業務関連のメールを装ったマルウェア付きメールを送り付ける標的型攻撃に代表される高度なサイバー攻撃は、従来の防御中心のセキュリティ対策では防ぎきることが困難となっています。そこで昨今では、侵入されることを前提に、いち早く検知し、対応するためのセキュリティ対策の重要性が高まっています。米国のNISTでは、セキュリティ対策の全体像のフレームワークを図1のように定義しています。

図1：NIST「Cybersecurity Framework Version 1.1」（2017.12.5）

セキュリティインシデントの検知・対応ソリューション

攻撃者は攻撃対象のセキュリティの弱点を事前に把握することができること、また攻撃を行うための時間が無制限にあるため、圧倒的に有利な状況になっています。そのため、セキュリティ対策においても全ての攻撃を防ぐことはできないという前提に立ち、防御重視だったものが検知・対応・復旧等のインシデント対応を重視するように変化しています。迅速なインシデント対応の支援を目的としたソリューションとして、注目を浴びているのがEDR（Endpoint Detection and Response）とSIEM（Security Information and Event Management）/UEBA（User and Entity Behavior Analytics）です。

EDRは、エンドポイント（クライアントPC等）で起動しているプロセス等をリアルアイムに監視し、不審な挙動を検知するソリューションです。また、標的型攻撃を受けエンドポイント上でマルウェアを実行してしまった場合は、EDRでマルウェアのプロセスを停止すること、マルウェア感染している端末からマルウェアが拡散しないよう通信制御を行うことができます。このようにEDRはマルウェアの検知や除去などの初動対応を支援し、被害を最小限に抑えることができます。代表的なEDR製品としては、CrowdStrikeやTaniumといった製品が挙げられます。

一方、SIEMは、セキュリティ製品やネットワーク機器、サーバなど複数の機器からログを収集・加工・分析して本来想定している人の振る舞いに異常が発生したことを検知できるソリューションであり、検知するルールを定めておくことで会社や部署全体の平均から外れた人の振る舞いを検知することが得意なソリューションです。
SIEMは組織全体の平均から外れた振る舞いを検知することが得意ですが、個人単位の行動履歴から異常な振る舞いを検知することが得意な製品がUEBAです。
UEBAは従来のSIEMの発展形のソリューションであり、ユーザーの振る舞いに着目して不審な振る舞いを可視化する技術です。SIEMで一括管理したログをUEBAに取り込みユーザー単位での振る舞いを分析し、通常とは異なる振る舞いを検知することが得意なソリューションです。（図2参照）

図2：SIEMとUEBAの検知イメージ