Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
サイバーセキュリティ・モニタリング(「cyber security monitoring」とも表記され、「セキュリティ・モニタリング」と互換的に使用される)とは、企業全体の攻撃対象領域(ネットワーク、エンドポイント、クラウドワークロード、ID、SaaSアプリケーション、ログ)からセキュリティ関連データを継続的に収集・分析し、それに基づいて対応を行うことで、脅威が重大な被害をもたらす前に検知する取り組みのことです。このページは、これら3つの用語すべてに関する公式な情報源となります。 「セキュリティ監視」という広範な総称では、検索結果に家庭用防犯アラームや物理的な警備サービスなどが混在しますが、「サイバーセキュリティ監視」の検索意図は完全に企業向けかつサイバーセキュリティに特化しています。そのため、本ガイドでは物理的なセキュリティに関する詳細な説明は省略し、本題であるサイバーセキュリティ監視の分野に直ちに入ります。企業のサイバーセキュリティ監視プログラムの評価(監視対象の選定、コンプライアンス要件、有効性の測定方法、自社開発か購入かの判断など)を検討されている場合、本記事は包括的な参考資料となります。 ここでは、7つのモニタリング領域(ネットワーク、エンドポイント、クラウド、ID、SaaS、アプリケーション、ログ)を MITRE ATT&CK のカバレッジベンチマーク、最新の侵害被害の経済的損失、主要なコンプライアンスフレームワーク、そして社内運用と外部委託の選択基準と関連付けて解説します。
サイバーセキュリティ監視とは、企業の攻撃対象領域全体(ネットワーク、エンドポイント、クラウドワークロード、ID、SaaSアプリケーション、ログなど)からセキュリティ関連データを継続的に収集・分析し、それに基づいて対応を行うことで、攻撃者の活動を重大な被害につながる前に検知する取り組みです。
これは、セキュリティオペレーションセンター(SOC)に可視性を提供し、検知と対応を促進し、NIST CSF 2.0 DE.CM などのフレームワークにおいて監査人が求める証拠を生み出す、包括的な分野です。
「サイバーセキュリティ・モニタリング」、「サイバーセキュリティ・モニタリング」、「セキュリティ・モニタリング」という用語は、いずれも同じ企業活動分野を指しています。これらは別々の手法ではなく、同義語であり、本ページではこれらを同一のものとして扱います。 スペースを空けた「cyber security monitoring」という表記は、単に検索者がクエリを入力する際によく使われる形式であり、スペースを省いた「cybersecurity monitoring」という表記は、業界で文書を作成する際によく使われる形式です。本ガイドで「セキュリティ監視」と記載されている箇所は、サイバーセキュリティ監視の同義語としてお読みください。
用語に関する注記。「セキュリティ監視」という表現、およびスペースを空けて表記する「サイバーセキュリティ監視」という表現は、家庭用警報装置、監視カメラ、24時間365日体制の警報受信センターといった一般消費者向け業界を指す場合もあります。この広範なキーワードでの検索結果には、しばしばこれら2つの意味が混在しています。一方、「サイバーセキュリティ監視」というキーワードでの検索結果には混在が見られません。これは、後者の表現が完全に企業向けを意図しているためです。本記事では、企業向けサイバーセキュリティ分野のみを取り上げます。 一般家庭向けのホームセキュリティ、警報対応サービス、または物理的なセキュリティ監視をお探しの場合は、本記事の内容は該当しません。
サイバーセキュリティ監視、サイバーセキュリティモニタリング、セキュリティ監視は、いずれも同じ包括的な分野を指す名称です。ネットワーク監視や脅威検知は、これとは区別されるより狭い概念ですが、しばしば混同されがちです。 2つの点を明確にすることで、こうした混同の大部分は解消されます。第一に、日常的な意味での「ネットワーク監視」とは、パフォーマンスや可用性(稼働時間、遅延、帯域幅)に関するものであり、攻撃者の行動に関するものではありません。ネットワークセキュリティ監視は、脅威に焦点を当てたその派生形であり、両者は同一のものではありません。第二に、脅威検知とは、監視の中に含まれる検知のステップであり、この分野全体と同義ではありません。以下の表に、その違いをまとめました。
表1. サイバーセキュリティ監視、セキュリティ監視、ネットワーク監視、脅威検知の比較
表1では、サイバーセキュリティ監視という包括的な分野と、範囲や主な成果物という観点から、これと混同されがちなより限定的な概念であるネットワーク監視や脅威検知とを区別している。
ここで一つ留意すべき点があります。「サイバーセキュリティ監視」と「セキュリティ監視」の関係については、明確な定義が定まっていません。実際には、この2つは同じ意味で使用されることが多く、ほとんどの情報源では同義語として扱われています。一部では、「サイバーセキュリティ監視」をより広範な概念とし、「セキュリティ監視」をその日常的な運用の一分野と位置づける見方もあります。本ガイドでは、最も一般的な用法に従い、これらを同一の分野として扱います。
本記事の残りの部分における実用的な定義として、サイバーセキュリティ監視とは、企業が自社の環境が攻撃を受けているかどうかを把握するために継続的に行う活動であり、さらに最近では、その情報を基にどれだけ迅速に対応できるかも重要視されるようになっている。「どのように」行うかという点において、7つの領域、監視範囲のギャップ、そして提供方法の決定といった要素がすべて関わってくる。
2026年、サイバーセキュリティの監視が単なる形式的な作業ではなく、運用上の必須要件となる背景には、3つの要因がある。それは、侵害による経済的損失、初期侵入経路の様相変化、そして従来の制御策を無効化するIDトークンの悪用が増加していることである。
データ漏洩の経済的コスト。 ポネモン研究所の「2025年データ漏洩コスト調査」(最新のグローバル基準)によると、データ漏洩による平均コストは444万ドルとなり、前年比で9%減少した。 この減少は、攻撃者の手口が弱まったためではなく、侵害の特定と封じ込めに要する平均期間が241日と9年ぶりの低水準に達したためである。AIを活用した検知システムを広く導入した組織では、平均で約190万ドルのコスト削減を実現した。これらの数字が示唆するのは、監視体制の成熟度がデータ侵害の財務的損失に反映され始めているということだ。とはいえ、241日というのは依然として攻撃者がシステムにアクセスし続けられる期間が約8ヶ月に相当する。この絶対的な基準値は、依然として検知範囲の不備を如実に物語っている。
初期侵入経路の順位が入れ替わった。 ベライゾンの「2026年DBIR」は転換点となった。脆弱性の悪用(31%)が、19年ぶりに盗まれた認証情報(13%)を抜いて、最も多い初期侵入経路となったほか、ランサムウェアは侵害事例の48%で確認され、パッチ適用までの期間の中央値は43日へと悪化した(SecurityWeek)。 認証情報は依然として主要な攻撃経路であり続けています(同DBIRデータによると、侵害事例の約22%は依然として認証情報の盗難から始まっています)。これらはランサムウェアの温床にもなりますが、現在では「エクスポージャーおよび脆弱性の監視」が主要な侵入経路となっています。パッチ未適用のエクスポージャーが最も一般的な侵入経路となった今、月次ペースでのポイント・イン・タイム・スキャンは「監視」ではなく、「考古学」に過ぎません。
IDトークンの悪用はMFAを無効化します。前述の順序変更は、IDの重要性を軽視するものではなく、その捉え方を再定義するものです。認証情報の窃取とそれに続く行動(異常なログイン、権限の昇格、OAuthトークンの悪用、横方向の移動など)は、依然として現代の侵入攻撃の大部分を占めており、認証情報に起因する侵害の検知には平均で約292日を要します。 最近注目を集めた侵害事例は、malware 全く依存していませんでした。それらは、設計通りに動作しているソフトウェアに対して、既存のIDとOAuthグラントを悪用したものであり、まさにそれが、シグネチャ中心やCVE中心の監視では検知できない理由です。実用的な教訓として、単一のツールカテゴリに限定された監視や、既知の悪意あるシグネチャのみを監視する手法では、現代の攻撃対象領域の大部分を見逃してしまいます。あらゆる領域にわたる継続的かつ行動認識型の監視こそが、こうした脅威に対応できる唯一のアプローチです。
現代のサイバーセキュリティ監視は7つの領域にまたがっており、各領域には固有のテレメトリ、ツール、および可視性のギャップが存在します。いずれかの領域を単独で扱うことは、前述のような多領域にわたる侵害パターンを招くことになります。下の図は、これら7つの領域を、共通の攻撃対象領域上に重なり合うカバーレイヤーとして視覚化したものです。どの領域も他の領域に取って代わるものではなく、領域間のギャップこそが侵害が発生する場所となります。
ネットワークセキュリティモニタリング(NSM)とは、イースト・ウエストおよびノース・サウス方向のトラフィックを継続的に分析し、行動上の異常を検知する手法であり、シグネチャベースの侵入検知システムを行動分析で補完する分野です。パフォーマンスの観点からのネットワークモニタリングは、同じトラフィックを監視して攻撃者の行動を検知するネットワークセキュリティモニタリングとは、依然として異なる業務です。 ツールの詳細については、当社のネットワークセキュリティに関する記事や、ネットワーク検知・対応(NDR)における最新のカテゴリー分類をご参照ください。コントロールプレーンおよびイースト・ウエストの可視性が最も重要である理由は、まさにそこに横方向の移動が潜んでおり、境界防御ツールでは検知できない領域だからです。
エンドポイントセキュリティの監視では、ワークステーションやサーバー上のプロセスの動作、ファイルの完全性、レジストリやシステムの変更、およびメモリ上の痕跡を監視します。これは、ほとんどのセキュリティプログラムの出発点であると同時に、多くのプログラムが直面する限界でもあります。 大規模なデータ侵害の約50%は、攻撃者がエンドポイントの制御を回避することで発生しています。その手法には、「リビング・オフ・ザ・ランド(LOCL)」技術やファイルレス実行、あるいは単にエンドポイントの可視性が及ばない領域へ移行してIDベースの攻撃に切り替えるといったものがあります。そのため、従来のエンドポイント保護に挙動分析を加えたエンドポイント検出・対応(EDR)は不可欠ですが、それだけでは不十分なのです。
クラウドセキュリティモニタリングは、クラウドのコントロールプレーン、ワークロードのテレメトリ、構成のドリフト、およびコンテナやサーバーレス関数などの一時的なワークロードに対する可視性を提供します。CSPM、CWPP、CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)の各カテゴリは、クラウド環境全体にわたる継続的な構成および実行時の可視性という単一の使命に向かって収束しており、ネイティブのクラウドライグは主要な情報源であるにもかかわらず、しばしば十分に活用されていないのが現状です。 詳細な内訳については「クラウドセキュリティ」を、ランタイム検出カテゴリについては「クラウド検出および対応(CDR)」を参照してください。
ID脅威の検知と対応(ITDR)は、IDプロバイダー、ディレクトリサービス、および認証フローを監視し、認証情報の盗難、異常なログイン(不自然な移動経路や非典型的な地理的情報)、権限の昇格、休眠アカウントの悪用、OAuthトークンの不正使用、およびIDを介した横方向の移動を検知します。監査やコンプライアンスに重点を置くIDおよびアクセス管理(IAM)のログ記録とは異なり、ITDRは行動分析と攻撃者に焦点を当てています。 IDは、現代の主要な攻撃対象領域として広く認識されています。侵害の約22%は認証情報の盗難から始まり、有効なアカウントやクラウドアカウントの悪用(MITRE ATT&CK .004)は、最近の深刻な侵入事件において繰り返し見られる傾向です。シングルサインオン(SSO)や多要素認証(MFA)を無効化する侵害の連鎖は、まさにITDRが検出するために構築された行動パターンそのものであり、エンドポイントやログ監視では見逃されがちなものです。
SaaSセキュリティ態勢管理(SSPM)は、CRM、生産性スイート、IDプロバイダー、コードリポジトリといったSaaSプラットフォームを監視し、設定ミス、異常な管理操作、OAuthの悪用、および連携アプリのリスクを検知します。この領域は、今や主要な戦場となっています。 2025年から2026年にかけて発生したOAuthトークン漏洩の波は、エンドポイントの侵害ではなく、接続されたサードパーティ製統合機能が攻撃ベクトルであったことを示しました。攻撃者は、malware 境界線の侵害なしに、有効なトークンを悪用してSaaSプラットフォームから直接データを読み出していました(SecurityWeek)。この理由から、一部のアナリストは2026年を「SaaS侵害の年」と呼んでいます(Cyber Defense Magazine)。 SSPMにおいて最も重要な管理項目は、連携アプリのインベントリ、OAuthトークンの監視、アプリ間権限の監査、および管理者の行動に関するベースラインです。シャドーAI連携(従業員がOAuthを介してAIツールを企業のSaaSに接続すること)は、監視対象領域の新たな拡張として台頭しています。
アプリケーションセキュリティ監視(オブザーバビリティの観点ではアプリケーション監視と重なる分野)は、ビルドパイプラインにおける静的および動的テストの結果、アプリケーションの実行時の自己保護機能、Webアプリケーションファイアウォール(WAF)のテレメトリ、アプリケーションログなど、アプリケーションの実行時の挙動を網羅します。これは、顧客向けサービスのリモート監視が行われる領域であり、セキュリティ監視とエンジニアリングのオブザーバビリティの境界が最も曖昧になる領域でもあります。 現在、脆弱性の悪用が主要な初期侵入経路となっているため、アプリケーション層の監視では、プロセスのクラッシュ、異常な子プロセスの生成、リクエストエラーの急増といった、ログのみやエンドポイントのみの監視スタックでは検知できないシグナルを検知する必要があります。
ログ監視とは、スタック全体から収集したログを一元的に集約、正規化、相関分析、および保存するプロセスであり、サイバーセキュリティ監視の基盤となる歴史的な要素であると同時に、SIEMやログ監視として最もよく知られるアーキテクチャでもあります。SIEMは、単なる検知エンジンという枠を超え、より広範なSecOpsプラットフォームを支えるバックエンドの分析・保存レイヤーへと進化してきました。この進化は重要な意味を持ちます。なぜなら、次のセクションで示すように、SIEMだけでは、多くのチームが想定しているよりもはるかに少ない攻撃手法しか検知できないからです。
サイバーセキュリティの監視は、継続的なループで構成されています。監視対象となるすべてのドメインに対して同じ8つのステップが実行されますが、入力データや分析内容はセンサーの種類によって異なります。このライフサイクルこそが、監視を単なるツールではなく一連の体系的なプロセスたらしめているものであり、継続的な監視と定期的なスキャンとの違いでもあります。
このループを「収集・分析(ステップ1~3)」と「意思決定・実行(ステップ4~8)」の2つのフェーズに分けて考えるのが、有用な思考モデルです。 第1フェーズはデータエンジニアリングと検知科学です。第2フェーズは人間と機械による意思決定であり、運用コストの大部分がここに集中しています。優れたプログラムは、この両方に均等に投資します。一方、不十分なプログラムは収集に過度に投資し、選別(トリアージ)への投資が不足しています。これが、多くのSIEMデータが取り込まれながらも、検知には決して活用されない理由です。
継続的モニタリング――NISTが「継続的セキュリティモニタリング」と呼び、各フレームワークでは「継続的サイバーセキュリティモニタリング」として言及されている運用モード――こそが、この分野を定期的なスキャンと一線を画すものです。脅威には決まったスケジュールがないため、脅威の継続的な検知もまた、決まったスケジュールで行うことはできません。脅威ハンティングは、アラートを待つのではなく、「攻撃者は今どこに潜んでいるだろうか?」という問いを立て、同じテレメトリデータに対して能動的な仮説を検証する、補完的な手法である。検知がトリガーされると、インシデント対応という運用上のシフトが行われ、このループが完結する。英国のCRESTサイバーセキュリティモニタリングガイドは、このライフサイクルを反復可能なプログラムとして構築するための実用的な参考資料である。
継続的なサイバーセキュリティ監視計画を実施するにあたり、ほとんどのチームは次のような手順を踏んでいます。まず、資産とIDを棚卸しし、重要なログソース(IDプロバイダー、境界およびリモートアクセス、クラウド制御プレーン、重要な業務アプリケーション)の優先順位を付け、7つのドメインそれぞれに監視機能を導入し、その後、検知コンテンツの改良を繰り返します。 暗号化トラフィックに関する補足:HTTPS、暗号化DNS、および最新のトランスポートプロトコルの普及により、ディープパケットインスペクションの実用性は低下したため、ネットワーク検知の多くはメタデータベースおよび行動分析型のアプローチへと移行しています。つまり、ペイロードそのものではなく、フローの特性、ビーコンパターン、セッションレベルの異常を分析する手法が主流となっています。
サイバーセキュリティ監視に関するコンテンツの多くは、読者に「何を購入すべきか」「どのように導入すべきか」を伝えています。しかし、このセクションでは、より厳しい現実、すなわち、一般的な企業の監視スタックが実際にMITRE ATT&CK のどれほどを検知できているのか、そしてどこに検知の死角があるのかについて解説します。
「79%の問題」。 CardinalOpsの『2025年SIEMの現状』レポートにおける独立調査によると、企業のSIEMMITRE ATT&CK 平均21%しか検知できていないことが判明しました。つまり、79%の手法はSIEMだけでは検知されずにすり抜けてしまっているということです。2026年半ばの時点で、これは依然として最新版であるため、これらの数値は現在も引用可能です。Help Net Securityと Dark Readingによる中立的な報道は、この見出しを裏付けるとともに、以下の詳細情報を補足している。SIEMデータの半分以上は検知に一度も使用されず、検知ルールの20%未満しかトリガーされず、ルールの5%未満がアラートのノイズの大部分を発生させており、検知ギャップの70%以上は、SIEMがすでに取り込んでいるデータで埋めることができる。 このことから、検出範囲のギャップは主に予算の問題ではなく、検出エンジニアリングの問題であることが示唆されます。
各ツールカテゴリが実際にカバーする範囲について。ATT&CKの全範囲を単一のセンサーやプラットフォームで網羅できるものはありません。以下のマトリックスは、各ツールカテゴリがどの領域に貢献しているかを示しており、各セルには「Strong」(十分にカバーされている)、「Partial」(カバー状況がまちまち)、「Weak」(可視性が限定的)、「None」(設計上対象外)のマークが付いています。これはカバー範囲を示すヒートマップであり、ベンダーのランキングではありません。また、実際の結果は導入の成熟度によって異なります。
表2.MITRE ATT&CK 範囲
表2は、一般的な導入パターンにおける監視ツールのカテゴリ別、MITRE ATT&CK 目安を示しています。EDR、NDR、ITDR、および ユーザーおよびエンティティ行動分析 (UEBA)層を組み合わせることで、通常、カバレッジはSIEMのみの場合のベースラインである21%を大幅に上回ります。
アラート疲労は、本質的にはカバレッジの問題です。カバレッジとは、ツールが何を検知できるかというだけでなく、アナリストが実際にアクションを起こせる範囲を指します。業界全体を見渡すと、アナリストが受け取るアラートの調査率は半分をはるかに下回っており、24時間365日体制のSOCでは、営業時間のみの体制と比較して検知時間を約70%短縮できます。だからこそ、アラート疲労はアナリストを増員することで解決できる人員配置の問題ではなく、カバレッジとコンテンツの問題なのです。 解決策は、アラートの音量を上げるのではなく、関連する挙動を攻撃のシナリオとして結びつける、より少数の高精度なアラートです。このギャップを埋めるには、3つの分野への取り組みが必要です。すなわち、明確なプラクティスとしての検出エンジニアリング(検出コンテンツの作成と継続的なチューニング)、シグナルを見逃すことなくノイズを抑制するAIを活用したトリアージ、そしてより広範なセンサーカバレッジ(エンドポイントやログだけでなく、ネットワーク、ID、クラウド、SaaSを含む)です。
CVE中心の監視では、近年の代表的な侵害事例を見逃してしまう理由。2025年から2026年にかけて最も深刻な影響を及ぼした侵入事件では、正常に動作しているソフトウェアに対して、IDやOAuthトークンの悪用が行われました。エクスプロイトも、CVEも、malware存在しません。既知のシグネチャやパッチの状態に合わせて調整された監視プログラムでは、有効なトークンを使用してログインする攻撃者を検知することはできません。このギャップこそが、次のセクションで具体例を用いて解説する内容です。
最近の認証情報およびOAuthトークンの漏洩事件では、malware、CVE、多要素認証(MFA)といった防御策がすべて無効化されました。これは、IDおよびSaaSトークンの監視がもはやオプションではなく、必須の基盤となっていることを証明しています。2024年から2025年にかけて発生した3つの事例が、こうした攻撃の失敗パターンを示しており、2026年にも同様の傾向が続いていることから、このパターンは依然として続いていることがわかります。ここでは、防御側が何を監視すべきか、またどのような監視体制であればこの活動を検知できたかという観点から解説しており、攻撃者の手口そのものを解説するものではありません。
Change Healthcare — 検知前の潜伏期間はおよそ9日間(2024年)。侵入は2024年2月12日に始まり、2024年2月21日に検知されました。つまり、誰にも気づかれることなく、攻撃者が環境内で活動していた期間は約9日間にも及んだのです。ここから得られる教訓は、最初の侵入経路ではなく、侵害の深刻さを決定づけるのは侵害された瞬間だけでなく、潜伏期間であるということです。 境界でのイベントだけでなく、内部の異常な活動を検知する継続的な行動監視こそが、この9日間の期間を数時間に短縮する鍵となる。
Salesforce / Salesloft Drift OAuthトークン窃取事件(2025年)。攻撃者は、接続されたサードパーティ製統合ツールから取得した有効なOAuthトークンを悪用し、malware、境界防御の突破を一切行わずにSalesforceからデータを持ち出した。 アクセス許可は既に存在していたため、シングルサインオンや多要素認証(MFA)が問われることは一度もありませんでした。トークンは既に信頼されていたため、フィッシングの標的となる要素は存在しなかったのです。監視における教訓は明確です。接続されたOAuthアプリを棚卸しして不要なものを削除し、権限範囲が広すぎるトークンを無効化し、異常なトークンの使用やCRMデータの一括エクスポートに対してアラートを発することです。これはSSPM(セキュリティ状態管理)およびITDR(侵害検知・対応)のシグナルであり、エンドポイントやログのみを監視するスタックでは検知できません。
SKテレコム — 2,700万人の加入者が影響を受けた情報漏洩事件(2025年に公表)。約2,700万人の加入者に影響を及ぼしたこの情報漏洩事件は、大規模な環境においてテレメトリの網羅性と迅速な検知がいかに重要であるかを如実に示している。これほど広範囲に及ぶ事態においては、数日での検知と数週間での検知との差が、規制上のリスクや顧客への被害の大きさに直結する。
この傾向は2026年まで続いた。2026年には、関連性のない業界を問わず、同じOAuthおよびIDトークンを悪用する攻撃の手口が繰り返され、コネクテッド・インテグレーションやAIツールのOAuthアクセスに関連するさらなる情報漏洩事件も発生した(The Hacker News;Dark Reading)。 これに関連する一連の手口——ヘルプデスクへのボイスフィッシング、Microsoft EntraなどのエンタープライズIDプロバイダーへの認証取得、そしてCRMへの攻撃への展開——も、大手通信事業者における大規模な情報漏洩を引き起こした(BleepingComputer)。 防御面において注目すべき明るい兆候がある。少なくとも1件の事例では、被害を受けたSaaSプロバイダーが、ホワイトリストに登録されていないIPアドレスからのAPI呼び出しを通じて、約1~2週間以内に悪意のある活動を検知した。これはまさに、SSPMやクラウド検知・対応(CDR)が検出するように設計されている行動シグナルそのものである。
表3. 2024~2026年の認証情報およびOAuthに関する事例と、監視によって検出できたはずの内容
表3では、2024年から2026年にかけて発生した3件の認証情報およびOAuthに関する情報漏洩事例と、それぞれを検知できたであろう具体的な監視シグナルとを対応付けています。
継続的な監視は、ほぼすべての現代的なコンプライアンス体制における証拠の基盤となります。各フレームワークの表現は異なりますが、その期待される要件は共通しています。すなわち、セキュリティに関連するデータの継続的な収集、確認、および保存であり、これには文書化された手順と改ざん防止機能を備えた保存手段が求められます。「セキュリティフレームワーク」のトピックページでは、規制の全体像について詳しく解説していますが、本セクションでは、主要な規制体制における監視義務をまとめた1ページの対照表を提供します。
表4. コンプライアンス対応表 — 主要な規制枠組みにおける管理措置の照合
表4では、10の主要な規制枠組みにおける継続的モニタリングの義務を対照表形式で示し、それぞれについて、参照となる管理項目、モニタリングの範囲、頻度、および期待される証拠資料を対応付けています。詳細は GDPR準拠 における第32条の取り扱いについて参照のこと。
2026年、NIS2の施行体制が強化されます。 NIS2第23条では、24時間以内の早期警告、72時間以内のインシデント通知、および1ヶ月以内の最終報告という3段階の連鎖的な対応が義務付けられています。 EU加盟国における施行は、形式的なコンプライアンスから、リスクベースの積極的な監督へと移行しており、重要事業体に対しては最大1,000万ユーロ、または全世界売上高の2%に相当する罰金が科される可能性があります。この24時間の猶予期間は、監視体制に直接的な影響を及ぼします。つまり、検知からCSIRTへの通知に至るまでの体制が、24時間体制で待機していなければならないということです。翌営業日のトリアージを想定して設計された監視プログラムでは、24時間ルールを満たすことはできません。
NIS2第23条に基づく報告の流れ:24時間以内の早期通報 → 72時間以内のインシデント通知 → 1ヶ月以内の最終報告。(キャプションの代替テキスト:NIS2第23条に基づく報告の流れ — 24時間以内の早期通報、72時間以内の通知、1ヶ月以内の最終報告。)
包括的な参照基準は、あらゆるセクターにおいて一貫しています。具体的には、検出機能についてはNIST CSF 2.0 DE.CM、情報セキュリティ継続的監視(ISCM)プログラムの構造についてはNIST SP 800-137、技術的および組織的措置についてはGDPR第32条、そしてログおよびネットワーク監視に関する具体的な制御要件についてはCIS Controls v8が挙げられます。MITRE ATT&CK は、現代のほとんどの監査プログラム内で参照される、事実上の検出範囲のベンチマークとなっています。
5つの提供モデルは、中堅企業や大企業の購入者がサイバーセキュリティ監視サービスに求める要件の大部分を網羅しています。決定は予算だけで決まることはほとんどなく、真の課題は、攻撃が確認された際に誰が対応措置を主導するかという点にあります。以下のマトリックスは、それぞれのモデルのメリットとデメリットをまとめたものです。
表5. サイバーセキュリティ監視の提供モデル決定マトリックス
表5では、5つのサイバーセキュリティ監視提供モデルについて、対象範囲、対応責任、価格帯、要員配置、価値実現までの期間、および最適な組織規模の観点から比較しています。価格帯は2026年の業界における一般的な推定値であり、環境規模、テレメトリの量、およびSLAによって異なります。
MDR 対 MSSP。これはこの分野で最も頻繁に寄せられる質問ですが、その違いは「対応の主体」にあります。マネージド・セキュリティ・サービス・プロバイダー(MSSP)はセキュリティツールを管理し、アラートを転送しますが、対応の権限と実行は顧客が保持します。一方、マネージド・ディテクション・アンド・レスポンス(MDR)プロバイダーは、合意された範囲内で、ホストの隔離、アカウントの無効化、接続の遮断といった対応措置を顧客に代わって実行します。 MSSPは、ツールの運用を外部委託したいが、対応能力は自社で保有している組織に適しています。MDRは、特に夜間や週末の対応など、社内で対応要員を確保できない組織に適しています。完全に外部委託されるSOC-as-a-Service(SOCaaS)や仮想SOC(vSOC)のオプションは、専任のSOCを構築することなく24時間365日のサイバーセキュリティ監視を必要とする、セキュリティ担当の常勤従業員が5名未満のチーム向けに、このサービスをさらに拡張します。
2026年の市場動向。マネージド・セキュリティ・サービスは、監視市場において依然として最も急成長している分野である。独立系市場調査機関の予測によると、市場規模は2025年の約394億7000万ドルから、2030年までに約668億3000万ドルへと拡大すると見込まれている。なお、ここに示した数値は監査済みの事実ではなく、市場レベルの予測値である。
AI-SOCの微妙な事情。AIを活用した監視は運用体制を一新しつつあるが、その導入は測定可能な成果を凌駕する勢いで進んでいる。業界アナリストらは「AI SOCエージェント」を新たなカテゴリーとして挙げ、2028年までに大規模SOCの約70%がティア1およびティア2の業務向けにこれを試験導入すると予測している。しかし、体系的な評価を行わなければ、測定可能な改善が見込めるのは約15%にとどまると見られている(BleepingComputer)。 購入者への教訓:機械学習は、AIを活用した攻撃者との速度差を縮め、アラートの量を攻撃のシナリオへと変換することで、監視機能を真に向上させる。しかし、その評価はベンダーの主張ではなく、検知結果に基づいて行わなければならない。
有効性の測定。効果的なサイバーセキュリティ監視は、活動量ではなく結果によって評価されます。重要な指標は、平均検知時間(MTTD)、平均対応時間(MTTR)、潜伏時間(2025年の241日という基準値との比較)、MITRE ATT&CK (SIEMのみの21%という基準値に対し、統合スタックでの目標値を70%以上に設定)、および検知精度と再現率です。 これらを改善する最新のアプローチ——独立した専門分野としての「検出エンジニアリング」、AIを活用したトリアージ、シグネチャ照合に代わる行動分析、およびクロスドメイン相関分析——はすべて、監視を「ノイズを発生させる問題」から「測定可能なサイバーレジリエンス能力」へと転換するという共通の目標を共有しています。セキュリティ態勢の可視化と、サイバーセキュリティ監視ソリューションの幅広いカタログが、意思決定の判断材料を補完します。
Vectra AIは、サイバーセキュリティの監視を「ログの問題」ではなく「シグナルの問題」として捉えています。「侵害を前提とする」という哲学は、巧妙な攻撃者は必ず侵入してくるという前提に基づいています。したがって、最も価値のある監視とは、侵入後の攻撃者の行動、すなわち横方向の移動、権限の昇格、IDの異常な動作、OAuthトークンの悪用、コマンド&コントロール活動、および情報の持ち出しに焦点を当てるものです。Attack Signal Intelligence 、ネットワーク、ID、クラウド、SaaSといった現代の攻撃対象領域全体にAI駆動型の行動分析をAttack Signal Intelligence 、エンドポイントやログ中心の監視では見逃されてしまう攻撃を可視化します。 その目的は、選別すべきアラートを増やすことではなく、キルチェーンを追跡できる、より少数の高精度な検知を実現することです。セキュリティチームの人員が限られている組織にとって、これにより監視は「ノイズを発生させる問題」から「攻撃に対する回復力」へと転換されます。その効果は、取り込まれたログの数ではなく、実際の攻撃をどれだけ早期に検知できたかで測定されます。
サイバーセキュリティの情勢は、多くの監視プログラムが対応を再構築できる速度を上回る速さで変化しています。今後12~24カ月の間に、5つのトレンドが企業の監視手法、そしてその予算に関する議論に大きな変化をもたらすでしょう。
IDおよびSaaSトークンの監視が、最も費用対効果の高い投資となる。2024年から2026年にかけて発生した代表的な侵害事例では、malware 、有効なIDやOAuthグラントが悪用された。予算に余裕がある企業は、攻撃者がすでに回避策を講じているエンドポイントの防御を強化するよりも、ITDR(侵害検知・対応)およびSSPM(セキュリティ・ステートメント・パフォーマンス・モニタリング)——接続済みアプリのインベントリ、トークンの異常検知、IDの行動分析——に投資することで、最大の効果を得られる可能性が高い。
攻撃ベクトルの変化に伴い、セキュリティリスクへの曝露も増加しています。脆弱性の悪用が現在、主要な初期侵入経路となっており、パッチ適用までの平均日数が43日に延びている状況下では、継続的なリスクおよび脆弱性の監視は、単なる日常業務から、最前線での検知における最優先事項へと移行しています。パッチ適用状況を四半期ごとの報告事項として扱うだけのプログラムでは、今や最大の侵入経路となったこの脅威との戦いに、今後も敗れ続けることになるでしょう。
AIを活用したトリアージは成熟しつつあるが、その進展にはばらつきが見られる。2028年までにAI SOCエージェントの試験導入が広く行われる見込みだが、試験導入と測定可能な改善との間には大きな隔たりがある。 契約内容、職務記述書、およびツール構成は、AIが日常的なティア1トリアージを処理する方向へと移行し、人間のアナリストはティア2およびティア3の調査、検知エンジニアリング、脅威ハンティングに集中するようになるだろう。AIセキュリティそのものが新たな監視対象となる。モデルの異常、データポイズニング、シャドウAIのOAuth拡散はすべて、プログラムが吸収しなければならないシグナルを生成する。
規制のペースが加速している。NIS2第23条に基づく24時間事前通報ルールは、2026年にEU加盟国全体で本格的に施行され、違反時には最大1,000万ユーロまたは売上高の2%の罰金が科されることになる。継続的監視に関するSLA(サービスレベル契約)の要件は、「妥当な」水準から「監査可能な」水準へと移行しており、検知の遅れは今やコンプライアンス上のリスクに直結する。
単一ツールへの集中化ではなく、クロスドメインの統合。購買担当者は、単一のツールカテゴリーに統合しようとしているのではなく、カテゴリーを横断して連携するプラットフォームへと統合を進めている。2026年のプラットフォームに関する議論の焦点は、センサー数の削減ではなく、エビデンスの統合とアナリストの体験にある。
準備のためのプレイブックは、決して特別なものではありません。現在のセンサーの配置状況に対して、7つのドメインを網羅的に洗い出してください。ATT&CKのカバレッジ評価は、理想論ではなく、現実的な視点で実施してください。接続されているすべてのOAuthグラントを一覧化し、正当な理由がないものは削除してください。提供モデルを、3か月後ではなく、18か月後にどうあるべきかを決定してください。そして、エンジニアリングチームがテストスイートに投資するのと同じように、検知コンテンツを継続的に維持管理される資産として投資してください。
サイバーセキュリティ監視(サイバーセキュリティ・モニタリング、あるいはセキュリティ監視と呼ぶにせよ)は、その他のあらゆるセキュリティ投資の効果を明確に示す包括的な分野です。7つの領域(ネットワーク、エンドポイント、クラウド、ID、SaaS、アプリケーション、ログ)全体にわたる継続的な可視性がなければ、検知、対応、コンプライアンスへの投資は、目隠しをした状態で進めるようなものです。 最近の傾向は明らかです。侵害によるコストが減少しているのは、優れたプログラムによる検知が迅速化しているからに過ぎず、主な侵入経路はパッチ未適用の脆弱性へと移行しており、現在、決定的な侵入の多くはmalware仕込むのではなく、IDやOAuthトークンを悪用して多要素認証(MFA)を突破する形をとっています。
正直なカバレッジデータ――SIEMMITRE ATT&CK 1%を検知していること、アナリストがアラートの半分以下しか調査していないこと、業界の基準として241日という潜伏期間が存在すること――は、絶望する理由にはなりません。 これはロードマップである。このギャップを埋めるには、3つの取り組みが必要だ。1つや2つのドメインに頼るのではなく、7つのドメインすべてに監視機能を導入すること、検知コンテンツを1回限りの導入ではなく継続的に維持される資産として扱うこと、そしてチームの対応能力に照らして、正直に配信モデルを選択することである。
セキュリティ責任者が今後の予算配分を検討する際、最も費用対効果の高い投資対象としては、通常、IDおよびSaaSトークンの監視(ITDRおよびSSPM)、ネットワークおよびクラウドにおける行動分析、そしてアラートの量を攻撃の経緯へと変換するAIを活用したトリアージが挙げられます。上記の関連トピックページを参照して各分野についてさらに詳しく確認し、コンプライアンス対応表や導入モデルマトリックスを、こうした意思決定に必要な社内議論の出発点としてご活用ください。
サイバーセキュリティ・モニタリングとセキュリティ・モニタリングは、ほぼ同義語であり、同じ包括的な分野を指します。それは、ネットワーク、エンドポイント、クラウド、ID、SaaS、アプリケーション、ログのテレメトリといった、企業全体の攻撃対象領域にわたる、脅威に焦点を当てた継続的な可視化です。 実務上、セキュリティチームはこれら2つの用語を互換的に使用しており、ほとんどの情報源もこれらを同義として扱っています。一部の実務家は、「サイバーセキュリティ監視」をより広範な概念として、「セキュリティ監視」をその日常的な運用上のサブセットとして位置づけ、微妙な区別を設けていますが、その区別は標準化されておらず、プログラムの構築や運用方法に影響を与えることはほとんどありません。
より有用な区別は、本質的に異なる隣接する概念の間で見出すことができます。一般的な意味でのネットワーク監視は、攻撃者の行動ではなく、パフォーマンスや可用性(稼働時間、遅延、帯域幅)を追跡するものです。これに対し、脅威に焦点を当てたものは「ネットワークセキュリティ監視」と呼ばれます。脅威検知とは、監視という枠組みの中に位置づけられる検知の段階であり、この分野全体と同義ではありません。本ガイドの前半にある比較表では、それぞれの範囲と主な成果が示されています。 実務上のポイント:サイバーセキュリティとセキュリティという用語の違いに過度にこだわるのではなく、単一のドメインやツールではなく、攻撃対象領域全体を監視することに重点を置くべきです。
サイバーセキュリティ監視において、唯一無二の最適なツールは存在しません。なぜなら、攻撃者の手口をすべて網羅できるツールカテゴリは存在しないからです。独立したテストによると、エンタープライズ向けSIEMだけでは、MITRE ATT&CK 平均21%しか検知できていません。また、本ガイドの前半で紹介したカバレッジマトリックスにおける各カテゴリには、得意とする戦術もあれば、検知できない戦術も存在します。 効果的なプログラムでは、相互に補完し合うカテゴリを多層的に組み合わせます。具体的には、ログの相関分析とコンプライアンスの証拠収集にはSIEM、エンドポイントの挙動にはEDR、ネットワークおよび横方向の移動の可視化にはNDR、ID攻撃にはITDR、クラウド構成にはCSPMを活用することで、あるセンサーの死角を別のセンサーの強みで補うのです。
むしろ問うべきは、どの組み合わせが最大の脆弱性を解消できるかということです。まず、現在運用しているツールについて、MITRE ATT&CK 正直なMITRE ATT&CK 評価を行い、カバレッジが不十分または欠如している戦術(多くの場合、横方向の移動、認証情報の取得、および情報の持ち出し)を特定し、それらに対処できるカテゴリを追加してください。 多くの企業にとって、最も効果の高い追加要素は、IDおよびネットワーク行動のカバー範囲です。なぜなら、これらはエンドポイントやログ中心のスタックでは見逃されがちな、有効なアカウントやOAuthトークンを悪用した攻撃を検知できるからです。
SIEMは、ログの集約および相関分析を行うプラットフォームであり、多数のテレメトリソースにわたる分析を一元化し、コンプライアンスの証拠確保やルールベースの検知に最適化されています。EDRはエンドポイントに特化したセンサーであり、ワークステーションやサーバーからプロセス、ファイル、レジストリ、メモリに関するテレメトリデータを収集し、ホストレベルで行動検知を行います。NDRはネットワークトラフィック(特にイースト・ウエスト方向の横方向の移動)を分析して行動上の異常を検知するもので、多くの場合、ペイロードではなくメタデータに対してAIを活用した分析を行います。
これら3つは互いに補完し合うものであり、代替し合うものではありません。現代のSOCの多くは、これら3つすべて(「SOC可視化のトライアド」と呼ばれることもあります)を導入しており、SIEMを分析およびデータ保持のバックエンドとして、EDRとNDRを主要なセンサーとして活用しています。ID(アイデンティティ)の保護を目的としてITDRを追加することで、ほとんどのスタックに残る最大のギャップを埋めることができます。なぜなら、IDを標的とした攻撃は、エンドポイントやネットワークの制御を迂回して侵入してくるからです。 CardinalOpsの調査結果によると、SIEMMITRE ATT&CK わずか21%しか検知できないことが示されており、これはマルチセンサーアプローチを採用すべき最も有力な根拠となる。いかなる単一のカテゴリも、攻撃者の全戦術を網羅することはできないからだ。
継続的な監視により、現代のほぼすべてのコンプライアンス体制で求められる証拠資料が生成されます。NIST CSF 2.0では、これを「検出(Detect)」機能の中核として位置付けており、NIST SP 800-137ではプログラムの構造(ISCM 戦略およびプロセス)が定義されています。 PCI DSS v4.0.1の要件10では、毎日のログレビューと一元化されたログ管理が義務付けられています。HIPAA 45 CFR 164.312(b)では、監査管理が要求されています。 SOC 2 CC7は、文書化された検知およびインシデント対応能力を要求しています。NIS2第23条は、24時間/72時間/1ヶ月の報告段階を課しており、24時間体制の検知なしではこれを満たすことは不可能です。GDPR第32条は、継続的な技術的および組織的措置を求めており、監査ログと改ざん防止機能を備えた保存が標準的な証拠として求められています。
つまり、実際には、ログの保存記録、アラートの確認、インシデントチケット、通知ログといった監視の成果物が、監査人が期待する証拠の証跡となるのです。 コンプライアンスを単なる文書化作業として扱うプログラムでは、結局のところ作業の重複が生じます。一方、コンプライアンスの証拠(一貫したログの保存期間、改ざん防止対策が施された保存方法、文書化されたレビュー頻度など)を最初から組み込んで監視を設計するプログラムでは、運用機能と監査機能を統合することができます。本ガイドの前半にあるコンプライアンス対応表では、各フレームワークと、それに対応する監視義務および証拠資料を照合しています。
MSSP(マネージド・セキュリティ・サービス・プロバイダー)は、顧客に代わってセキュリティツールを管理・監視し、通常はアラートを顧客側のアナリストに転送して、調査や対応を行わせます。 ツールの運用はMSSPが担当し、対応は顧客が担当します。MDR(マネージド・ディテクション・アンド・レスポンス)プロバイダーは、合意された範囲内で顧客に代わって対応措置を講じます。MDRプロバイダーは、事前に合意されたプレイブックに従って、ホストの隔離、アカウントの無効化、接続の遮断、または確認されたインシデントの上級部署へのエスカレーションを行うことができます。
選択の決め手となるのは、通常、顧客側に24時間体制で対応できる社内リソースがあるかどうかです。そのような組織は、封じ込め措置の決定権を自社で保持できるため、MSSPを好む傾向にあります。 MDRを好まない組織は、午前2時のアラートに対して社内アナリストが対応するのを待つことは、翌営業日まで待つのと変わらないと考えている。ハイブリッドな形態がますます一般的になっており、顧客が戦略的な主導権を握りつつ、プロバイダーがティア1およびティア2のトリアージと、定義された対応範囲を処理する形をとっている。
コストは主に提供モデルによって異なり、以下の数値は業界の概算であり、環境の規模、テレメトリの量、サービスレベルによって変動します。常時体制の社内SOC(24時間365日体制)は固定費が最も高く、総額で年間100万ドルから200万ドル以上かかることが多く、さらに24時間体制のシフトをカバーするために5人から8人以上のアナリストが必要です。 アウトソーシングモデルでは、料金体系が定額制に移行します。MSSP(マネージドセキュリティサービスプロバイダー)は通常月額1万~5万ドル、MDR(マネージドディテクション&レスポンス)は中堅企業向けの環境で年間約4万~15万ドル以上、SOCaaS(SOC as a Service)や仮想SOCサービスは、提供範囲に応じて同程度の価格帯となります。
表面的な価格よりも重要なのは、その対価として何が得られるか、具体的には、攻撃が確認された際に誰が対応措置を主導するかという点です。アラートを転送するだけのMSSPであれば、封じ込め作業はお客様のチームに委ねられます。一方、合意された範囲内で対応措置を講じるMDRは、より多くの作業を担うため、それに応じた価格設定となります。購入者は、ツールの数やアラートの量ではなく、対応時間や検知結果に基づいてプロバイダーを評価する傾向が強まっており、これはコストと価値を比較する上でより有意義な基準となります。
はい、実質的にそうです。ランサムウェアの攻撃のほとんどは、数日あるいは数週間にわたる偵察、認証情報の窃取、横方向の移動、および準備段階を経て行われます。また、2026年版DBIRによると、現在、情報漏洩事件の約48%でランサムウェアが確認されています。エンドポイントのシグネチャだけでなく、ネットワークやアイデンティティの全領域にわたる行動監視を行うことで、防御側は、暗号化が実行される前に攻撃者を封じ込めるために必要な早期警告信号を得ることができます。 暗号化前の活動に最も関連性の高いMITREテクニック(有効なアカウントの悪用、ブルートフォース攻撃、および「インパクトを狙ったデータ暗号化」に先行する準備段階)は、暗号化イベント自体よりも、キルチェーンのはるか早い段階で検出可能です。
2024年から2026年にかけて「アイデンティティ・ファースト」型攻撃が急増する中、ITDRはランサムウェアへの耐性を高める上で特に費用対効果の高い投資となります。 有効なシングルサインオン(SSO)セッションや有効なOAuthトークンを保持している攻撃者は、malware必要としないため、エンドポイントのシグネチャやデータ漏洩防止(DLP)のトリガーだけでは検知できません。IDフローの行動監視——不自然なログイン経路、異常な管理者操作、OAuthトークンの悪用、および異常なデータアクセスパターン——こそが、そのギャップを埋め、監視を真のランサムウェアリスク低減へと変えるものです。