SOAR、XDR、EDRとは？違いやSIEMとの関係を解説

現在、SIEMに類似したセキュリティソリューションが市場に数多く出回っています。この記事では、多くの企業に採用されている、XDR、EDR、SOARの3つに焦点を当て、それぞれの類似点や特徴を解説します。

XDR（Extended Detection and Response）：拡張検知・対応

XDRは、同一のベンダーが提供する複数のセキュリティ製品を統合した、SaaS型の脅威検知・インシデント対応プラットフォームです。ライセンス取得済みのコンポーネントすべてを一元化し、包括的なセキュリティ運用システムを構築します。

XDRは、イベントの検知や対応が、異なるセキュリティ層（クラウド、エンドポイント、ポイントソリューションなど）で分断され、連携が取れていない問題を解決します。従来のセキュリティソリューションよりも高度な脅威インテリジェンスが備わっています。さらに、XDRソリューションは、各層に分散された多様なデータを自動的に分析し、相関関係を明らかにすることで、より正確な脅威検知を実現します。

社内で独自のSOC（セキュリティオペレーションセンター）を編成している場合、XDRソリューションへの投資は、セキュリティ体制を一層強化する上で非常に有効です。

XDRソリューションの主な機能：

• ログデータの集約、システムの監視、イベントの検知、SOCチームへのアラート通知などの機能を備えています。複数のセキュリティ層に散在したデータを集約することで、良質なデータセットを作成できます。コンテキスト情報を踏まえた強力な脅威インテリジェンスを実現し、セキュリティ対策の最適化を支援します。
• セキュリティインシデントの調査を可能にします。また、異なるセキュリティ層で発生するイベントを統合的に分析するための、信頼できる唯一の情報源（SSOT）を確立できます。
• 組織のセキュリティ対策を回避し、アナリストも見逃す可能性のあるイベントを、脅威ハンティングで探索・検知できます。

EDR（Endpoint detection and response）：エンドポイント検知・対応

XDRの一部として機能するEDRは、エンドポイント上の悪意のあるアクティビティを監視し、エンドポイントを保護するソリューションです。EDRは、データ（ユーザーログインやプロセス実行に関する情報など）を収集し、行動分析により異常なイベントを特定できます。

EDRソリューションの主な機能：

• SOCチームが、1つのコンソールですべてのエンドポイント上のアクティビティ（アプリケーション、プロセス、通信などを含む）を一元的に監視できる仕組みを提供します。
• 記録されたイベントのデータセットを作成し、分析に役立てます。これにより、攻撃者の行動を把握し、セキュリティ侵害を未然に防止できます。
• 侵害の指標（IoC）を特定し、脅威インテリジェンスと連携させることで、潜在的な攻撃や脅威アクターに関するコンテキスト情報を把握できます。
• リアルタイムアラートにコンテキスト情報を付加することで、アナリストによるインシデント調査を容易にします。
• データを収集し、攻撃に発展しうる侵入経路をアナリストが把握できるよう支援します。

データを収集し、攻撃に発展しうる侵入経路をアナリストが把握できるよう支援します。

EDRはエンドポイントの保護に特化しているため、アンチウイルスソフトと混同されることがあります。しかし、アンチウイルスソフトには、EDRが提供する機能の一部しか備わっていません。アンチウイルスソフトは、ネットワーク内にマルウェアが存在することをシグネチャベースで検知しますが、侵入経路や感染の原因に関する詳細は一切提供しません。一方EDRは、アンチウイルスソフトでは検知が難しいとされるAPT（高度標的型）攻撃やシグネチャを残さないファイルレスマルウェアも、検知することが可能です。

SOAR（Security Orchestration and Automated Response）：セキュリティのオーケストレーション・自動化・対応

SOARは、「脅威管理・インシデント対応・セキュリティ運用の自動化」という3つの主要なセキュリティ機能を統合した包括的なセキュリティソリューションです。ITセキュリティ部門は、日々膨大な量のネットワークアラートを管理しており、アラートの見落としは重大なセキュリティリスクにつながる可能性があります。SOARの目的は、この管理・対応の負担を軽減し、リスクを最小化することです。SOARは、脅威の特定や、対応策の実行を可能な限り自動化・効率化します。SOARの特徴的な機能の1つとして、インシデント発生時のワークフローを自動化・調整する「プレイブック」が挙げられます。プレイブックには、他のセキュリティツールによる自動アクションや人的な判断・操作を組み込むことが可能です。

SOARソリューションの主な機能：

• ネットワーク内のさまざまなソースからセキュリティデータを効率的に収集できます。収集対象は、ファイアフォール、サーバー、エンドポイント、アプリケーション（脆弱性スキャナー、データ損失防止ソフトウェア、脅威検出ツールなど）と多岐にわたります。
• アラート発生時の対応ワークフローを自動化します。脅威が深刻化し、実質的な損害やセキュリティ侵害に発展する前に対処できます。
• 収集・処理したアラートデータに基づいてプレイブックを起動し、ワークフローやタスクを自動的に実行します。さらに、人間の判断と機械学習を組み合わせて豊富なアラートデータを分析することで、今後の脅威に対抗するための自動アクションとその優先順位を見極めることができます。

XDR、EDR、SOARとSIEMとの関係

XDRは、SIEM機能の補完・強化を目指した技術的概念として近年注目を集めています。一方で、XDRはSIEMソリューションとは方向性が異なり、脅威の軽減に特化した新しいプラットフォームであるとも考えられています。なぜなら、SIEMの主な目的はコンプライアンス管理であり、脅威管理は副次的に扱われるからです。XDRは脅威管理に重点を置いており、豊富なデータリポジトリを構築する上で複数の検知機能を駆使します。そして、脅威を検知・軽減するために、必要に応じてデータセットを自動的に絞り込み、ネットワークアクティビティに関する詳細情報を取得します。EDRは生ログデータを処理し、不審なイベントのみをアラートとしてSIEMソリューションに送信できるため、EDRとSIEMは補完的な関係にあると言えます。EDRがエンドポイントの監視やデータ収集に特化している一方で、SIEMソリューションは、さまざまなプラットフォームからセキュリティデータを統合的に収集・管理します。収集対象は、EDR、XDR、ファイアウォール、ネットワークデバイス、IDS・IPS（不正侵入検知・防止システム）など多岐にわたります。SIEMでは、異なるデバイスから収集したデータをもとに相関分析が行われ、異常検知時にはアラートが生成されます。ただし、監視対象のデータが膨大であるため、SOCチームが大量のアラートに疲弊してしまうという課題があります。

SIEMソリューションを最適化し、アラートによる疲弊を軽減する方法については、eBook『SIEMを最大限活用するために知っておくべき10のポイント』をご覧ください。

一方、SOARは、SOCチームのインシデント対応を自動化・効率化するソリューションです。SOARを活用し、インシデント発生時の対応ワークフローを自動化することで、SIEMが際限なく生成するアラートを効率的に処理できます。これにより、SOCチームの負担を軽減し、迅速かつ適切な脅威対策が可能になります。SIEMとSOARは、コンプライアンス管理・セキュリティ運用・インシデント対応といった幅広い領域で効果を発揮するため、最適なセキュリティソリューションと言えます。両者を活用したアプローチは、その有効性が業界内で実証されており、SOCチームの強化や、脆弱性の軽減を期待できます。