SIEMとMDR：5つの違いと選び方

セキュリティ情報・イベント管理（SIEM）とは？

セキュリティ情報・イベント管理（SIEM）は、組織の情報セキュリティの全体像を把握するサイバーセキュリティ・ソリューションである。SIEMシステムは、ネットワーク、デバイス、アプリケーションなど、組織のITインフラ全体で生成されたログ・データを収集・分析することで機能します。このデータには、ネットワーク・トラフィックやシステム・アクティビティからデータベース・トランザクションやユーザー行動まで、あらゆるものが含まれます。

SIEMの主な機能は、セキュリティ・チームがセキュリティ・インシデントや脆弱性を迅速に特定して対応できるようにすることです。これは、さまざまなソースからのログ・データを集約し、分析のために正規化し、高度な分析を適用してセキュリティ脅威を示すパターンを検出することによって実現されます。

SIEMの仕組み

以下は、SIEMシステムがセキュリティ・インシデントに関する有意義な洞察を提供するために使用する一般的なプロセスである：

1. SIEMは、ネットワーク・デバイス、サーバー、アプリケーション、セキュリティ・システムなど、組織のIT環境内の多数のソースからログ・データを収集する。
2. 収集されたデータは、正規化と集計が行われる。正規化では、ばらばらのデータ形式を統一された形式に変換し、分析を容易にする。集計はデータを統合し、量を減らして分析を簡素化する。
3. 処理されたデータは一元管理されたレポジトリに保存され、分析のためにアクセスすることができる。
4. SIEMは、ルール、相関エンジン、機械学習アルゴリズムを使用してこれらのデータを分析し、セキュリティ脅威やインシデントを示す可能性のあるパターンや異常を探します。
5. 潜在的な脅威が検出されると、SIEM はアラートを生成する。これらのアラートは重要度に基づいて優先順位付けされ、セキュリティ・チームにインシデントを調査して対応するための実用的なインテリジェンスを提供します。

時間の経過とともに、SIEM システムを微調整し、セキュリティ・アナリストからのフィードバックを取り入れて精度を向上させ、誤検知を減らすことができます。組織のセキュリティ状況を一元的に把握できるため、SIEM を使用することで、セキュリティ・チームはバラバラのツールやデータ・ソースを使用した場合よりも効果的に脅威を検出し、対応することができます。

マネージド・ディテクション＆レスポンス（MDR）とは？

マネージド・ディテクション＆レスポンス（MDR）は、テクノロジー、プロセス、人的専門知識を組み合わせて、組織に脅威の検知、分析、対応能力を提供するサイバーセキュリティ・サービスである。

主に予防に重点を置く従来のセキュリティ・ソリューションとは異なり、MDRは脅威の迅速な検知と対応に重点を置いています。MDRの専門家は、不審な活動を監視し、潜在的なセキュリティ・インシデントを調査し、脅威を封じ込め、無力化するために直接行動を起こします。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、組織がSIEMとMDRソリューションを効果的に活用し、これらのツールを統合したサイバーセキュリティ戦略を決定するための高度なヒントを紹介する：

MDRの脅威インテリジェンスを活用してSIEMルールを改善
MDRの実際の脅威インテリジェンスを使用して、SIEM相関ルールを更新し、改善します。例えば、MDRチームが特定したIPアドレス、ドメイン、ファイルハッシュなどの侵害の指標（IoC）を組み込みます。

SIEMとMDRを組み合わせてレイヤードセキュリティを実現
SIEM を組織全体のログ集約とコンプライアンスレポート作成に使用する一方、MDR を実践的な脅威ハンティングとインシデント抑制に活用します。このハイブリッド・アプローチにより、包括的な監視と迅速な対応の両方が保証されます。

SIEM-MDRワークフローを自動化して効率化
SIEMアラートをMDRプロバイダーのインシデント対応ワークフローに統合します。アラートのトリアージ、コンテキストエンリッチメント、レスポンスアクション（エンドポイントの分離など）を自動化し、チームは重要な脅威に集中できるようになります。

ユースケースに応じたSIEM構成の優先順位付け
SIEMのルールとダッシュボードは、インサイダー脅威や高度な持続的脅威（APT）など、優先度の高いシナリオに焦点を当てるように調整します。無関係なアラートでチームを圧倒するような、画一的なアプローチは避ける。

エンドポイント・テレメトリーを SIEM に組み込む
MDR ツールや EDR ソリューションで収集したエンドポイントデータで SIEM ログを充実させます。エンドポイント・テレメトリーは、脅威の検出と根本原因の分析を強化する詳細な洞察を追加します。

MDRの仕組み

MDRサービスは、組織の環境内で継続的なモニタリングとアクティブな脅威ハンティングを提供します。MDRサービスを利用することで、企業は24時間体制で作業を行うセキュリティ専門家チームに、検知と対応の作業をアウトソーシングすることができます。これは、社内に専任のセキュリティ・チームを置く余裕のない組織にとって有用である。

MDRサービスは通常、以下を提供する：

• 組織のIT環境を24時間365日体制で監視・分析し、脅威を即座に特定して対応することを可能にする。
• エンドポイント検出・対応（EDR）ツールなどのセキュリティ技術。
• 複雑な脅威を分析し、適切な対策を実行するスキルを持つセキュリティ専門家の専門知識。

MDRの専門家は、アラートを調査し、脅威を検証し、検出された問題を無効化するためのアクションを開始します。他のソリューションが潜在的な脅威を警告するだけであるのに対し、MDRは発見された脅威に対して組織が完全に対処できるようにします。

SIEMとMDRの主な違い

SIEMとMDRは、セキュリティに対する異なるアプローチであり、異なる機能を包含している。

1.フォーカス

SIEM システムは、ログ管理とセキュリティ・イベント・データの集約に主眼を置いている。ログ・データを分析することで、組織のセキュリティ体制を包括的に把握することができます。このようにデータの収集と分析に重点を置くことで、セキュリティ上の脅威を示す可能性のある傾向やパターンを特定することができます。

多剤耐性は、インシデントレスポンスとアクティブな脅威ハンティングに重点を置いている。SIEMがセキュリティ・インシデントを特定するためのツールを提供するのに対し、MDRはこれらのインシデントの解決に直接関与することで、さらにその先を行く。MDR サービスは、脅威を積極的に探し出して緩和するセキュリティ専門家へのアクセスを提供します。

2.範囲

SIEM システムは、IT エコシステム全体を幅広くカバーします。これにはネットワーク、サーバ、アプリケーション、エンドポイントなどが含まれ、これらのコンポーネント内のセキュリティ態勢とアクティビティを包括的に把握することができます。SIEM の広範なスコープにより、さまざまなソースからデータを収集して分析できるため、組織全体のセキュリティ・イベントや潜在的な脅威に関する洞察が得られます。

MDRは主にエンドポイントと、エンドポイントを標的とする直接的な脅威に焦点を当てている。ワークステーション、モバイルデバイス、サーバーなどのエンドポイントは、しばしば高度な脅威やマルウェアの標的となります。MDRサービスは、このような脅威の侵入や挙動を検知、分析、対処することに特化している。エンドポイントに集中することで、MDRは最も一般的な攻撃のエントリポイントに対する深い洞察と迅速な対応能力を提供します。

3.テクノロジー対人間の専門知識

シーイーエムは、主にセキュリティ・データを収集、集約、分析するテクノロジーに依存している。アルゴリズムと相関技術によって潜在的なセキュリティ脅威を特定するプロセスを自動化するように設計されています。このテクノロジー中心のアプローチは、膨大なデータセットの中から既知の脅威やパターンを検出するのに有効です。最新のSIEMソリューションは、行動分析によって未知の攻撃パターンを特定し、一般的な脅威への対応を自動化することができます。

多剤耐性は、テクノロジーと人間の専門知識を組み合わせて、包括的なサイバーセキュリティ・ソリューションを提供します。セキュリティの専門家は、SIEMアラートを分析し、脅威ハンティングを実行し、組織を保護するためのプロアクティブな対策を講じる。人間の専門家が加わることで、自動化されたシステムで実現できる以上の分析・対策が可能になります。

4.リアクティブ vs. プロアクティブ

SIEMシステムは従来、より反応的であり、事前に確立されたパターンやルールに基づいて脅威を特定する。潜在的なセキュリティ・インシデントを組織に警告することはできますが、すでに何らかの形で認識されている脅威への対応に限られています。しかし、最新のSIEMソリューションには、事前に定義されたプレイブックに基づいて脅威に自動的に対応できるシステムが含まれています。

MDRサービスは本質的にプロアクティブであり、自動化されたシステムではまだ特定されていない脅威を積極的に探し出します。MDRプロバイダーは、業務に脅威ハンティングを組み込むことで、従来のセキュリティ・システムに知られる前に脅威を検知し、緩和することができる。このプロアクティブな姿勢は、高度な脅威や進化する脅威から身を守るために極めて重要である。

5.コスト

SIEM システムを導入するには、多くの場合、テクノロジーとインフラストラクチャへの多額の先行投資と、システムの管理と保守に関連する継続的な運用コストが必要になります。組織はまた、SIEM システムを効果的に管理するための専門知識を持つスタッフのトレーニングや雇用にも投資しなければならない。しかし、最新のSIEMソリューションはクラウドベースで、サブスクリプションモデルで利用できるため、初期投資を最小限に抑えることができます。

MDRサービスは、投資も必要とするが、主に運用経費を伴う。これらのサービスには通常、技術、インフラ、サービスを管理するセキュリティ専門家の専門知識のコストが含まれます。多くの組織にとって、MDRは、高度なサイバーセキュリティ能力を社内で構築・維持する必要なく利用できる費用対効果の高い方法となり得る。

MDRとSIEMの比較：どのように選択するか？

MDRとSIEMのどちらを選択するかは、組織固有のセキュリティ・ニーズ、リソース、既存のサイバーセキュリティ態勢によって異なります。以下は、その決定を導くためのいくつかの考慮事項です：

組織の能力と専門知識

• 大量のデータを社内で管理・分析する能力がある場合は、SIEM を選択する。これには、SIEM アラートの設定、管理、対応を行う専門知識を備えた専任の IT セキュリティ・チームが必要です。また、セキュリティ運用を完全にコントロールすることを目的としている場合も、SIEM が適しています。
• 社内に大規模なセキュリティ・チームやサイバーセキュリティの専門家がいない場合は、MDRをお選びください。MDR は、継続的な監視、脅威の検出、および対応を外部の専門家に頼ることを好む企業にとって有益です。

保護範囲

• SIEM は、すべての IT システムとネットワークのセキュリティ・ポスチャを包括的にカバーしたいと考えている組織に適しています。潜在的な脅威を特定するために、さまざまなソースからのセキュリティ・データを集約して分析することが主な目的であれば、SIEM が最適です。
• MDRは、特にエンドポイントレベルで、脅威の即時検知と対応を優先する組織に最適です。広範なデータ分析よりも、インシデントへの迅速な対応を重視する場合は、MDR の方がニーズに合うかもしれません。

戦略的安全保障目標

• 脅威がエスカレートする前に、プロアクティブに脅威を発見し、対応することを重視する戦略であれば、MDRのハンズオンアプローチは、この目標によく合致している。
• SIEMの強みは、確立されたパターンに基づいて脅威を特定するために、セキュリティ・データを反応的かつ包括的に分析することにある。

SIEMとEDRは、必ずしも「どちらか一方」という問題ではない。多くの組織では、包括的なデータ分析とログ管理のためにSIEMを活用する一方で、プロアクティブな脅威ハントとレスポンス機能のためにMDRサービスを採用するという、ハイブリッド・モデルから利益を得ることができる。

Exabeam Fusion SIEM

Exabeam Fusion SIEMは、SIEMと拡張検知応答（XDR）の世界クラスの脅威検知、調査、応答（TDIR）を組み合わせたクラウド提供ソリューションです。

Fusion SIEMに組み込まれた強力な行動分析により、アナリストは他のツールでは見逃された脅威を検知することができます。処方的なワークフローとあらかじめパッケージ化されたコンテンツは、SOCの成果と対応の自動化を可能にします。Fusion SIEMは、最新のSIEMに求められるクラウドベースのログストレージ、迅速な検索、包括的なコンプライアンスレポートも提供します。

Fusion SIEMでは、以下のことが可能です：

• 複数のツールから脅威検出イベント、調査、対応を行う
• どこからでもデータを収集、検索、強化
• 行動分析により、他のツールで見逃された脅威を検出
• 規定的で脅威中心のユースケース・パッケージで成果を上げる
• 自動化による生産性の向上と応答時間の短縮
• 規制遵守と監査要件を容易に満たす

Exabeam Fusionの仕組み

どこからでも得られるデータで可視性を高める-可視性はセキュリティ運用の最初の柱であるが、現代の組織はあらゆる場所でデータを利用できるようにしているため、それを実現するのは困難である。非効率で複雑すぎる従来のロギング・ツールは、多くの場合、独自のクエリ言語の知識を必要とし、結果を出すのに時間がかかる。データ、インフラ、アプリケーションの継続的な広がりは、完全な可視化のための新しいレベルの分析を必要とします。Fusion SIEMはエンドポイントからクラウドまでデータを収集し、死角をなくしてアナリストに環境の全体像を提供します。迅速なガイド付き検索は生産性を高め、あらゆるレベルのアナリストが必要なときに貴重なデータにアクセスできるようにします。

規定のTDIRユースケースパッケージと自動化-従来のSIEMや目的に応じたセキュリティ製品を使用して効果的なSOCを構築するのは、あまりにも複雑になっている。すべてのSOCは、ツールの組み合わせ、スタッフの配置、成熟度、プロセスなど、それぞれ独自のものであり、サイバーセキュリティに取り組む標準的な方法はありません。Fusion SIEMは、脅威を中心としたTDIRユースケースパッケージを活用することで、TDIRのライフサイクル全体にわたる反復可能なワークフローとパッケージ化されたコンテンツを提供し、この問題を解決します。これらのユースケースには、所定のデータソース、パーサー、検知ルールとモデル、調査と対応のチェックリスト、自動化されたプレイブックなど、ユースケースの運用に必要なすべてのコンテンツが含まれています。

規制コンプライアンスと監査要件を満たす -組織はコンプライアンス規制を遵守しなければならない。コンプライアンス・レポートの作成と維持には時間がかかりますが、必要なことです。GDPR、PCI、HIPAA、NYDFS、NERC、あるいはNISTのようなフレームワークやDISA、CISAのような指令の対象であろうと、Fusion SIEMはコンプライアンス監視とレポート作成にかかる運用上のオーバーヘッドを大幅に削減します。Fusion SIEMのあらかじめパッケージ化されたレポートにより、情報の関連付けにかかる時間を大幅に削減し、重要なデータを見逃すリスクを解決し、レポートビルダーツールを使って手作業でコンプライアンスレポートを作成する必要がなくなります。