セキュリティ監視の解説:現代企業におけるSOC運用の全体像

主な洞察

  • セキュリティ監視は、脅威を継続的に可視化する包括的な分野であり、機能としてのSOC運用、ワークフローとしてのTDIR、ツールカテゴリとしてのSIEMやEDRとは区別される。
  • 2025年のデータ侵害による世界平均の損害額は444万ドルで、検知から封じ込めまでの平均所要日数は241日でした。これは過去9年間で最も短い期間ですが、それでも攻撃者がシステム内に潜伏する期間は8ヶ月以上に及びます。
  • エンタープライズ向けSIEMは、MITRE ATT&CK 平均21%しか検知できておらず、EDR、NDR、ITDRによる補完的な検知機能なしでは、攻撃者の行動の79%が検知されずに見過ごされてしまうことを意味します。
  • NIST CSF 2.0、PCI DSS v4.0.1、HIPAA、SOC 2、NIS2、GDPR、FedRAMP などの主要なコンプライアンス・フレームワークはすべて、継続的な監視の証拠を求めており、特に NIS2 第 23 条のカスケード要件では、24 時間体制の早期警告が義務付けられています。
  • 社内SOC、MSSP、MDR、SOCaaS、およびハイブリッド型といった提供モデルの中からどれを選ぶかは、単に予算やツールの数だけでなく、主に誰が対応措置の責任を負うかによって決まります。

セキュリティモニタリングとは、ネットワーク、エンドポイント、クラウドワークロード、ID、SaaSアプリケーション、ログなど、企業の攻撃対象領域全体からセキュリティ関連データを継続的に収集・分析し、対応を行うことで、脅威が重大な被害をもたらす前に検知する取り組みです。本ガイドにおける「セキュリティモニタリング」とは、企業のサイバーセキュリティ分野のみを指し、一般家庭向けの防犯システムや物理的な警備サービスは含みません。検索エンジン上では両業界でこの用語が使用されるため検索結果が重複することがありますが、その実務内容は無関係です。 企業のサイバーセキュリティ監視プログラムの評価(監視対象の選定、コンプライアンス要件、有効性の測定方法、自社開発か購入かの判断など)を検討している場合、本記事は包括的な参考資料となります。ここでは、7つの監視領域(ネットワーク、エンドポイント、クラウド、ID、SaaS、アプリケーション、ログ)を MITRE ATT&CK のカバレッジベンチマーク、最新の侵害経済学、主要なコンプライアンスフレームワーク、そして社内運用と外部委託の選択基準と結びつけて解説します。

セキュリティ監視とは何ですか?

セキュリティ監視とは、企業の攻撃対象領域全体(ネットワーク、エンドポイント、クラウドワークロード、ID、SaaSアプリケーション、ログなど)からセキュリティ関連データを収集・分析し、それに基づいて対応を行うという継続的なサイバーセキュリティ活動であり、攻撃者の活動を重大な被害につながる前に検知することを目的としています。これは、SOC運用チームに可視性を提供し、TDIRワークフローを推進し、監査人が求める証拠を生成する、包括的な分野です。

サイバーセキュリティ監視と、同名の消費者向け産業との比較

用語に関する補足。「セキュリティ監視」という表現、およびその派生形である「サイバーセキュリティ監視」は、家庭用警報装置、監視カメラ、24時間365日体制の警報受信センターといった民生向け業界を指す場合もあります。Googleの検索結果ページ(SERP)では、これらの意味が混在していることがよくあります。本記事では、企業向けサイバーセキュリティ分野のみを取り上げます。民生向けのホームセキュリティ、警報対応サービス、または物理的なセキュリティ監視をお探しの場合は、本記事の内容は該当しません。

セキュリティ監視と類似の概念

セキュリティ監視は、その構成要素であるツールやワークフローと混同されがちです。以下の5つの点を区別しておくと役立ちます:

  • セキュリティ監視とSOC運用。監視とは、信頼性の高い脅威シグナルを生成する活動です。一方、SOC運用とは、それらのシグナルを分析し、それに基づいて対応を行う機能(人員、プロセス、シフト体制など)を指します。小規模な企業であっても、正式なSOCを設置しなくてもセキュリティ監視を実施することは可能です。
  • セキュリティ監視とTDIRの比較。脅威の検知、調査、対応(TDIR)は、エンドツーエンドのワークフローです。監視はその入力段階にあたります。TDIRには、アナリストによる分析、ケース管理、および事案の完了処理が追加されます。
  • セキュリティ監視とSIEMの比較。SIEMは、ログを中心とした集約と相関分析という分野を支えるアーキテクチャパターンの一つです一方、監視の範囲はより広く、NDR、EDR、ITDR、CSPM、SSPM、FIMなども含まれます。SIEMとログ監視は基礎的な役割を果たしますが、それらがこの分野のすべてを構成しているわけではありません。
  • セキュリティ監視とネットワークパフォーマンス監視。ネットワークパフォーマンス監視は、稼働時間、遅延、および容量に焦点を当てています。一方、セキュリティ監視は、攻撃者の行動に焦点を当てています。どちらもネットワークのテレメトリデータを利用しますが、そこから導き出そうとする情報は異なります。
  • セキュリティ監視とオブザーバビリティ。オブザーバビリティとは、ログ、メトリクス、トレースを活用してシステムの挙動を把握する、より広範なエンジニアリング分野です。一方、セキュリティ監視は、システムの健全性を診断するのではなく、攻撃者の検知に焦点を当てた、セキュリティに特化したその一部門です。オブザーバビリティのデータはセキュリティ監視に活用され、セキュリティ監視は脅威に特化した分析、行動モデル、および対応ワークフローを提供します。

「サイバーセキュリティ監視」および「継続的セキュリティ監視」(NIST SP 800-137 で用いられている表現)という呼称は、いずれも同じ実践手法を指しています。英国国立サイバーセキュリティセンター(NCSC)は、その規範的な要件を「NCSC サイバーアセスメント・フレームワークの原則 C1」として定めており、これは「適切な」セキュリティ監視のあり方について、政府が発表した定義の中で最も簡潔なものです。

本記事の残りの部分における実用的な定義として、セキュリティ監視とは、企業が自社の環境が攻撃を受けているかどうかを把握するために継続的に行う活動であり、さらに最近では、その情報を基にどれだけ迅速に対応できるかも重要視されるようになっている。「どのように」行うかという点において、7つの領域、監視範囲のギャップ、そして提供方法の決定といった要素がすべて関わってくる。

2026年にセキュリティ監視が重要となる理由

2026年において、セキュリティ監視が単なる形式的な作業ではなく、業務上の必須要件となる理由は、主に3つの要因にある。それは、侵害による経済的損失、攻撃者の行動の迅速化、そして「アイデンティティファースト」かつ「マルチドメイン」な攻撃キャンペーンへの移行である。

データ侵害の経済的コスト。 ポネモン研究所の「2025年データ侵害コスト調査」(最新のグローバル基準)によると、データ侵害による平均コストは444万ドルとなり、前年比9%の減少となった。 この減少は、攻撃者の手口が悪化したためではなく、侵害の特定と封じ込めに要する平均時間が241日と9年ぶりの低水準を記録したためである。AIを活用した検知システムを広範に導入した組織では、平均190万ドルのコスト削減を実現し、侵害のライフサイクルを80日短縮した。これらの数字が示唆するのは、監視体制の成熟度がデータ侵害の財務的コストに明確に反映されるようになったということだ。 同調査によると、241日という期間は依然として攻撃者がシステムにアクセスし続ける期間が8ヶ月以上に相当し、この絶対的な基準値は、検知範囲の不備を如実に物語っている。

攻撃者のスピード。 MSSP Alertが報じた業界の脅威インテリジェンス調査によると、サイバー犯罪における「ブレイクアウト時間」(最初の侵害から最初の横方向の移動までの時間)は2025年に29分まで短縮され、前年比で65%のスピードアップを記録した。攻撃者が30分足らずでホスト間を移動できるようになった今、日々のログ確認や週次チューニングサイクルは「監視」ではなく、「考古学」に過ぎない。

アイデンティティを最優先としたマルチドメイン型攻撃。Unit 42の調査によると、大規模な調査対象事例の90%近くでアイデンティティの脆弱性が関与しており攻撃の80%はマルウェア、エンドポイントへのペイロードではなくアカウントの乗っ取りを根源としています。 2024年に成功した侵害の40%は複数のドメインにまたがっており、これは単一のツールカテゴリ(エンドポイントのみ、ログのみ)に依存する検知では、攻撃対象領域の大部分を見逃してしまうことを意味します。資格情報の窃取と、それに続く行動上の兆候(異常なログイン、権限昇格、横方向の移動)こそが、現代の攻撃の大部分を占めています。

最新の動向。2026年5月現在、過去1週間の間に少なくとも2件のCVEが実際に悪用されています。CVE-2026-20182は、リモート攻撃者を認証するSD-WAN制御プレーンにおけるCVSS 10.0の脆弱性であり、現在CISAの「既知の悪用されている脆弱性カタログ」に掲載されています。 Apache HTTP/2におけるCVSS 8.8のダブルフリー脆弱性であるCVE-2026-23918は、アプリケーション層やイースト-ウエスト通信における死角が、いかに直接的な侵害につながるかを示しています。これら2つの事例は、7つのドメインすべてにわたる継続的な監視が必須である理由を如実に物語っています。

セキュリティ監視の7つの領域

現代のセキュリティ監視は7つの領域にまたがっており、各領域には固有のテレメトリ、ツール、および可視性のギャップが存在します。いずれかの領域を単独で扱うことは、前述のような多領域にわたる侵害パターンを招くことになります。下の図は、これら7つの領域を、共通の攻撃対象領域上に重なり合うカバレッジ層として視覚化したものです。どの領域も他の領域に取って代わるものではなく、領域間のギャップこそが侵害が発生する場所なのです。

  1. ネットワーク
  2. エンドポイント
  3. クラウド
  4. ID
  5. SaaS
  6. 申請
  7. ログ

ネットワークセキュリティの監視

ネットワークセキュリティモニタリング(NSM)とは、イースト・ウエストおよびノース・サウス方向のトラフィックを継続的に分析し、行動上の異常を検知する手法であり、シグネチャベースのIDS/IPSを行動分析で補完する分野です。 ネットワークセキュリティモニタリングに関する専用ガイドや、ネットワーク検知・対応NDR)における最新のカテゴリー分類を参照し、ツールの詳細についてご確認ください。前述の2026年のSD-WANコントロールプレーン悪用(CVE-2026-20182)は、イースト-ウエストおよびコントロールプレーンの可視性がなぜ重要なのかを示す典型的な事例です。Zeekのようなオープンソースプロジェクトは、依然としてNSM実務者にとって基礎的な参照資料となっています。

エンドポイントセキュリティの監視

エンドポイントセキュリティの監視では、ワークステーションやサーバー上のプロセスの動作、ファイルの完全性、レジストリやシステムの変更、およびメモリ上の痕跡を監視します。これは、ほとんどのセキュリティプログラムの出発点であると同時に、多くのプログラムが直面する限界でもあります。 大規模なデータ侵害の約50%は、攻撃者がエンドポイントの制御を回避することで発生しています。その手法には、「リビング・オフ・ザ・ランド(LOCL)」技術やファイルレス実行、あるいは単にエンドポイントの可視性が及ばない領域へ移行してIDベースの攻撃に切り替えるといったものがあります。そのため、従来のエンドポイント保護に挙動分析を加えたエンドポイント検出・対応(EDR)は不可欠ですが、それだけでは不十分なのです。

最新のEDRは、エンドポイントのシグナルをネットワーク、アイデンティティ、クラウドのテレメトリと関連付ける「拡張型検出・対応(XDR)」へと発展しています。このカテゴリーの区別が重要なのは、XDRが追加する機能(クロスドメインの相関分析)こそが、エンドポイントのみの監視では見落とされがちな部分だからです。

クラウドセキュリティの監視

クラウドセキュリティモニタリングは、クラウドのコントロールプレーン、ワークロードのテレメトリ、構成のドリフト、および一時的なワークロード(コンテナ、サーバーレス)に対する可視性を提供します。 詳細な内訳については「クラウドセキュリティモニタリング」を、ランタイム検出のカテゴリについては「クラウド検出および対応」を参照してください。コンテナおよびKubernetesのテレメトリ、ならびにAWS固有のモニタリング課題が、クラウドのカバー範囲を補完します。CSPM、CWPP、およびCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)の各カテゴリは、クラウド環境全体にわたる継続的な構成およびランタイムの可視化という単一のミッションに集約されます。

アイデンティティ脅威の検出と対応(ITDR)

ID脅威の検知と対応 — あるいは ITDR — アイデンティティプロバイダー、ディレクトリサービス、および認証フローを監視し、認証情報の盗難、異常なログイン(不可能な移動経路、通常とは異なる地理的情報)、権限昇格(T1078, T1110)、休眠アカウントの悪用、およびIDを悪用した横方向の移動などです。監査やコンプライアンスに重点を置くIAMログ記録とは異なり、ITDRは行動分析と攻撃者を対象としています。

アイデンティティは、現代における主要な攻撃対象領域として広く認識されています。侵入攻撃の約30%はアイデンティティを標的としたものであり、ガートナーのITDR市場カテゴリーおよびこれを裏付ける業界レポートによると、クラウド侵害の80%以上がアイデンティティの設定ミスが原因となっています。 2026年のADTによる侵害事例は、その典型的な例です。ShinyHuntersのオペレーターは、ヘルプデスクのセッションを侵害するフィッシング攻撃を実行し、そのアクセス権を利用して企業のSSOプラットフォームに認証を行い、さらにSalesforceへ侵入して550万件の顧客レコードを盗み出しました(Rescanaの分析による)。マルウェア 一切マルウェア 。この侵害の連鎖は、まさにITDRが検知するために設計された行動パターンそのものであり、エンドポイントやログ監視では見逃されてしまう典型的な事例です。

SaaSセキュリティ監視(SSPM)

SaaSセキュリティ態勢管理(SSPM)は、SaaSプラットフォーム(CRM、生産性スイート、IDプロバイダー、コードリポジトリ)において、設定ミス、異常な管理操作、OAuthの悪用、および接続アプリに関連するリスクを監視します。最近の2つのインシデントは、SSPMがなぜ重要なのかを如実に示しています。2026年のCanvas/Instructureインシデントでは、SaaS監視のカバー範囲に隙間があったため、発見されるまでに数週間にわたる潜伏期間が生じました(Penligentの分析)。 2025年のTransUnion侵害事件(Salesloft DriftのOAuthトークンをSalesforceと連携させることで実行された)は、エンドポイントの侵害ではなく、接続されたアプリの権限こそが攻撃ベクトルであったことを示しました(Strobes 2025年侵害事件総括)。OAuthトークンの監視、アプリ間権限の監査、および管理者の行動に関する行動基準は、適切な警告を発していたはずのSSPMの制御手段です。

アプリケーションセキュリティの監視

アプリケーションセキュリティ監視は、ビルドパイプラインにおけるSASTおよびDASTの結果、実行時のIASTおよびRASP、WAFのテレメトリ、アプリケーションログなど、アプリケーションの実行時の挙動を網羅します。これは、顧客向けサービスのリモートセキュリティ監視が行われる領域であり、監視とエンジニアリングの可観測性の境界が最も曖昧になる領域でもあります。 2026年に発見されたApache HTTP/2のダブルフリーの脆弱性(CVE-2026-23918)は、この点に関する2026年の参考事例です。アプリケーション層の監視では、httpdプロセスのクラッシュ、HTTP/2ストリームエラーの急増、および異常な子プロセスの生成を検知する必要があります。これらは、ログのみやエンドポイントのみを監視するスタックでは検出できません。

ログ監視とSIEM

ログ監視とは、スタック全体から収集したログを一元的に集約、正規化、相関分析、および保存するプロセスであり、セキュリティ監視の歴史的基盤であり、SIEMやログ監視として最もよく説明されるアーキテクチャです。SIEMは、単なる検知エンジンではなく、より広範なSecOpsプラットフォームのためのバックエンド分析レイヤーへと進化しています。 次節で取り上げるCardinalOpsの「SIEM検知範囲に関する第5回年次報告書」は、SIEM単独で検知できるものと見逃してしまうものについて、2025年の調査結果の中で最も重要な知見となっています。

セキュリティ監視の仕組み

セキュリティ監視は、継続的なループで実行されます。監視対象となるすべてのドメインに対して同じ8つのステップが実行されますが、入力データや分析内容はセンサーの種類によって異なります。このライフサイクルこそが、監視を単なるツールではなく、一つの体系的な手法たらしめているのです。

  1. ネットワークセンサー、エンドポイントエージェント、クラウドAPI、IDプロバイダー、SaaS監査ログ、およびアプリケーションの計測機能からテレメトリデータを収集します
  2. 生データの正規化と情報補完— ログ形式の解析、資産の重要度、識別情報、地理情報、および脅威インテリジェンスのコンテキストの追加。
  3. 相関ルール、行動分析、機械学習、およびシグネチャ照合を通じて検知します
  4. トリアージアラート— 重複を排除し、深刻度に基づいてスコア付けを行い、既知の誤検知を抑制し、調査に値する案件を抽出します。
  5. 確認済みの事象を調査する――関連するシグナルを攻撃の経緯に組み込み、影響範囲を特定する。
  6. 対応— 影響を受けた資産を隔離し、認証情報を無効化し、悪意のある接続を遮断し、証拠を保全する。
  7. レポート— SOCダッシュボード、経営層向けレポート、およびコンプライアンス証拠リポジトリにメトリクスを反映します。
  8. 継続的な改善を行う――検知ルールの調整、カバレッジの不備の解消、そして得られた知見に基づいたプレイブックの更新を行う。

このループを「収集・分析」(ステップ1~3)と「意思決定・実行」(ステップ4~8)の2つのフェーズに分けて考えるのが、有用な思考モデルです。 第1フェーズはデータエンジニアリングと検知科学です。第2フェーズは人間と機械による意思決定であり、運用コストの大部分がここに集中しています。優れたプログラムは両方に均等に投資しますが、不十分なプログラムは収集に過度に投資し、選別(トリアージ)への投資が不足しています。これが、多くのSIEMデータが検知に活用されない理由です。

継続的な脅威検知――NISTが「継続的セキュリティ監視」と呼ぶ運用モードの枠組み――こそが、監視と定期的なスキャンを区別する要素です。脅威には決まったスケジュールがないため、検知もまたそうあってはなりません。脅威ハンティングは、アラートを待つのではなく、「今、攻撃者はどこに潜んでいるだろうか?」という問いを立て、同じテレメトリデータに対して能動的な仮説を検証する、補完的な手法です。検知がトリガーされると、インシデント対応という運用上の切り替えが行われ、このループが完結します。

暗号化トラフィックに関する補足。HTTPS、暗号化DNS、およびQUICベースのプロトコルにより、ディープパケットインスペクションの実用性は低下しました。現代のネットワーク検知の多くは、メタデータや行動分析に基づくアプローチへと移行しており、ペイロードそのものではなく、フローの特性、ビーコンパターン、JA3/JA4フィンガープリント、セッションレベルの異常などを分析するようになっています。 2025年5月に発行されたCISAのSIEMおよびSOARプラットフォーム導入に関する実務者向けガイダンス」では、優先すべきログソースとして、IDプロバイダー、境界およびリモートアクセス、クラウド制御プレーン、および重要なビジネスアプリケーションが明文化されています。

「正直なところ、保険適用外の範囲:実際にどれくらいの範囲が対象外なのか?」

セキュリティ監視に関するコンテンツの多くは、読者に「何を購入すべきか」「どのように導入すべきか」を伝えています。しかし、このセクションでは、より厳しい現実――一般的な企業の監視スタックが、MITRE ATT&CK のどれほどを実際に検知できているのか、そしてその検知の盲点がどこにあるのか――について解説します。

「79%の問題」。2025年に発表されたCardinalOpsの第5回年次報告書「SIEM検知範囲に関する調査」によると、企業のSIEMは MITRE ATT&CK の手法の平均21%しか検知できていないことが判明した。つまり、79%の手法はSIEMだけでは検知されずに見逃されているということだ。Help Net Securityによる同レポートの報道では、以下の裏付けとなる調査結果が追加されている。SIEMデータの半数以上は検知に一度も使用されていない、検知ルールが実際にトリガーされるのは20%未満、アラートのノイズの大部分を発生させているのは5%未満のルールであり、検知のギャップの70%以上は、SIEMが既に取り込んでいる既存データで埋めることができる。このことから、カバレッジのギャップは予算の問題ではなく、検知エンジニアリングの問題であることが示唆される。

各ツールカテゴリが実際にカバーする範囲について。ATT&CKの全範囲を単一のセンサーやプラットフォームで網羅できるものはありません以下のマトリックスは、各ツールカテゴリがどの領域に貢献しているかを示しており、各セルには「Strong(十分にカバー)」、「Partial(カバー状況がまちまち)」、「Weak(可視性が限定的)」、または「None(設計上対象外)」と表示されています。これはカバー範囲を示すヒートマップであり、ベンダーのランキングではありません。実際の結果は、導入の成熟度によって異なります。

表1.MITRE ATT&CK 範囲

ツールのカテゴリ 初期アクセス 実行 永続性 クレデンシャル・アクセス ディスカバリー ラテラルムーブ コレクション C2 データ流出 インパクト
SIEM パーシャル パーシャル パーシャル パーシャル パーシャル 弱い 弱い パーシャル 弱い パーシャル
EDR パーシャル 強い 強い パーシャル 強い パーシャル パーシャル パーシャル 弱い 強い
NDR 強い 弱い 弱い パーシャル 強い 強い パーシャル 強い 強い パーシャル
ITDR 強い なし パーシャル 強い パーシャル 強い なし なし 弱い なし
CSPM パーシャル なし パーシャル パーシャル 弱い なし なし なし パーシャル パーシャル
FIM なし パーシャル 強い なし なし なし 弱い なし なし 強い
UEBA パーシャル パーシャル パーシャル 強い 強い 強い パーシャル パーシャル 強い パーシャル

カバレッジの強度は目安であり、一般的な導入パターンにおける各カテゴリの機能に基づいて算出されています。EDR、NDR、ITDR、およびUEBAレイヤーを組み合わせることで、通常、カバレッジはSIEMのみの場合のベースラインである21%を大幅に上回ります。

アラート疲労は、本質的には検知範囲の問題である。 The Hacker Newsが「最もリスクの高いアラートタイプ」として報じた2024年SANS SOC調査によると、平均的なSOCでは1日あたり約11,000件のアラートを処理しているが、そのうち調査に値すると判断されるのはわずか19%に過ぎない。 同記事で引用されたアグリゲーターのデータによると、アラートの63%は未対応のまま放置され、46%は誤検知であり、SOCアナリストの63%から76%がバーンアウトの症状を報告している。The Hacker Newsのシリーズ記事では、慢性的に調査が不十分な5つのアラートカテゴリとして、WAF、DLP、OTおよびIoT、ダークウェブインテリジェンス、サプライチェーンを挙げている。

だからこそ、アラート疲労はアナリストを増員することで解決できる人員配置の問題ではない。これは、監視範囲とアラートの内容の課題である。解決策はアラートの音量を上げるのではなく、関連する挙動を攻撃のシナリオとして結びつける、より少数の高精度なアラートである。 このギャップを埋めるには、3つの分野が必要です。すなわち、明確なプラクティスとしての検出エンジニアリング(検出コンテンツの作成と継続的なチューニング)、シグナルを見逃すことなくノイズを抑制するAIを活用したトリアージ、そしてより広範なセンサーカバレッジ(エンドポイントやログだけでなく、ネットワーク+ID+クラウド+SaaS)です。横方向の移動の検出は、これまでほとんどのカバレッジマトリックスにおいて最も脆弱な部分でしたが、現代のNDR(ネットワーク検知対応)およびITDR(IT検知対応)のカテゴリーが、この分野で最も大きな進歩を遂げています。

セキュリティ監視とコンプライアンス

継続的な監視は、ほぼすべての現代的なコンプライアンス体制における証拠の基盤となります。各フレームワークの表現は異なりますが、その期待される要件は共通しています。すなわち、セキュリティに関連するデータの継続的な収集、確認、および保存であり、これには文書化された手順と改ざん防止機能を備えた保存手段が求められます。コンプライアンスおよびセキュリティのフレームワークに関するトピックページでは、規制の全体像を詳細に解説しています。本セクションは、主要な規制体制における監視義務をまとめた、1ページにまとめた対照表です。

表2. コンプライアンス対応表 — 主要な規制枠組みにおける管理措置の照合

フレームワーク セクション / 制御 監視すべき事項 ケイデンス 証拠の改ざん
NIST CSF 2.0 DE.CM(継続的モニタリング);DE.AE(有害事象分析) ネットワーク、人員、環境、外部サービスプロバイダー 連続 監視レポート、異常ログ
NIST SP 800-137 ISCM戦略(定義 → 確立 → 実施 → 分析 → 対応 → 見直し) 対象範囲内のすべての資産および統制 ミッション、事業、情報システムの各レベルごとに分類 ISCM戦略文書、自動生成レポート
PCI DSS v4.0.1 要件10 システムコンポーネントおよびカード会員データへのすべてのアクセス、ログイン試行、管理者による操作 日次ログの確認、一元的なログ管理、改ざん防止機能付きストレージ ログ(保存期間12か月、オンライン保存期間3か月)、FIM記録
ヒパア 45 CFR §164.312(b) 監査管理措置 ePHIに関する活動 — ハードウェア、ソフトウェア、および手順上の仕組み 継続的;定期的な見直し 監査ログ、監査レビュー文書
SOC 2 トラスト・サービス基準 — CC7(システム運用) セキュリティインシデント、インシデントの検知と対応、脆弱性管理 継続的な監視;文書化されたインシデント対応 証拠、インシデントチケット、是正措置記録の監視
NIS2指令 第23条の報告の連鎖 サービスの可用性または完全性に影響を及ぼす重大な事象 24時間前の事前通報 → 72時間後の事象報告 → 1ヶ月後の最終報告書 通知ログ、CSIRTとのやり取り、根本原因調査報告書
GDPR 第32条(処理の安全性) ネットワーク、監査ログ、侵害の兆候 — 技術的および組織的な対策 継続的;72時間以内の侵害通知 監査ログ、改ざん防止機能付き保管庫、DPIA
FedRAMP 継続的監視(ConMon) — プレイブック v1.0(2025年11月) 承認済みクラウドサービスのベースライン+差分 月次POA&Mおよびスキャン、年次総合評価、3年ごとのペネトレーションテスト(中~高リスク) POA&M、月次スキャンレポート、ConMon戦略
CIS Controls v8 管理項目8(監査ログの管理);管理項目13(ネットワークの監視および防御) 監査ログの作成、保存、監視;ネットワークトラフィックのフロー 連続 ログ管理の設定、NDRレコード
ISO/IEC 27001/27002:2022 A.8.16(監視活動);A.5.7(脅威インテリジェンス);A.8.15(ログ記録) ネットワーク、システム、アプリケーション;脅威インテリジェンスの収集;ログの品質 継続的;文書化されたレビュー 別紙A:証拠および監視記録の管理

すべての引用は、権威あるフレームワーク文書を対象としています。第32条に関するGDPRコンプライアンスの詳細な解説、およびATT&CKのカバレッジビューを補完するMITRE D3FEND マッピングを参照してください。

NIS2の24時間対応。 NIS2第23条の報告要件では、24時間以内の早期警告、72時間以内のインシデント通知、および1ヶ月以内の最終報告という3段階の連鎖が義務付けられていますEUの規制対象事業者にとって、この24時間の期限はSLA(サービスレベル契約)に直接的な影響を及ぼします。つまり、検知からCSIRTへの通知に至るまでの体制が、24時間体制で待機していなければならないのです。 翌営業日のトリアージを想定して設計された監視プログラムでは、24時間ルールを満たすことはできません。

米国連邦政府および契約業者向け基準。2025年11月17日に公開された『FedRAMP継続的モニタリング・プレイブックv1.0』は、認可されたクラウドサービス提供に対するConMonの要件を体系化したものである。2025年5月のCISA SIEM/SOAR実務者向けガイダンスと併せて、連邦政府およびFedRAMP規制対象プログラムの運用上の参照基準を形成する。NIST CSF 2.0 DE.CMは、公共部門および民間部門双方にとって、引き続き包括的なフレームワークの参照基準である。 MITRE ATT&CK フレームワークは、最新の監査プログラムのほとんどで参照される、事実上の検知範囲のベンチマークとなっています。

提供モデルの選択:社内運用、MSSP、MDR、ハイブリッド

5つの提供モデルは、中堅企業や大企業の購入者がサイバーセキュリティ監視サービスに求める要件の大部分を網羅しています。決定の要因が予算のみに帰着することはほとんどなく、真の課題は、攻撃が確認された際に誰が対応措置を主導するかという点にあります。以下のマトリックスは、それぞれのモデルのメリットとデメリットをまとめたものです。

表3. セキュリティ監視の提供モデル決定マトリックス

モデル スコープ 対応の責任 一般的な価格帯 人員配置モデル 価値実現までの期間 組織規模に最適
社内SOC 満席 — 購入者による選択 購入者 年収100万~200万ドル以上(諸手当・福利厚生込み) 24時間365日体制で5~8名以上(フルタイム換算) 生後6~18か月 5,000名以上の従業員を擁し、確立されたセキュリティ体制を整備
MSSP ツールの操作とアラートの転送 購入者 月額1万~5万ドル 提供者(第1~2段階のトリアージ);回答は購入者が保持する 1~3か月 業務の外部委託を検討している従業員数1,000~10,000人の企業
MDR 検知と対応措置 提供者(合意された範囲内) 年収4万~15万ドル以上/中堅企業 提供者;買い手は戦略を維持する 30~60日 従業員数500~10,000名で、24時間365日の社内対応体制がない企業
SOCaaS / vSOC 完全仮想化SOC プロバイダー 年収6万~25万ドル以上 プロバイダー;買い手は完全に外部委託 30~90日 <2,500 employees with <5 security FTEs
ハイブリッド 階層またはドメインごとに分割 共有 変数 混合型 — 買い手が戦略的な統制権を保持し、プロバイダーがティア1~2を担当する 60~120日 従業員数2,500~25,000人の企業におけるSOCの一部導入

価格帯は2026年の業界標準の目安であり、環境の規模、テレメトリの量、およびSLAによって異なります。価値実現までの期間は、中程度の複雑さを持つ環境における現実的な導入プロセスを反映したものです。

MDR 対 MSSP。この分野で最もよく聞かれる質問です。 MSSPはセキュリティツールを管理し、アラートを転送しますが、対応の権限と実行は顧客が保持します。一方、マネージド・ディテクション・アンド・レスポンス(MDR)プロバイダーは、合意された範囲内で、顧客に代わって対応措置(ホストの隔離、アカウントの無効化、接続の遮断など)を実行します。MSSPは、ツールの運用を外部委託したいが、自社で対応能力を持つ組織に適しています。MDRは、特に夜間や週末の対応など、社内で対応要員を確保できない組織に適しています。

SOCaaS/vSOCオプション。小規模なセキュリティチームが普及するにつれ完全に外部委託される仮想SOCサービス、ニッチな存在から主流へと移行しました。これは、専任のSOCプラットフォームを構築するためのコストや時間をかけずに24時間365日の監視を必要とする、セキュリティ担当の常勤従業員が5名未満の組織にとって、まさに最適な選択肢です。その代償として、状況把握の深さには限界があります。vSOCプロバイダーは多数のテナントを対象に大規模に運用されているため、社内チームが持つ組織的な知見には及ばないからです。

2026年の市場環境。資金の流れからは有益な情報が読み取れる。SecurityWeekの「エージェント型SOC」カテゴリーに関する報道によると、2026年に2回連続で1億ドル規模の資金調達ラウンドが行われたことで、AIネイティブおよびエージェント型SOCプラットフォームへの総投資額は2億4500万ドルを超えた。 同記事では、ティア1 SOCアナリストの役割が「2026年に終焉を迎える」と記述されている。これは、ティア1のアラートの90%以上をAIが処理し、人間はティア2およびティア3の調査業務に集中することを意味する。MSSPの顧客は現在、ツールの数ではなく対応時間を基準にプロバイダーを評価しており、この指標は社内チームの構成にも変革をもたらしている。

モニタリングの有効性の測定と最新のアプローチ

効果的なセキュリティ監視は、活動量ではなく、成果によって評価されます。重要な成果指標は以下の5つです:

  • MTTD(検知までの平均時間)。システムが侵害された後、監視システムが実際の脅威をどのくらいの速さで検知するか。業界の基準値は改善傾向にあるものの、多くの組織では依然として数ヶ月単位で測定されている。
  • MTTR(平均対応時間)。確認された脅威がどれほど迅速に封じ込められるかを示す指標です。優れたプログラムではMTTRを「時間」単位で測定しますが、不十分なプログラムでは「日」単位で測定します。
  • 滞在期間。最初の侵害から検知されるまでの、攻撃者の総アクセス期間。ポネモン研究所の「データ侵害のコスト」調査によると、2025年の業界平均は241日であり、これは過去9年間で最も短い数値ではあるものの、依然として攻撃者が8か月間アクセスし続けていたことを意味する。
  • MITRE ATT&CK 。監視スタック全体で、少なくとも1つの検知ルールが設定されている手法の割合。CardinalOpsのSIEMのみのベースラインは21%ですが、SIEM、EDR、NDR、ITDRを組み合わせることで、通常、カバレッジは70%を大きく上回ります。
  • 精度と再現率。重要なのはアラートの数ではなく、検知の質です精度(真陽性/全陽性)は、ノイズの多いアラートストリームに過度に振り回されることを防ぎ、再現率(真陽性/実際の陽性)は、実際の攻撃が確実に捕捉されていることを確認します。

4つの最新のアプローチが、プログラムの構築方法を一新しつつあります。「SOCアナリスト」とは一線を画す専門分野として「検出エンジニアリング」が登場し、アラート疲労を人員不足の問題ではなく、コンテンツやカバレッジの問題として再定義しています。AIを活用したトリアージと調査により、AIを駆使する攻撃者とのスピード格差は縮小しつつありますが、一方でAIセキュリティは新たなアラートタイプ(モデルの異常、データポイズニング、シャドウAIの使用など)を生み出しており、監視プログラムはこれらを吸収しなければなりません。シグネチャ照合に代わる行動分析は、IOC(侵害の指標)のみによる照合ではなく、攻撃者の行動を短期間で検知することに重点を置いており、Verizon DBIRの侵害パターンデータがこの転換を裏付けています。クロスドメイン相関分析は、ネットワーク、ID、クラウド、エンドポイントのシグナルを統合し、単一の攻撃シナリオとして結びつけます。これは、Omdiaの2026年NDR市場レポートが「プラットフォーム統合」の理論として指摘しているのと同じパターンです。

Vectra AIがセキュリティ監視をどのように捉えているか

Vectra AIは、セキュリティ監視を「ログの問題」ではなく「シグナルの問題」として捉えています。「侵害済みと仮定する」という哲学は、巧妙な攻撃者は必ず侵入してくるという前提に基づいています。したがって、最も価値のある監視とは、侵入後の攻撃者の行動、すなわち横方向の移動、権限の昇格、IDの異常な動作、コマンド&コントロール活動、およびデータの持ち出しに焦点を当てるものです。Attack Signal Intelligence 」は、AI駆動型の行動分析を、ネットワーク、ID、クラウド、SaaSといった現代の攻撃対象領域全体における攻撃者の行動にAttack Signal Intelligence 、エンドポイントやログ中心の監視では見逃されてしまう攻撃を検知します。 目標は、選別すべきアラートの数を増やすことではなく、キルチェーンを追跡できる、より少数の高精度なアラートを実現することです。セキュリティチームの人員が限られている組織にとって、これは監視を「ノイズを発生させる問題」から、測定可能なサイバーレジリエンス能力へと転換することを意味します。その評価基準は、取り込まれたログの数ではなく、どれだけ多くの実際の攻撃を早期に検知できたかによって決まります。

今後の動向と新たな考察

サイバーセキュリティの情勢は、多くの監視プログラムが対応を再構築できる速度を上回る速さで変化しています。今後12~24カ月の間に、5つのトレンドが企業の監視手法、そしてその予算に関する議論に大きな変化をもたらすでしょう。

ティア1アラートのトリアージ業務の変容。 SecurityWeekによるエージェント型SOCカテゴリーの分析によると、導入が最も進んだ環境では、AIネイティブかつエージェント型のSOCプラットフォームがティア1アラートの90%以上を処理するようになっているこれはSOCが消滅することを意味するのではなく、役割の構成が変化することを示している。ティア2およびティア3の調査、検知エンジニアリング、脅威ハンティングが、人間による業務となる。 購入者は、2026年度から2027年度のサイクルにおいて、契約書や職務記述書にこの変化が反映されることを想定すべきである。

検出エンジニアリング」を独立した予算項目として位置づける動き。これまでSIEMの運用に伴う副次的な成果として検出コンテンツを扱っていた組織が、検出エンジニアリングを専門とする役職を新設したり、サービス範囲に検出コンテンツの管理を含めるMDRプロバイダーと提携したりするようになっている。この変化は、10年前にDevOpsが「インフラストラクチャ・アズ・コード」を体系化した動きを彷彿とさせる。

「アイデンティティファースト」の監視は、最も費用対効果の高い投資となります。攻撃の80%マルウェア、侵入の約30%はアイデンティティを悪用したものであるため、予算に1ドル余剰がある場合、エンドポイントの防御範囲を拡大するのではなく、ITDR(侵入検知・対応)に投資することで、最大の防御効果を得られる可能性が最も高くなります。2026年のADT(高度な持続的脅威)やScattered Spider 動向は、この主張を実証的に裏付けています。

規制の厳格化が進んでいる。 NIS2第23条に定められた24時間事前通報ルールは、2026年にEU加盟国全体で本格的に施行される予定であり、米国連邦政府の対応策である「FedRAMP ConMon Playbook v1.0」も、クラウドサービスプロバイダーに対する基準を引き上げている。これらはいずれも、監視に関するSLAの要件を「妥当な」レベルから「監査可能な」レベルへと引き上げている。

単一ツールへの集中化ではなく、クロスドメインの統合。購入者は単一のツールカテゴリに統合しようとしているのではなく、カテゴリを横断して連携するプラットフォームへと統合を進めている。2026年のXDRおよびSOCプラットフォームに関する議論の焦点は、センサー数の削減ではなく、証拠情報の統合とアナリストの体験にある。

準備のためのプレイブックは、決して特別なものではありません。現在のセンサーの配置状況に対して、7つのドメインを洗い出してください。ATT&CKのカバレッジ評価は、理想論ではなく、現実的な視点で実施してください。導入モデルを、3か月後ではなく、18か月後にどうあるべきかを決定してください。そして、エンジニアリングチームがテストスイートに投資するように、検知コンテンツを継続的に維持管理される資産として投資してください。

結論

セキュリティ監視は、その他のあらゆるセキュリティ投資の効果を明確に示す包括的な分野です。ネットワーク、エンドポイント、クラウド、ID、SaaS、アプリケーション、ログという7つの領域全体にわたる継続的な可視性がなければ、検知、対応、コンプライアンスへの投資は、目隠しをしたまま進めるようなものです。2025年の基準は明確です。侵害によるコストが減少しているのは、優れたプログラムによる検知が迅速化しているからに過ぎず、上位25%と平均的なパフォーマンスとの格差は拡大しています。

SIEMだけでMITRE ATT&CK 21%を検知していること、平均的なSOCでは1日あたり11,000件のアラートが発生していること、業界の基準として241日という潜伏期間が挙げられていること――こうした率直なカバレッジデータは、決して絶望すべき理由にはなりません。 これはロードマップである。このギャップを埋めるには、3つの取り組みが必要だ。1つや2つのドメインに依存するのではなく、7つのドメインすべてに監視機能を導入すること、検知コンテンツを1回限りの導入ではなく継続的に維持される資産として扱うこと、そしてチームの対応能力に照らして、正直に配信モデルを選択することである。

今後の予算配分を検討しているセキュリティ責任者にとって、2026年に最も費用対効果の高い投資対象は、一般的に「アイデンティティファースト型モニタリング(ITDR)」、ネットワークおよびクラウドにおける行動分析、そしてアラートの量を攻撃の経緯へと変換するAIを活用したトリアージです。上記の関連トピックページをご覧いただき、各分野についてさらに詳しくご確認ください。また、コンプライアンス対応表や提供モデルマトリックスを、こうした意思決定に必要な社内議論の出発点としてご活用ください。

よくある質問 (FAQ)

SIEMはEDRやNDRとどう違うのですか?

MDRとMSSPの違いは何ですか?

データ侵害検知するのにどれくらい時間がかかりますか?

セキュリティ監視とオブザーバビリティの違いは何ですか?

継続的なモニタリングは、コンプライアンス目標の達成にどのように寄与するのでしょうか?

セキュリティ監視におけるMTTDとMTTRとは何ですか?

効果的な監視によってランサムウェアのリスクを低減できるでしょうか?