XDRとは? SIEMとは?
両者の仕組みと効果の違いを解説
年々巧妙化し、大規模化しつつあるサイバー攻撃。社内と社外との境目のセキュリティ対策を施し、「危険な社外からの攻撃に対し、社内を安全に保つ」という、従来の境界型の防御は過去のものとなりつつあります。今やセキュリティ対策は、サーバーやPC端末単体に留まらず、システムやサプライチェーンを含むネットワーク全体が保護の対象としなければならない時代となっているのです。さらに、対策に対する考え方についても、「攻撃を未然に防ぐ」というものから、「攻撃を受けた場合にも被害を最小限に保つ」「攻撃対処後に被害範囲を正確に特定する」というように、攻撃を受けることを前提としたものに変化しています。
そんな状況下で注目を集めているセキュリティソリューションが、「XDR」と「SIEM」です。今回は、XDR、SIEMそれぞれの詳細や仕組み、そして両者の役割の違いについて解説します。
XDRとは
XDR(Extended Detection and Response)とは、サイバー攻撃を検出し、分析して対処するまでを自動的に行うセキュリティプラットフォームのことを指します。
セキュリティ対策ソリューションと言えば、かつてはPCやサーバーなどの端末(エンドポイント)にインストールして使用することで、マルウェア感染を予防するアンチウイルスソフトが主流でした。これらのソフトウェアはEPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)と呼ばれています。一般的に、EPPはあらかじめ登録されたパターンに合致するかどうかでマルウェアを検出する「ルールベース」で動作するため、未知のウイルスには対処できません(ただし、現在では未知のウイルスにも対応可能な「NGAV(Next Generation Anti-Virus:次世代アンチウイルス)」も登場しています)。
その後、EPPはマルウェアに感染することを前提とし、端末のログをリアルタイムで収集・解析することで端末内の不正な動作を検知するEDR(Endpoint Detection and Response:エンドポイントにおける検知および対処)へと進化しました。端末内でのファイル操作やコマンドライン実行などの活動を監視し、感染が確認されると自動的に対処する仕組みのため、感染時の被害を低減することができます。また、不審な活動がないかを監視するため、未知のサイバー攻撃や未知の脆弱性を突いた攻撃にも対応が可能であるという特長があります。
そして、EDRはさらにXDR(Extended Detection and Response:拡張された検知および対処)へと進化しました。XDRは、端末だけでなく、ネットワーク、クラウド、メールなども対象としてリアルタイムのセキュリティ監視および保護を実施します。そのため、ネットワークを通じた機密情報の送受信など、内部不正の防止にも有効です。近年では、AIの機械学習を活用してセキュリティ性能を強化する、「AIセキュリティXDR」も登場しています。
セキュリティ対策に関する指標として、MTTDやMTTRがあります。MTTD(Mean Time To Detect:平均検出時間)は、攻撃を受けてから実際に検知するまでの平均時間を表し、MTTR(Mean Time To Recovery、平均復旧時間)は検知してから対処が完了するまでの平均時間を表します。これらの指標をまとめて「インシデントレスポンス」と呼びますが、EPP では数日程度であったMTTRがEDRでは数十分程度に、そしてXDRは数分程度に短縮されたという統計もあります。EPP、EDR、XDRの進化に伴い、サイバーセキュリティ性能が確実に向上していることが客観的に把握できるでしょう。
概要:今さら聞けない!EPPとEDRの違い
| 日本語の意味 | 保護の対象 | 主な働き | |
|---|---|---|---|
| EPP(Endpoint Protection Platform) | エンドポイント保護プラットフォーム | エンドポイント | エンドポイントのマルウェア感染保護 |
| EDR(Endpoint Detection and Response) | エンドポイントにおける検知および対処 | エンドポイント | マルウェア感染検知と自動対処 |
| XDR (Extended Detection and Response) | 拡張された検知および対処 | エンドポイント、ネットワーク、クラウド、メールなど | ネットワーク全体のリアルタイム監視および保護 |
SIEMとは
SIEM(Security Information and Event Management:シーム)は、監視対象となるネットワーク機器のログを一元管理し、相関分析を行うことで、ネットワークを統合監視するセキュリティプラットフォームのことを指します。元々は別の機能であった、「SIM」と「SEM」の機能を統合する形で生まれました。日本語では、「セキュリティ情報イベント管理」「統合ログ管理ツール」などと呼ばれることもあります。
SIM(Security Information Management:セキュリティ情報管理)は、各ネットワーク機器のログを後から検索できるように保存する仕組みで、単に「ログ管理」と呼ばれることもあります。インシデント発生時に被害範囲を正確に把握するなどの役割を持ちます。一方、SEM(Security Event Management:セキュリティイベント管理)は、各ネットワーク機器のログをリアルタイムで監視し、不正な活動を検出した場合にはアラーム発報などを行う仕組みです。SEMにより、早期の脅威対処が可能となります。そして、これら2つの機能を統合したものが「SIEM」です。
SIEMの監視対象にはIDS/IPS、プロキシサーバーやファイアウォールなどが含まれ、それらのログを相関的に分析することで迅速に脅威を検出します。ログには、誰がそのデータにアクセスしたのかといった情報も含まれるため、機密情報の適切な管理など、企業のコンプライアンス遵守への取り組みにも有効です。また、過去のログを自動分析・調査し、潜在的な脅威を積極的に捜索する「脅威ハンティング」にも活用することができます。現在では、AIの機械学習を活用してセキュリティ性能を強化する、「AIセキュリティSIEM」も登場しています。ただし、最終的に重要なトリアージ(優先順位付け)を行うのは基本的に人間であることに注意しなければなりません。リアルタイムで「アクティブ」な対応に重心を置いたXDRと比較すると、SIEMは長期的なデータ保管などに重心に置いた「パッシブ」なソリューションと言うことができます。
XDRと同じく、SIEMもインシデントレスポンスを高めるセキュリティソリューションの一種です。SIEMの導入により、MTTRが240分から96分に短縮されたという報告もあります。
参考:「How Does the 2025 AI Next-Gen SIEM Outlook Reduce MTTR in Hybrid Clouds? - QY Research」(英語)
概要:今さら聞けない!SIM、SEMとSEIMの違い
| 日本語の意味 | 主な機能 | 主な働き | |
|---|---|---|---|
| SIM(Security Information Management) | セキュリティ情報管理 | ログ保存 | インシデント発生時の原因究明 |
| SEM(Security Event Management) | セキュリティイベント管理 | リアルタイムログ監視 | インシデント発生時の早期対処 |
| SIEM(Security Information and Event Management) | セキュリティ情報イベント管理 | リアルタイムログ監視による脅威の検出、対処 | インシデント検出および対処 |
両者を組み合わせることでセキュリティ性能が向上
これまで解説したように、XDRとSIEMはどちらもセキュリティ監視を行い、セキュリティリスクを低減するソリューションです。現在では双方の多機能化、進化が進み、結果として重複する機能もありますが、誕生当初の目的が異なることもあり、両者はそれぞれを補完し合う関係にあると言えます。
リモートワークの普及により社外から社内ネットワークに複数アクセスする機会が増加し、またクラウドサービス利用の拡大により、機密データを社外に保存する機会も増加しました。そのため、従来の外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)との境界にファイアウォールをはじめとするセキュリティ対策ソリューションを配置し、内部ネットワークを防御し安全を保つ方法、いわゆる「境界型セキュリティモデル」は限界を迎えつつあります。
そこで登場したセキュリティモデルが、すべての通信を信用せず、検証することでセキュリティを確保する「ゼロトラストモデル」です。XDR、SIEMはともにゼロトラストを構成する技術の一部として知られており、導入する企業が増加しています。
そうした理由から、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)セキュリティフレームワークおよびFISC(The Center for Financial Industry Information Systems:金融情報システムセンター)の安全対策基準においてもXDR、SIEMは評価・重要視されています。
自社の体制に不安がある場合には、外部のSOCの利用も有効
このように企業のセキュリティ性能やインシデントレスポンスを劇的に向上できるXDRやSIEMですが、一方で導入には課題もあります。
現在ではセキュリティ対策とIT運用を組み合わせたSecOps(Security+Operation)の考え方が主流となり、IT担当部署(チーム)の業務は複雑で年々増加傾向にあります。検知漏れを防ぐために検知精度を上げる判断など、運用方法によっては過検知が起こり、大量のアラートにより担当者がアラート疲れ(アラート疲労)を起こすこともあります。
運用負荷を軽減するためには、外部のSOC(Security Operation Center、セキュリティオペレーションセンター)に24時間365日のリアルタイム監視を外部委託や連携するプロセスも有力な一手となります。現在では、EDRをマネージドセキュリティサービスとして提供するMDR(Managed Detection and Response)、XDRをマネージドセキュリティサービスとして提供するMXDR(Managed Extended Detection and Response)などさまざまなサービスが複数登場していますので、紹介します。
NTTドコモビジネスのセキュリティAIプラットフォーム「SentinelOne(センチネルワン)」は、エンドポイントのセキュリティ対策となるNGAV、EPP、EDR機能を統合して提供するセキュリティプラットフォームです。レガシーOSを含むWindows、Mac、Linuxなど幅広いOSに対応しており、ガートナー社のマジック・クアドラントで「リーダー」に選出されるなど、世界トップクラスの保護・検知能力を誇ります。
さらにNTTドコモビジネスの標準マネージドサービス「X Managed®」にも、SentinelOneを標準セキュリティコンポーネントとして採用されています。「X Managed® works with SentinelOne」とすることで、ゼロトラスト環境の実現をサポートできます。
会社のIT担当部署の負担軽減や人材リソースに課題・問題がある場合には、ぜひ導入を検討してみてはいかがでしょうか。
まとめ
今回この記事では、ネットワークのセキュリティプラットフォームであるXDRとSIEMについて解説しました。XDRおよびSIEMは、年々高度で複雑化、巧妙化するサイバー攻撃に対し、サイバーセキュリティを高め、インシデントレスポンスを向上させるための有力なソリューションと言えます。XDRはリアルタイムで脅威に対策・対応するアクティブなソリューション、SIEMは長期的な分析などを行うパッシブなソリューションという違いがあり、両者を組み合わせることでより一層セキュリティリスクを低減するメリットがあります。
ゼロトラスト環境を実現するためにも必要なソリューションと言えますので、この機会に自社セキュリティ最適化について再考してみてはいかがでしょうか。
X Managed®
ICTコラムお役立ち資料
