を能動的に対処し、状況の沈静化に向けた進展状況をリアルタイムで報告する。

 SOARのオーケストレーション機能は、関連するセキュリティツール群を連携させることによってインシデント対処の効率を高める。セキュリティツール群が連携した状態下で自動化機能が動作し、あらかじめ定義されたプレイブック(対処手順書)や各種ツールを駆使して、最も効果的な対策を講じる。

 近年ではAI技術の活用が進んでいる。AI技術を用いることで、特定のインシデントに適した対処法を評価、選択するプロセスを効率化できることが主な理由だ。

XDRとは?

 今日の企業におけるシステムは、さまざまな形態のデバイスが稼働し、オンプレミスシステムとクラウドサービスが混在した複雑な構造になっている。XDRはこうした複雑なシステム全体を網羅するセキュリティツールだ。オフィスのPCやサーバ、社内ネットワーク、WAN(広域ネットワーク)、遠隔地の拠点にあるシステムを監視対象として、脅威の検出、分析、対処のための機能を提供する。こうした機能を実現する上で、高度な分析能力を持つAI技術はXDRにとって不可欠な要素になりつつある。

 SOARと同様に、XDRもセキュリティにおける防御、検出、分析、対処といった一連の活動を網羅的に実行する。XDRはインシデント対応を自動で開始し、検知から対応、被害の緩和に至る全ての活動をエンドツーエンドで自動管理できる。さらに、不審なコードを駆除するだけでなく、システムを正常な状態へ復旧させる活動も実行可能だ。

 次回は、3つのツールの違いと選定ポイントを紹介する。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る