目次
1. 共通点と違いをざっくり整理
- 共通点:すべて「セキュリティ運用を支援するプラットフォーム」
- 違い:
- SIEM:ログを集めて「可視化・相関分析」する
- XDR:エンドポイント・ネットワーク・クラウドなど複数領域を統合的に「検知・防御」する
- SOAR:検知後の「対応(オーケストレーションと自動化)」を行う
👉 つまり、SIEMは「監視・分析」、XDRは「検知・防御」、SOARは「対応・自動化」に強い。
2. SIEM(Security Information and Event Management)
概要
- 各システム(ファイアウォール、IDS/IPS、EDR、クラウドログなど)からログを収集し、一元管理する。
- 相関ルールを定義して「不審なパターン」を検知。
- 監査証跡やコンプライアンスにも活用。
代表製品
- Splunk, IBM QRadar, ArcSight, Elastic (ELK Stack)
実務での使いどころ
- 「誰がいつどこからアクセスしたか」を可視化
- 「このIPから複数のログイン失敗がある」など横断的に分析
3. XDR(Extended Detection and Response)
概要
- EDR(Endpoint Detection and Response)の発展形。
- エンドポイント、メール、ネットワーク、クラウドなど複数のセキュリティ領域をカバー。
- 高度な相関分析で 脅威をより早く発見し、隔離などの対応まで行える。
代表製品
- Microsoft Defender XDR, Palo Alto Cortex XDR, Trellix XDR, Trend Micro Vision One
実務での使いどころ
- 端末で検知したマルウェアを即座にネットワークから隔離
- EDRだけでは見えにくいクラウドログやメールとの関連性を統合的に分析
4. SOAR(Security Orchestration, Automation, and Response)
概要
- インシデント対応の「自動化・効率化」を目的とする。
- SIEMやXDRからのアラートを受け、プレイブックに従って 自動でチケット起票・隔離・通知 を行う。
- 人手がかかる定型業務(アラート分類、IOC検索、ユーザー通知など)を軽減。
代表製品
- Palo Alto Cortex XSOAR, Splunk SOAR (旧Phantom), IBM Resilient
実務での使いどころ
- 不審メール検知 → IOC抽出 → 全社メールボックスから自動削除
- 攻撃IP検知 → FW/IPSのブロックルールを自動追加
5. 3つの関係性(組み合わせ方)
- SIEM:ログを「集めて分析」
- XDR:複数の検知ポイントを「統合して守る」
- SOAR:検知結果を「自動対応につなげる」
👉 典型的なSOC環境では、
- SIEMでアラート検知
- XDRで実際の脅威を隔離・封じ込め
- SOARで対応フローを自動化
という流れが多いです。
6. まとめ
- SIEM=ログを集めて可視化・相関分析
- XDR=複数領域を横断して脅威を検知・防御
- SOAR=検知結果に基づいて対応を自動化
SOCアナリストにとっては、
- SIEMのクエリを読み書きできる
- XDRの隔離・調査機能を理解する
- SOARのプレイブックを改善できる
ことがキャリアを広げる重要スキルになります。
コメント