高度化したサイバー攻撃に対して強力なセキュリティ対策を講じるためのトレンドが「SIEM（Security Information and Event Management/セキュリティ情報及びイベント管理）」と「EDR（Endpoint Detection and Response/端末検知及び対応）」です。これらのセキュリティ製品は標的型攻撃など、検知や防御が難しいと考えられてきたサイバー攻撃に対して高い効果を発揮し、個人情報や機密情報をサイバー犯罪などの魔の手から守ります。では、SIEMとEDRはどのように使い分けるのが正解なのか？本記事では2つのセキュリティ製品の違いから解説していきます。

広範囲な情報収集でサイバー攻撃を検知するSEIM

SIEMの意味は「セキュリティ情報とイベントを管理する」であり、システム環境全体のイベントログ情報を収集し、統合した情報から分析を通じてサイバー攻撃の痕跡を発見・検知し、即座にセキュリティ管理者に通知するためのフレームワークです。

どんなに高度化されたサイバー攻撃であっても、システム上に残るイベントログ情報という足跡を消しながら潜伏を続けることは非常に困難です。つまり極端な話、システム環境全体のイベントログ情報をリアルタイムに監視することができれば、サイバー攻撃を検知できることになります。問題は、「誰がその監視を行うのか？」です。

旧来のセキュリティ製品は端末やサーバーなどのエンドポイントに導入するものやネットワークに設置して通信を監視するものなど、要するにサイバー攻撃の水際対策が主流でした。しかしそれらのセキュリティ製品を突破するサイバー攻撃が頻出するようになってから、新たな対策が模索されるようになり、そこで誕生したのSIEMというわけです。

また、システム環境全体のイベントログ情報を収集するシステムが以前から開発されていましたが、 SIEMはイベントログ情報の収集だけでなく自動的な相関分析によって検知と通知を非常に素早く行えるため、従来のそれとはセキュリティ面での性能が大きく異なっています。

サイバー攻撃の検知と防御を自動化するEDR

1日のうちに誕生するマルウェアなどの新しい脅威の数は数万以上と言われています。しかも、多くの企業が日常的にサイバー攻撃を受けているというセキュリティ専門家の指摘もあり、そのうち一つでも攻撃が成功すれば、重大な情報漏洩などにつながる危険性があります。

EDRはそうしたリスクを前提としたセキュリティ製品であり、パソコンやサーバーといったエンドポイントでの攻撃検知と、その後の防御を自動化します。具体的にはエンドポイントに専用のエージェント（CPU消費率の少ない監視プログラム）を搭載し、システムやアプリケーションのアクティビティ情報（イベントログ情報）を取集することで不審な挙動を検出します。これによりサイバー攻撃をいち早く検知し、エンドポイントの保護を自動化できるのが大きな特徴です。

前述のように、マルウェア対策ソフトやファイアウォールなど従来のセキュリティ製品は水際でのサイバー攻撃防御を基本としています。しかしながら、高度化されたサイバー攻撃の前には無力である可能性があり、エンドポイントやそれが接続された業務システム、機密情報などは常に脅威にさらされていることになります。

EDRは従来のセキュリティ製品が重点に置いていた水際対策を強化するためのものであり、エンドポイントが攻撃を受けると内部ネットワークへ侵入されることを前提として、存在の有無をいち早く検知して防御する仕組みが備わっています。

また、従来のセキュリティ製品との大きな違いは、シグネチャベースのパターンマッチングに頼らずとも新手のマルウェアにも対応できることです。一般的なマルウェア対策ソフトは、セキュリティベンダーが都度更新するシグネチャ（マルウェアの特徴や攻撃パターンをまとめたファイル）をアップデートすることで、新しいマルウェアの脅威に対応します。しかしながら、シグネチャに記されていないマルウェアへの対応が遅れることでサイバー攻撃を許してしまう可能性があります。

一方、EDRはエンドポイント上での不審な振る舞いと思われるアクティビティを検知し、未知のマルウェアをも特定することが可能になります。

SIEMとEDRの使い分け

SIEMは長期間にわたってシステム環境全体のイベントログ情報を収集・保管・分析し、サイバー攻撃の傾向をトレンドとして表したり、コンプライアンス対応やレポーティング機能によって監査対応の際にも活躍するセキュリティ製品です。しかしながら、脅威を迅速に検知し、かつインシデントが発生した際に素早く状況分析を行い、防護するためのし仕組みとしては不十分な面もあります。

そのため、SIEMを補完するためのセキュリティ製品としての有力候補がEDRです。EDRはパソコンやサーバーなどのエンドポイントを常に監視しながら、疑わしい行動があった場合に脅威を即座に検知し、防御の自動化を実行することが可能です。

また、SIEMとEDRは相互に補完し合う関係にあることから、2つのセキュリティ製品が連携することでSIEMに送られる前のエンドポイント上の詳細なログをもとに脅威分析を行い、脅威発生や予兆の検知をより素早く行うことが可能です。

さらに、SIEMとEDRが連携することで検知したサイバー攻撃がどの段階にあるかを表すことができ、どの程度の危険度があるかも事前に知らせてくれます。脅威が影響を及ぼすシステムの範囲も視覚化されることで、より高度なセキュリティ対策が実施できます。

SIEMとEDRによる新しいセキュリティ体制を構築しよう

企業は、従来のセキュリティ対策に加えて未知の脅威にも対応できる新しいセキュリティ対策を構築することが重要です。この機会にSIEMとEDRにより新しいセキュリティ対策をぜひご検討ください。