セキュリティとガバナンス

SIEMとEDRの違いや使い分けについて

高度化したサイバー攻撃に対して強力なセキュリティ対策を講じるためのトレンドが「SIEM(Security Information and Event Management/セキュリティ情報及びイベント管理)」と「EDR(Endpoint Detection and Response/端末検知及び対応)」です。これらのセキュリティ製品は標的型攻撃など、検知や防御が難しいと考えられてきたサイバー攻撃に対して高い効果を発揮し、個人情報や機密情報をサイバー犯罪などの魔の手から守ります。では、SIEMとEDRはどのように使い分けるのが正解なのか?本記事では2つのセキュリティ製品の違いから解説していきます。

siem-edr

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

広範囲な情報収集でサイバー攻撃を検知するSEIM

SIEMの意味は「セキュリティ情報とイベントを管理する」であり、システム環境全体のイベントログ情報を収集し、統合した情報から分析を通じてサイバー攻撃の痕跡を発見・検知し、即座にセキュリティ管理者に通知するためのフレームワークです。

どんなに高度化されたサイバー攻撃であっても、システム上に残るイベントログ情報という足跡を消しながら潜伏を続けることは非常に困難です。つまり極端な話、システム環境全体のイベントログ情報をリアルタイムに監視することができれば、サイバー攻撃を検知できることになります。問題は、「誰がその監視を行うのか?」です。

旧来のセキュリティ製品は端末やサーバーなどのエンドポイントに導入するものやネットワークに設置して通信を監視するものなど、要するにサイバー攻撃の水際対策が主流でした。しかしそれらのセキュリティ製品を突破するサイバー攻撃が頻出するようになってから、新たな対策が模索されるようになり、そこで誕生したのSIEMというわけです。

また、システム環境全体のイベントログ情報を収集するシステムが以前から開発されていましたが、 SIEMはイベントログ情報の収集だけでなく自動的な相関分析によって検知と通知を非常に素早く行えるため、従来のそれとはセキュリティ面での性能が大きく異なっています。

無償で体験!Office 365 脅威可視化 + Microsoft Sentinel 検証支援サービス
Windows 365とAzure Virtual Desktop徹底比較セミナー

サイバー攻撃の検知と防御を自動化するEDR

1日のうちに誕生するマルウェアなどの新しい脅威の数は数万以上と言われています。しかも、多くの企業が日常的にサイバー攻撃を受けているというセキュリティ専門家の指摘もあり、そのうち一つでも攻撃が成功すれば、重大な情報漏洩などにつながる危険性があります。

EDRはそうしたリスクを前提としたセキュリティ製品であり、パソコンやサーバーといったエンドポイントでの攻撃検知と、その後の防御を自動化します。具体的にはエンドポイントに専用のエージェント(CPU消費率の少ない監視プログラム)を搭載し、システムやアプリケーションのアクティビティ情報(イベントログ情報)を取集することで不審な挙動を検出します。これによりサイバー攻撃をいち早く検知し、エンドポイントの保護を自動化できるのが大きな特徴です。

前述のように、マルウェア対策ソフトやファイアウォールなど従来のセキュリティ製品は水際でのサイバー攻撃防御を基本としています。しかしながら、高度化されたサイバー攻撃の前には無力である可能性があり、エンドポイントやそれが接続された業務システム、機密情報などは常に脅威にさらされていることになります。

EDRは従来のセキュリティ製品が重点に置いていた水際対策を強化するためのものであり、エンドポイントが攻撃を受けると内部ネットワークへ侵入されることを前提として、存在の有無をいち早く検知して防御する仕組みが備わっています。

また、従来のセキュリティ製品との大きな違いは、シグネチャベースのパターンマッチングに頼らずとも新手のマルウェアにも対応できることです。一般的なマルウェア対策ソフトは、セキュリティベンダーが都度更新するシグネチャ(マルウェアの特徴や攻撃パターンをまとめたファイル)をアップデートすることで、新しいマルウェアの脅威に対応します。しかしながら、シグネチャに記されていないマルウェアへの対応が遅れることでサイバー攻撃を許してしまう可能性があります。

一方、EDRはエンドポイント上での不審な振る舞いと思われるアクティビティを検知し、未知のマルウェアをも特定することが可能になります。

SIEMとEDRの使い分け

SIEMは長期間にわたってシステム環境全体のイベントログ情報を収集・保管・分析し、サイバー攻撃の傾向をトレンドとして表したり、コンプライアンス対応やレポーティング機能によって監査対応の際にも活躍するセキュリティ製品です。しかしながら、脅威を迅速に検知し、かつインシデントが発生した際に素早く状況分析を行い、防護するためのし仕組みとしては不十分な面もあります。

そのため、SIEMを補完するためのセキュリティ製品としての有力候補がEDRです。EDRはパソコンやサーバーなどのエンドポイントを常に監視しながら、疑わしい行動があった場合に脅威を即座に検知し、防御の自動化を実行することが可能です。

また、SIEMとEDRは相互に補完し合う関係にあることから、2つのセキュリティ製品が連携することでSIEMに送られる前のエンドポイント上の詳細なログをもとに脅威分析を行い、脅威発生や予兆の検知をより素早く行うことが可能です。

さらに、SIEMとEDRが連携することで検知したサイバー攻撃がどの段階にあるかを表すことができ、どの程度の危険度があるかも事前に知らせてくれます。脅威が影響を及ぼすシステムの範囲も視覚化されることで、より高度なセキュリティ対策が実施できます。

SIEMとEDRによる新しいセキュリティ体制を構築しよう

企業は、従来のセキュリティ対策に加えて未知の脅威にも対応できる新しいセキュリティ対策を構築することが重要です。この機会にSIEMとEDRにより新しいセキュリティ対策をぜひご検討ください。

実際どうなの?Microsoft 365・AzureSecurity入門編~TISのゼロトラストセキュリティ自社事例を大公開~
  • fb-button
  • line-button
  • linkedin-button

関連記事

Azure セキュリティの押さえておくべき5個のポイント
セキュリティとガバナンス
VDI/DaaS導入と運用の実績14,000台!TISによる仮想デスクトップ活用の「落とし穴」と対策
仮想デスクトップ
大規模なVDIを成功に導くポイントとは?導入失敗から学ぶ法則を紹介
仮想デスクトップ
クラウドへの移行ツール Azure Migrateの概要
クラウド移行(インフラ・DB)
データセンターの移行とは?方法や手順、注意ポイントを紹介
クラウド移行(インフラ・DB)
テレワークを活用した働き方改革。環境構築に役立つ「AVD」を紹介!
仮想デスクトップ
リモートワーク に潜む情報セキュリティリスクとは?
仮想デスクトップ
クラウド移行で成功するための4つのポイントとAzureで気をつける3つのポイント
クラウド移行(インフラ・DB)
AzureとAWS。その特徴とDaaS費用の比較
仮想デスクトップ
データセンターの安全性を確認する方法や評価基準を紹介
ハイブリッドクラウド
企業がクラウドへ移行すべき代表的なタイミング
クラウド移行(インフラ・DB)
レガシーシステムが抱える課題について考える
クラウド移行(インフラ・DB)
社内システムをクラウド化するメリットと流れ
クラウド移行(インフラ・DB)
Azureへの移行を徹底解説!オンプレミスからクラウド環境への移行手順
クラウド移行(インフラ・DB)
SIEMとは?必要性や機能、おすすめのSIEMソリューションを解説
セキュリティとガバナンス
マルチクラウド管理とセキュリティ対策を備える統合プラットフォームとは?
セキュリティとガバナンス
マルチクラウドのログ監視と運用に最適なAzure Sentinelとは?
セキュリティとガバナンス
AVDセキュリティ監視をするとVDIセキュリティ対策がレベルアップする
仮想デスクトップ
データセンター選定の際に気をつけたいポイント
クラウド移行(インフラ・DB)
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP