ゼロトラストセキュリティの用語集 ～重要キーワード完全ガイド～

ゼロトラストの概念

ゼロトラスト (ZT: Zero Trust)

ゼロトラスト（Zero Trust）は、ネットワークやデバイスに対する「信頼しない」という原則を基にしたセキュリティの考え方です。
従来の「内部のユーザーやデバイスは信頼できる」という前提を廃止し、すべてのアクセスリクエストに対して厳密な認証と認可を行うことで、セキュリティを強化します。
背景には、クラウドサービスの普及やリモートワークの拡大により、ネットワーク境界の曖昧化が進んだことがあります。ゼロトラストは高度なサイバー攻撃に対応する考え方として注目されています。
 

ゼロトラストアーキテクチャ (ZTA: Zero Trust Architecture)

ゼロトラストアーキテクチャ（Zero Trust Architecture）は、ゼロトラストの概念を実際のネットワークとシステムに適用するためのアーキテクチャのことです。

ZTAは、すべてのユーザーとデバイスを疑い、アクセスを常に検証する仕組みを構築します。

ユーザー認証、デバイス認証、アクセス制御、データ保護の各要素が統合されることで、企業は従来の境界防御に頼らずに、セキュリティを強化できます。

境界防御 (PD: Perimeter Defense)

境界防御（Perimeter Defense）は、ネットワークの境界にセキュリティ対策を施し、外部からの不正アクセスを防ぐための伝統的なセキュリティ手法です。

ファイアウォールや侵入検知システム（IDS）が典型的な例で、企業内部と外部のネットワークを隔離することで安全性を確保します。しかし、クラウド環境やリモートワークの拡大により、境界が曖昧になった現代では、境界防御だけでは内部の脅威に対応できないという課題が指摘されており、ゼロトラストという考え方が注目されています。

アクセス管理とアイデンティティ

アイデンティティとアクセス管理 (IAM: Identity and Access Management)

アイデンティティとアクセス管理（IAM）は、システム内のユーザーやデバイスのIDを管理し、適切なアクセス権限を付与するためのセキュリティ手法です。

クラウドの普及やリモートワークの拡大に伴い、IAMで信頼できるID管理とアクセス制御が企業にとって必須となり、ユーザー認証やアクセス制御を行い、情報資産を保護するために重要な役割を果たします。

IDaaS (Identity as a Service)

IDaaS（Identity as a Service）は、クラウドベースでIDとアクセス管理機能を提供するサービスです。

企業はIDaaSを利用することで、アイデンティティとアクセス管理（IAM）を実現し、クラウド上での認証やアクセス制御、シングルサインオン、多要素認証といったセキュリティ機能を手軽に導入できます。

代表的なサービスには、Microsoft Azure Active DirectoryやOktaやOneLoginなどがあり、幅広い業界で導入が進んでいます。

シングルサインオン (SSO: Single Sign-On)

シングルサインオン（SSO）は、ユーザーが一度の認証で複数のシステムやアプリケーションにアクセスできる機能です。

SSOにより、ユーザーは都度ログインする手間を省け、利便性が向上します。

背景には、業務効率の向上とユーザーおよび管理者のパスワード管理の簡略化というニーズがあります。

SSOは、Microsoft Azure Active DirectoryやOktaやOneLoginなどのID管理サービス（IDaaS）に組み込まれています。

多要素認証 (MFA: Multi-Factor Authentication)

多要素認証（MFA）は、ユーザーがシステムにアクセスする際に複数の認証要素を組み合わせることで、セキュリティを強化する手法です。

通常、パスワードに加えて、指紋や目などの生体認証や、USBメモリやICカードなどの所持認証などが利用されます。

MFAは、パスワードのみなどの1つの認証要素に依存するリスクを複数の認証要素を加えることで軽減し、不正アクセスの防止に効果的です。

リスクベース認証 (Risk-Based Authentication)

リスクベース認証（Risk-Based Authentication, RBA）は、ユーザーの認証要求に対して、事前に定義されたリスク要因をもとに認証強度を調整する手法です。

通常のログイン場所やデバイス、時間帯と異なる場合、リスクベース認証により追加の認証が求められます。

背景には、従来の固定的な認証手段が不正アクセスのリスクに対処できないことがあります。

必要な場合にのみ強化された認証を行うため、バランスの取れたセキュリティが実現できます。金融機関などでも多く導入されています。

アダプティブ認証 (Adaptive Authentication)

アダプティブ認証は、ユーザーのアクセス状況や行動パターンをリアルタイムに分析し、リスクに応じて動的に認証強度を調整するセキュリティ手法です。

機械学習やAIを活用することで、通常のアクセスと異なる行動パターンを迅速に検出し、必要に応じて認証を追加要求します。

コンテキストベース認証 (Context-Based Authentication)

コンテキストベース認証は、ユーザーの位置情報、デバイス、ネットワーク環境などのコンテキスト情報を基に、アクセスの妥当性を判断する認証方式です。

場所やデバイスに基づく異常なアクセス行動を検出することで、不正アクセスのリスクを低減します。

～ワンポイント～　リスクベース認証とアダプティブ認証とコンテキストベース認証の違い リスクベース認証とアダプティブ認証の両者は似ていますが、リスクベース認証は静的な条件設定に基づく評価であり、アダプティブ認証は動的かつリアルタイムで柔軟に対応できる点で異なります。 コンテキストベース認証はアクセス時のコンテキスト（例：場所、デバイス、ネットワーク情報）を利用して認証強度を調整する。通常の環境からのアクセスには追加認証を省略し、異常なコンテキストのみ対応します。 それぞれの違いは、アダプティブ認証が最も柔軟でリアルタイム対応に優れ、コンテキストベース認証とリスクベース認証は特定の状況に応じて追加認証を行う仕組みです。

継続的認証 (Continuous Authentication)

継続的認証（Continuous Authentication）は、ユーザーが一度ログインした後も、セッション中に継続して本人確認を行う認証手法です。

キーボードの打鍵パターン、マウスの動き、操作速度などの人間の行動的特徴や生体情報をリアルタイムで分析し、ユーザーが認証された人物であるかを確認します。

一度のログイン認証でセッションが保たれる従来の方式とは異なり、セッション乗っ取りなどのリスクを低減できるため、高セキュリティが求められる環境で採用されます。

特権アクセス管理 (PAM: Privileged Access Management)

特権アクセス管理（Privileged Access Management, PAM）は、システムやデータに対して特権的なアクセス権を持つユーザー（管理者など）のアクセスを制御・監視するためのセキュリティ手法です。

特権ユーザーは高い権限を持つため、不正アクセスや内部不正のリスクが高く、適切な管理が必要です。アクセス権の最小化やセッションのモニタリング、特権アカウントの一時的なアクセス許可などを行い、リスクを軽減します。

最小権限 (Least Privilege)

最小権限（Least Privilege）は、ユーザーやアプリケーションに対して、業務遂行に必要な最低限のアクセス権限のみを付与するセキュリティ原則です。

この考え方により、不正利用や誤操作によるリスクが軽減されます。背景には、不要な権限が情報漏洩やサイバー攻撃の被害を拡大させるリスクがあることがあり、権限付与の概念としても重視されています。

動的アクセス管理 (Dynamic Access Control)

動的アクセス管理（Dynamic Access Control）は、ユーザーの状況などに応じて、動的にアクセス権を調整するアクセス制御方式です。

場所、デバイス、ユーザーの役職や業務内容、時間帯などに基づいて権限が自動的に調整されるため、従来の静的なアクセス制御よりも柔軟でセキュリティが強化されます。

MicrosoftのAzure Active DirectoryやOkta、Google Workspaceの条件付きアクセス設定が動的アクセス管理を実装できる代表的なサービスです。

アイデンティティフェデレーション (Identity Federation)

アイデンティティフェデレーション（Identity Federation）は、異なるドメインや組織間で、ID情報を共有し、シームレスなアクセスを提供する技術です。

各サービス間でユーザーが別途ログインすることなく、信頼関係に基づいた認証が可能となります。

背景には、クラウドサービスや異なる組織のアプリケーションを利用する際の利便性向上があり、シングルサインオン（SSO）と組み合わせることで、ユーザーは複数のサービスに簡便にアクセスできます。

SAMLやOAuthが一般的なプロトコルで、Azure ADやOktaなどのID管理サービスで採用されています。

SAML (Security Assertion Markup Language)

SAML（Security Assertion Markup Language）は、異なるドメイン間でユーザー認証情報を安全にやり取りするためのXMLベースの標準規格です。

特にシングルサインオン（SSO）の仕組みで広く利用され、ユーザーが一度認証されれば、他の連携サービスにもログイン状態が維持される仕組みを提供します。

SAMLは、IDプロバイダー（IdP）とサービスプロバイダー（SP）の間で「認証情報」を安全に共有することで、この問題を解決します。IDプロバイダーとしてはMicrosoftのAzure Active DirectoryなどのSAML対応のSSO機能を提供しており、サービスプロバイダー（SP）とやりとりを行います。

OAuth (Open Authorization)

OAuth（Open Authorization）は、ユーザーの認証情報を公開することなく、第三者にユーザーのリソースへのアクセス権を委譲するための標準プロトコルです。

代表的な使用例として、ユーザーが登録済みのアカウント情報（GoogleやFacebookなど）を利用して、Ｘ（旧Twiiter）やインスタグラムなどの外部リソースやサービスにログインする際に使われます。 OAuthでは、アクセストークンという一時的な許可証を発行し、そのトークンを使って外部リソースへのアクセスを制御します。また、パスワードやID情報を外部アプリに提供せずにアクセスを許可することできます。

～ワンポイント～　SAMLとOAuthの違い SAMLは認証（Authentication）に重点を置いており、ユーザーが本物であることを証明し、その後、各アプリケーションへのアクセスを許可します。ユーザーのアイデンティティを確認し、SSOを実現するためのプロトコルです。 主に企業や組織内の環境、エンタープライズ向けのウェブアプリケーションでのSSOに使用され、認証とシングルサインオンに特化したプロトコルです。 OAuthは認可（Authorization）に焦点を当てており、ユーザーが持つリソースへのアクセス権を外部アプリに委譲するために使われます。GoogleやFacebookのアカウントを使って他のアプリにログインする際に使用されます。 OAuth自体はユーザーの認証を行わず、アクセストークンを使ってリソースのアクセス権限を付与し、ウェブやモバイルアプリの外部連携に使用され、特にコンシューマ向けアプリケーションで広く利用されています。

 エンドポイント・デバイス管理

エンドポイントセキュリティ (Endpoint Security)

エンドポイントセキュリティは、ネットワークに接続されるエンドポイント（PC、スマートフォン、タブレットなど）を保護するためのセキュリティ対策を指します。

エンドポイントはサイバー攻撃の侵入経路となりやすく、個人情報や企業の機密情報が漏洩するリスクがあるため、対策が求められています。

エンドポイントセキュリティには、アンチウイルスソフト、ファイアウォール、暗号化、アクセス制御などが含まれ、未然に脅威を防ぐと同時に不正アクセスの防止を図ります。

エンドポイント保護プラットフォーム (EPP: Endpoint Protection Platform)

エンドポイント保護プラットフォーム（EPP）は、エンドポイントデバイスに対する基本的な保護機能を一元化したプラットフォームです。EPPには、アンチウイルス、アンチマルウェア、ファイアウォール、データ暗号化などの機能が含まれ、リアルタイムでの保護や定期的なスキャンを通じて脅威の検出・排除を行います。

代表例には、Trend Micro、CrowdStrike、Microsoft Defenderなどがあり、多くの企業で使用されています。

エンドポイント検出と応答 (EDR: Endpoint Detection and Response)

エンドポイント検出と応答（Endpoint Detection and Response, EDR）は、エンドポイント上の脅威をリアルタイムで監視し、検出・分析・対応するためのセキュリティソリューションです。

EPPが未然の防御に重点を置く一方で、EDRは脅威が潜入した場合の対応に特化しています。

バックグラウンドでエンドポイントの動作を常時監視し、異常が検知されるとアラートを発し、即座に対策を講じることで被害を最小限に抑えます。

デバイス認証 (Device Authentication)

デバイス認証は、ネットワークやシステムに接続する物理的なデバイスを認証するセキュリティ手法です。

デバイス固有の証明書やMACアドレス、シリアル番号などを用いて認証を行います。

BYOD（私物デバイスの持ち込み）やリモートワーク環境が普及する中、許可されたデバイスからのアクセスのみを認めることで、不正アクセスのリスクを軽減できます。

EEM (Enterprise Endpoint Management)

EEM（Enterprise Endpoint Management）は、企業のエンドポイントデバイス（PC、スマートフォン、タブレットなど）を一元的に管理・保護するためのソリューションです。

EEMは、セキュリティの強化やデバイスのコンプライアンス確保、リモートからの設定変更やソフトウェアのインストールなどを可能にします。代表的な製品として、Microsoft IntuneやVMware Workspace ONEなどがあり、企業ネットワークの一元管理に適しています。

MDM (Mobile Device Management)

MDM（Mobile Device Management）は、企業がスマートフォンやタブレットなどのモバイルデバイスを一括で管理し、保護するためのソリューションです。

デバイス紛失や盗難の際のリモートロック、データ消去、アプリのインストールや更新の管理を行います。

MDMを導入することで、企業は従業員が持つモバイルデバイスをリモートから管理し、企業データの保護を強化できます。

MAM (Mobile Application Management)

MAM（Mobile Application Management）は、モバイルデバイス上の特定のアプリケーションのみを管理・制御するソリューションです。

MAMは、企業データの保護に特化しており、従業員が私物のデバイスを使用しても、業務アプリケーションのみを企業が管理することが可能です。

～ワンポイント～　EMM・MDM・MAMの違い  MDMは、モバイルデバイスそのものを管理するためのソリューションで、MAMは、特定のモバイルアプリケーションとそのデータのみを管理するソリューションです。EMMは、MDMやMAMを含む総合的なモバイル管理ソリューションで、デバイス、アプリ、データ、コンテンツ、ネットワークのすべてを一元的に管理します。MDMはデバイス管理、MAMはアプリ管理に特化し、EMMはその両方を含む包括的なモバイル管理です。

リモートワイプ（Remote Wipe）

リモートワイプとは、PCなどのデバイスに遠隔から指示を送り、内部のデータを削除する技術です。企業や個人のデバイスが紛失・盗難に遭った際、機密情報が流出するリスクがあるため、遠隔でデータを消去できるリモートワイプが必要とされています。

リモートワイプにより重要情報が保護され、企業や個人の情報漏洩リスクを低減できます。

～ワンポイント～　ワンビ株式会社のTRUST DELETE TRUST DELETEは、PC紛失や盗難時にデータを遠隔から消去するリモートワイプ機能を提供しています。自動消去機能もあり、企業の機密情報保護に特化した機能が特徴です。企業や教育機関での導入実績も多く、国内でのリモートワイプ製品として信頼されています。

暗号化（Encryption）

暗号化とは、データを特定のアルゴリズムを使って変換し、第三者に読まれないように保護する技術です。

暗号化されたデータは、復号（解読）するための鍵がなければ、元の内容を理解できないようになっています。

背景には、情報漏洩やデータの盗難リスクの増加があり、特にクラウドやモバイル環境でのデータ保護の重要性が高まっています。

ファイルやデータベースの暗号化、メール通信の暗号化（TLS）、ディスク全体の暗号化（BitLockerなど）が挙げられます。

ネットワーク

ファイアウォール (Firewall)

ファイアウォールは、ネットワークの外部と内部の通信を制御するためのセキュリティ装置で、不要または不正なアクセスを遮断します。
パケットの送受信を監視し、特定のルールに基づいてアクセスを許可または拒否する役割を果たします。
ファイアウォールが誕生した背景には、インターネット普及による外部からの攻撃増加があり、ファイアウォールは重要な防御対策として普及しました。

CiscoやFortinetなどが代表的なファイアウォール製品を提供しています。

侵入検知システム (IDS: Intrusion Detection System)

侵入検知システム（IDS）は、ネットワークやシステム内の異常な動作や攻撃を検知するためのシステムです。

IDSはログやトラフィックを監視し、攻撃の兆候があれば警告を発しますが、実際に攻撃を防止する機能は持ちません。

背景にはサイバー攻撃の多様化があり、侵入の早期発見が重要となっています。

侵入防止システム （IPS: Intrusion Prevention System）

侵入防止システム（IPS）は、IDSの機能に加えて、検出した攻撃をリアルタイムでブロックする機能を持つシステムです。

ネットワークトラフィックを監視し、攻撃の兆候があれば自動的に通信を遮断またはルールを適用します。

IPSは、IDSでは対応できない攻撃の即時対応が求められる環境で必要です。

～ワンポイント～　IDSとIPSの違い IDSは、主に検知と警告を行い、管理者が手動で対応するケースに適しており、リアルタイム防御は求められない環境に向いています。 大量のデータを処理するネットワーク環境では、システム管理者が手動で対応したい場合や、誤検知による業務停止を避けるためにIDSが利用されます。 例えば、企業の内部ネットワークで全アクセスを監視し、異常があればアラートを発する使い方が一般的です。 IPSは、検出と同時に自動でブロックを行うため、即時防御が必要な環境に適していますが、誤検知の影響が少ないように細かい設定が必要です。 高速かつ自動的な防御が求められる環境（金融機関や大規模なデータセンターなど）で、IDSの検出後に手動で対応するのが困難な場合にはIPSが使われます。攻撃を即座にブロックする方法が適しています。

マイクロセグメンテーション (Microsegmentation)

マイクロセグメンテーションは、ネットワーク内を細かいセグメントに分割し、それぞれのセグメント間のアクセス制御を行うセキュリティ手法です。

ネットワーク内部の脅威やサイバー攻撃の進化に対応するため、ネットワーク内でも厳密なアクセス制御が必要となりました。

ワークロードやアプリケーションごとに異なるセキュリティポリシーを設定でき、内部の攻撃が他のセグメントに拡大するリスクを最小限に抑えます。

VMware NSXやCisco ACIが代表的なソリューションです。

SD-WAN（Software-Defined Wide Area Network）

SD-WAN（Software-Defined Wide Area Network）は、ソフトウェアによって広域ネットワーク（WAN）を効率的に管理・制御する技術です。

従来のWANが拠点間通信を専用回線で行うのに対し、SD-WANはインターネット回線を含む複数の接続を柔軟に活用することで、コスト削減やパフォーマンス向上を実現します。

背景には、クラウドサービスやリモートワークの普及により、データ通信量が増大し、従来型のWAN管理が非効率化したことがあります。

代表的な製品には、Cisco MerakiやVMware SD-WAN by VeloCloudがあります。

インターネットブレイクアウト（Internet Break Out）

インターネットブレイクアウトは、企業ネットワーク内の各拠点から直接インターネットやクラウドサービスにアクセスできるようにする仕組みを指します。
クラウドやSaaS利用の増加に伴い、本社を経由せずにインターネットへ接続することで通信の遅延を減らし、ネットワーク遅延の軽減やコスト削減が実現します。

例えば、企業がMicrosoft 365やSalesforceなどのクラウドサービスを利用している場合、SD-WANを使ったインターネットブレイクアウトにより、各拠点から直接クラウドサービスにアクセスできます。

インターネットブレイクアウトは、ローカルブレイクアウトとも呼ばれる場合があります。

セキュアWebゲートウェイ (SWG: Secure Web Gateway)

セキュアWebゲートウェイ（SWG）は、インターネットと企業ネットワークの間に配置され、悪意あるウェブサイトへのアクセスをブロックしたり、マルウェアの侵入を防いだりするセキュリティ機能を提供するゲートウェイです。

クラウド型のSWGは、企業のネットワーク外部（インターネット上）に配置され、リモートワークを行う従業員がどこからでも安全にインターネットにアクセスできるようにします。

従来のファイアウォールに加え、URLフィルタリング、マルウェア防御、データ損失防止（DLP）などの機能を提供します。

代表的な製品には、Zscaler Internet AccessやCisco Umbrellaがあります。

クラウドアクセスセキュリティブローカー (CASB: Cloud Access Security Broker)

クラウドアクセスセキュリティブローカー（CASB）は、企業とクラウドサービスの間に位置し、クラウドアプリケーションへのアクセス管理、データ保護、コンプライアンスの強化を行うセキュリティソリューションです。

CASBは、データ暗号化や異常検知機能を備え、企業がクラウドサービス（SaaS、PaaS、IaaS）を利用する際に、データ保護、コンプライアンスの確保、アクセス制御、脅威防御などの目的で導入されます。

Microsoft Cloud App Security、McAfee MVISION Cloud、Netskopeが代表的なCASB製品です。

～ワンポイント～　SWGとCASBの違い SWG（セキュアWebゲートウェイ）は、主にインターネットアクセスを監視・制御し、悪意のあるウェブサイトへのアクセスをブロックしたり、マルウェアの侵入を防いだりします。 従業員がインターネットを安全に利用できるようにするのが目的で、URLフィルタリング、マルウェア対策、コンテンツフィルタリング、データ損失防止（DLP）などの機能を提供します。 CASB（クラウドアクセスセキュリティブローカー）は、クラウドサービス（SaaS、IaaS、PaaS）のアクセス管理に特化しており、クラウド上のデータ保護、コンプライアンスの確保、アクセス制御、異常な活動の検出などを行います。 企業がクラウド利用に伴うリスクを最小化するために利用され、DLP機能や暗号化、ユーザー行動分析が含まれます。

VPN (Virutal Private Network)

VPN（バーチャル・プライベート・ネットワーク）は、インターネットなどの公衆ネットワークを経由しながら、企業のネットワークやリモートデバイスとの間で安全な通信トンネルを確立する技術です。

リモートワークや外出先から社内リソースにアクセスする際、暗号化を用いて安全にデータをやり取りできます。

ゼロトラストネットワークアクセス (ZTNA: Zero Trust Network Access)

ZTNA（ゼロトラストネットワークアクセス）は、ゼロトラストの原則に基づき、ユーザーやデバイスがネットワーク内外からリソースにアクセスする際に、厳格な認証と承認を行うアクセス手法です。

従来のVPNとは異なり、必要なリソースへの最小限のアクセス権のみが与えられます。

クラウドやリモートワークが増加した現代に適しており、外部・内部の脅威からの保護に有効です。

Cisco DuoやPalo Alto NetworksのPrisma AccessがZTNAの代表例です。
 

アイデンティティ認識プロキシ（IAP: Identity-Aware Proxy）

アイデンティティ認識プロキシ（IAP）は、ユーザーのアイデンティティ（認証）とデバイスの状態に基づいて、アプリケーションやクラウドリソースへのアクセス制御を行うプロキシです。

ユーザーやデバイスの状態に応じて動的にアクセスを管理し、特定のアプリケーションに対する細かいアクセス制御を提供します。

IAPはゼロトラストの考え方に基づき、アプリケーションレベルの認証とアクセス制御が特徴で、主にクラウド環境でのアクセス管理に利用されます。

Google CloudのIAPが代表例で、アクセス時にユーザー認証やデバイスの状態を考慮した柔軟なアクセス管理を実現します。

セキュアアクセスサービスエッジ (SASE: Secure Access Service Edge)

SASE（セキュアアクセスサービスエッジ）は、ネットワークとセキュリティ機能をクラウドベースで統合し、分散した環境でも安全で効率的なアクセスを提供するアーキテクチャです。

SASEは、ZTNA、SWG、CASBなどの機能を組み合わせ、ネットワークとセキュリティを一元管理します。

リモートワークやクラウド利用が拡大する中で、企業全体のセキュリティと利便性を強化するために設計されています。

Palo Alto NetworksやCiscoがSASEソリューションを提供しています。

ソフトウェア定義境界 (SDP: Software Defined Perimeter)

ソフトウェア定義境界 (SDP: Software Defined Perimeter)は、ゼロトラストセキュリティの一環として、ネットワークアクセスをソフトウェアで定義・制御するアーキテクチャです。

従来のVPNのようなネットワーク境界の概念ではなく、SDPはユーザーのID認証、接続デバイスの状態（例：OSバージョンやウイルス対策の有無など）も検証します。

この二重認証により、正規のユーザーでも、承認されたデバイスからのみアクセスが可能となります。

トラステッド・インターネット接続 (TIC: Trusted Internet Connections)

TIC（トラステッド・インターネット接続）は、米国連邦政府が策定した安全なインターネット接続のフレームワークで、政府機関のインターネット通信を保護するための標準規格です。

特に政府機関が安全なネットワーク通信を実現するために必要なガイドラインとして位置づけられています。

データ損失防止 (DLP: Data Loss Prevention)

DLP（データ損失防止）は、企業内の機密データが外部へ不正に持ち出されるのを防ぐためのセキュリティ技術です。 DLPは、ファイルやメールの内容を監視し、規定された条件（例：個人情報の外部送信）に反する場合、送信をブロックすることでデータ漏洩を防ぎます。

監視とインシデント対応

SIEM (Security Information and Event Management)

SIEM（セキュリティ情報およびイベント管理）は、ネットワーク内のログやイベント情報を一元管理し、異常な動作やサイバー攻撃の兆候をリアルタイムで監視・分析するセキュリティツールです。

一般的なログ一元管理製品とは異なり、セキュリティの視点からのログ収集、分析、監視、アラート機能が強化されており、各システムやデバイスから収集したデータを統合し、脅威の検出とインシデント対応を迅速に行えるようにします。

サイバー攻撃の手口が高度化する中、SIEMは企業のセキュリティ体制を強化するために不可欠な存在です。SplunkやIBM QRadarが代表的なSIEM製品です。

セキュリティオーケストレーション (SOAR: Security Orchestration, Automation, and Response)

SOARは、日常的に大量発生するセキュリティアラートを統合し、対応を自動化することで、担当者の負担を減らし、対応の速度と精度を向上させます。

SIEMと連携し、インシデント対応を自動化し、警告が大量に発生する大規模環境で有効です。

SOARによる自動対応で、手動対応が必要な範囲が限定されるため、効率よく脅威に対処でき、セキュリティ運用の効率を向上させます。

代表例として、Palo Alto NetworksのCortex XSOARやSplunk Phantomがあります。

インシデント対応 (Incident Response)

インシデント対応 とは、サイバー攻撃や不正アクセスなどのセキュリティインシデントが発生した際に、速やかに対応し、被害を最小限に抑えるための手順やプロセスを指します。

インシデント対応は、検出、封じ込め、根本原因の除去、復旧の4段階で進められることが一般的です。

迅速な対応が求められるゼロトラストセキュリティの考え方としては、SIEMやSOARといったツールの活用が重要となります。

免責事項

本ページで掲載されている用語解説は、ITエンジニアや関心をお持ちの方々に情報提供を目的としており、正確かつ最新の情報を掲載するよう努めておりますが、内容の完全性や正確性を保証するものではありません。本コラム内の情報の利用により生じたいかなる損害についても、当社は一切の責任を負いかねます。