セキュリティモニタリングとは、ネットワーク、エンドポイント、クラウドワークロード、ID、SaaSアプリケーション、ログなど、企業の攻撃対象領域全体からセキュリティ関連データを継続的に収集・分析し、対応を行うことで、脅威が重大な被害をもたらす前に検知する取り組みです。本ガイドにおける「セキュリティモニタリング」とは、企業のサイバーセキュリティ分野のみを指し、一般家庭向けの防犯システムや物理的な警備サービスは含みません。検索エンジン上では両業界でこの用語が使用されるため検索結果が重複することがありますが、その実務内容は無関係です。 企業のサイバーセキュリティ監視プログラムの評価(監視対象の選定、コンプライアンス要件、有効性の測定方法、自社開発か購入かの判断など)を検討している場合、本記事は包括的な参考資料となります。ここでは、7つの監視領域(ネットワーク、エンドポイント、クラウド、ID、SaaS、アプリケーション、ログ)を MITRE ATT&CK のカバレッジベンチマーク、最新の侵害経済学、主要なコンプライアンスフレームワーク、そして社内運用と外部委託の選択基準と結びつけて解説します。
セキュリティ監視とは、企業の攻撃対象領域全体(ネットワーク、エンドポイント、クラウドワークロード、ID、SaaSアプリケーション、ログなど)からセキュリティ関連データを収集・分析し、それに基づいて対応を行うという継続的なサイバーセキュリティ活動であり、攻撃者の活動を重大な被害につながる前に検知することを目的としています。これは、SOC運用チームに可視性を提供し、TDIRワークフローを推進し、監査人が求める証拠を生成する、包括的な分野です。
用語に関する補足。「セキュリティ監視」という表現、およびその派生形である「サイバーセキュリティ監視」は、家庭用警報装置、監視カメラ、24時間365日体制の警報受信センターといった民生向け業界を指す場合もあります。Googleの検索結果ページ(SERP)では、これらの意味が混在していることがよくあります。本記事では、企業向けサイバーセキュリティ分野のみを取り上げます。民生向けのホームセキュリティ、警報対応サービス、または物理的なセキュリティ監視をお探しの場合は、本記事の内容は該当しません。
セキュリティ監視は、その構成要素であるツールやワークフローと混同されがちです。以下の5つの点を区別しておくと役立ちます:
「サイバーセキュリティ監視」および「継続的セキュリティ監視」(NIST SP 800-137 で用いられている表現)という呼称は、いずれも同じ実践手法を指しています。英国国立サイバーセキュリティセンター(NCSC)は、その規範的な要件を「NCSC サイバーアセスメント・フレームワークの原則 C1」として定めており、これは「適切な」セキュリティ監視のあり方について、政府が発表した定義の中で最も簡潔なものです。
本記事の残りの部分における実用的な定義として、セキュリティ監視とは、企業が自社の環境が攻撃を受けているかどうかを把握するために継続的に行う活動であり、さらに最近では、その情報を基にどれだけ迅速に対応できるかも重要視されるようになっている。「どのように」行うかという点において、7つの領域、監視範囲のギャップ、そして提供方法の決定といった要素がすべて関わってくる。
2026年において、セキュリティ監視が単なる形式的な作業ではなく、業務上の必須要件となる理由は、主に3つの要因にある。それは、侵害による経済的損失、攻撃者の行動の迅速化、そして「アイデンティティファースト」かつ「マルチドメイン」な攻撃キャンペーンへの移行である。
データ侵害の経済的コスト。 ポネモン研究所の「2025年データ侵害コスト調査」(最新のグローバル基準)によると、データ侵害による平均コストは444万ドルとなり、前年比9%の減少となった。 この減少は、攻撃者の手口が悪化したためではなく、侵害の特定と封じ込めに要する平均時間が241日と9年ぶりの低水準を記録したためである。AIを活用した検知システムを広範に導入した組織では、平均190万ドルのコスト削減を実現し、侵害のライフサイクルを80日短縮した。これらの数字が示唆するのは、監視体制の成熟度がデータ侵害の財務的コストに明確に反映されるようになったということだ。 同調査によると、241日という期間は依然として攻撃者がシステムにアクセスし続ける期間が8ヶ月以上に相当し、この絶対的な基準値は、検知範囲の不備を如実に物語っている。
攻撃者のスピード。 MSSP Alertが報じた業界の脅威インテリジェンス調査によると、サイバー犯罪における「ブレイクアウト時間」(最初の侵害から最初の横方向の移動までの時間)は2025年に29分まで短縮され、前年比で65%のスピードアップを記録した。攻撃者が30分足らずでホスト間を移動できるようになった今、日々のログ確認や週次チューニングサイクルは「監視」ではなく、「考古学」に過ぎない。
アイデンティティを最優先としたマルチドメイン型攻撃。Unit 42の調査によると、大規模な調査対象事例の90%近くでアイデンティティの脆弱性が関与しており、攻撃の80%はマルウェア、エンドポイントへのペイロードではなくアカウントの乗っ取りを根源としています。 2024年に成功した侵害の40%は複数のドメインにまたがっており、これは単一のツールカテゴリ(エンドポイントのみ、ログのみ)に依存する検知では、攻撃対象領域の大部分を見逃してしまうことを意味します。資格情報の窃取と、それに続く行動上の兆候(異常なログイン、権限昇格、横方向の移動)こそが、現代の攻撃の大部分を占めています。
最新の動向。2026年5月現在、過去1週間の間に少なくとも2件のCVEが実際に悪用されています。CVE-2026-20182は、リモート攻撃者を認証するSD-WAN制御プレーンにおけるCVSS 10.0の脆弱性であり、現在CISAの「既知の悪用されている脆弱性カタログ」に掲載されています。 Apache HTTP/2におけるCVSS 8.8のダブルフリー脆弱性であるCVE-2026-23918は、アプリケーション層やイースト-ウエスト通信における死角が、いかに直接的な侵害につながるかを示しています。これら2つの事例は、7つのドメインすべてにわたる継続的な監視が必須である理由を如実に物語っています。
現代のセキュリティ監視は7つの領域にまたがっており、各領域には固有のテレメトリ、ツール、および可視性のギャップが存在します。いずれかの領域を単独で扱うことは、前述のような多領域にわたる侵害パターンを招くことになります。下の図は、これら7つの領域を、共通の攻撃対象領域上に重なり合うカバレッジ層として視覚化したものです。どの領域も他の領域に取って代わるものではなく、領域間のギャップこそが侵害が発生する場所なのです。
ネットワークセキュリティモニタリング(NSM)とは、イースト・ウエストおよびノース・サウス方向のトラフィックを継続的に分析し、行動上の異常を検知する手法であり、シグネチャベースのIDS/IPSを行動分析で補完する分野です。 ネットワークセキュリティモニタリングに関する専用ガイドや、ネットワーク検知・対応(NDR)における最新のカテゴリー分類を参照し、ツールの詳細についてご確認ください。前述の2026年のSD-WANコントロールプレーン悪用(CVE-2026-20182)は、イースト-ウエストおよびコントロールプレーンの可視性がなぜ重要なのかを示す典型的な事例です。Zeekのようなオープンソースプロジェクトは、依然としてNSM実務者にとって基礎的な参照資料となっています。
エンドポイントセキュリティの監視では、ワークステーションやサーバー上のプロセスの動作、ファイルの完全性、レジストリやシステムの変更、およびメモリ上の痕跡を監視します。これは、ほとんどのセキュリティプログラムの出発点であると同時に、多くのプログラムが直面する限界でもあります。 大規模なデータ侵害の約50%は、攻撃者がエンドポイントの制御を回避することで発生しています。その手法には、「リビング・オフ・ザ・ランド(LOCL)」技術やファイルレス実行、あるいは単にエンドポイントの可視性が及ばない領域へ移行してIDベースの攻撃に切り替えるといったものがあります。そのため、従来のエンドポイント保護に挙動分析を加えたエンドポイント検出・対応(EDR)は不可欠ですが、それだけでは不十分なのです。
最新のEDRは、エンドポイントのシグナルをネットワーク、アイデンティティ、クラウドのテレメトリと関連付ける「拡張型検出・対応(XDR)」へと発展しています。このカテゴリーの区別が重要なのは、XDRが追加する機能(クロスドメインの相関分析)こそが、エンドポイントのみの監視では見落とされがちな部分だからです。
クラウドセキュリティモニタリングは、クラウドのコントロールプレーン、ワークロードのテレメトリ、構成のドリフト、および一時的なワークロード(コンテナ、サーバーレス)に対する可視性を提供します。 詳細な内訳については「クラウドセキュリティモニタリング」を、ランタイム検出のカテゴリについては「クラウド検出および対応」を参照してください。コンテナおよびKubernetesのテレメトリ、ならびにAWS固有のモニタリング課題が、クラウドのカバー範囲を補完します。CSPM、CWPP、およびCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)の各カテゴリは、クラウド環境全体にわたる継続的な構成およびランタイムの可視化という単一のミッションに集約されます。
ID脅威の検知と対応 — あるいは ITDR — アイデンティティプロバイダー、ディレクトリサービス、および認証フローを監視し、認証情報の盗難、異常なログイン(不可能な移動経路、通常とは異なる地理的情報)、権限昇格(T1078, T1110)、休眠アカウントの悪用、およびIDを悪用した横方向の移動などです。監査やコンプライアンスに重点を置くIAMログ記録とは異なり、ITDRは行動分析と攻撃者を対象としています。
アイデンティティは、現代における主要な攻撃対象領域として広く認識されています。侵入攻撃の約30%はアイデンティティを標的としたものであり、ガートナーのITDR市場カテゴリーおよびこれを裏付ける業界レポートによると、クラウド侵害の80%以上がアイデンティティの設定ミスが原因となっています。 2026年のADTによる侵害事例は、その典型的な例です。ShinyHuntersのオペレーターは、ヘルプデスクのセッションを侵害するフィッシング攻撃を実行し、そのアクセス権を利用して企業のSSOプラットフォームに認証を行い、さらにSalesforceへ侵入して550万件の顧客レコードを盗み出しました(Rescanaの分析による)。マルウェア 一切マルウェア 。この侵害の連鎖は、まさにITDRが検知するために設計された行動パターンそのものであり、エンドポイントやログ監視では見逃されてしまう典型的な事例です。
SaaSセキュリティ態勢管理(SSPM)は、SaaSプラットフォーム(CRM、生産性スイート、IDプロバイダー、コードリポジトリ)において、設定ミス、異常な管理操作、OAuthの悪用、および接続アプリに関連するリスクを監視します。最近の2つのインシデントは、SSPMがなぜ重要なのかを如実に示しています。2026年のCanvas/Instructureインシデントでは、SaaS監視のカバー範囲に隙間があったため、発見されるまでに数週間にわたる潜伏期間が生じました(Penligentの分析)。 2025年のTransUnion侵害事件(Salesloft DriftのOAuthトークンをSalesforceと連携させることで実行された)は、エンドポイントの侵害ではなく、接続されたアプリの権限こそが攻撃ベクトルであったことを示しました(Strobes 2025年侵害事件総括)。OAuthトークンの監視、アプリ間権限の監査、および管理者の行動に関する行動基準は、適切な警告を発していたはずのSSPMの制御手段です。
アプリケーションセキュリティ監視は、ビルドパイプラインにおけるSASTおよびDASTの結果、実行時のIASTおよびRASP、WAFのテレメトリ、アプリケーションログなど、アプリケーションの実行時の挙動を網羅します。これは、顧客向けサービスのリモートセキュリティ監視が行われる領域であり、監視とエンジニアリングの可観測性の境界が最も曖昧になる領域でもあります。 2026年に発見されたApache HTTP/2のダブルフリーの脆弱性(CVE-2026-23918)は、この点に関する2026年の参考事例です。アプリケーション層の監視では、httpdプロセスのクラッシュ、HTTP/2ストリームエラーの急増、および異常な子プロセスの生成を検知する必要があります。これらは、ログのみやエンドポイントのみを監視するスタックでは検出できません。
ログ監視とは、スタック全体から収集したログを一元的に集約、正規化、相関分析、および保存するプロセスであり、セキュリティ監視の歴史的基盤であり、SIEMやログ監視として最もよく説明されるアーキテクチャです。SIEMは、単なる検知エンジンではなく、より広範なSecOpsプラットフォームのためのバックエンド分析レイヤーへと進化しています。 次節で取り上げるCardinalOpsの「SIEM検知範囲に関する第5回年次報告書」は、SIEM単独で検知できるものと見逃してしまうものについて、2025年の調査結果の中で最も重要な知見となっています。
セキュリティ監視は、継続的なループで実行されます。監視対象となるすべてのドメインに対して同じ8つのステップが実行されますが、入力データや分析内容はセンサーの種類によって異なります。このライフサイクルこそが、監視を単なるツールではなく、一つの体系的な手法たらしめているのです。
このループを「収集・分析」(ステップ1~3)と「意思決定・実行」(ステップ4~8)の2つのフェーズに分けて考えるのが、有用な思考モデルです。 第1フェーズはデータエンジニアリングと検知科学です。第2フェーズは人間と機械による意思決定であり、運用コストの大部分がここに集中しています。優れたプログラムは両方に均等に投資しますが、不十分なプログラムは収集に過度に投資し、選別(トリアージ)への投資が不足しています。これが、多くのSIEMデータが検知に活用されない理由です。
継続的な脅威検知――NISTが「継続的セキュリティ監視」と呼ぶ運用モードの枠組み――こそが、監視と定期的なスキャンを区別する要素です。脅威には決まったスケジュールがないため、検知もまたそうあってはなりません。脅威ハンティングは、アラートを待つのではなく、「今、攻撃者はどこに潜んでいるだろうか?」という問いを立て、同じテレメトリデータに対して能動的な仮説を検証する、補完的な手法です。検知がトリガーされると、インシデント対応という運用上の切り替えが行われ、このループが完結します。
暗号化トラフィックに関する補足。HTTPS、暗号化DNS、およびQUICベースのプロトコルにより、ディープパケットインスペクションの実用性は低下しました。現代のネットワーク検知の多くは、メタデータや行動分析に基づくアプローチへと移行しており、ペイロードそのものではなく、フローの特性、ビーコンパターン、JA3/JA4フィンガープリント、セッションレベルの異常などを分析するようになっています。 2025年5月に発行されたCISAの「SIEMおよびSOARプラットフォーム導入に関する実務者向けガイダンス」では、優先すべきログソースとして、IDプロバイダー、境界およびリモートアクセス、クラウド制御プレーン、および重要なビジネスアプリケーションが明文化されています。
セキュリティ監視に関するコンテンツの多くは、読者に「何を購入すべきか」「どのように導入すべきか」を伝えています。しかし、このセクションでは、より厳しい現実――一般的な企業の監視スタックが、MITRE ATT&CK のどれほどを実際に検知できているのか、そしてその検知の盲点がどこにあるのか――について解説します。
「79%の問題」。2025年に発表されたCardinalOpsの第5回年次報告書「SIEM検知範囲に関する調査」によると、企業のSIEMは MITRE ATT&CK の手法の平均21%しか検知できていないことが判明した。つまり、79%の手法はSIEMだけでは検知されずに見逃されているということだ。Help Net Securityによる同レポートの報道では、以下の裏付けとなる調査結果が追加されている。SIEMデータの半数以上は検知に一度も使用されていない、検知ルールが実際にトリガーされるのは20%未満、アラートのノイズの大部分を発生させているのは5%未満のルールであり、検知のギャップの70%以上は、SIEMが既に取り込んでいる既存データで埋めることができる。このことから、カバレッジのギャップは予算の問題ではなく、検知エンジニアリングの問題であることが示唆される。
各ツールカテゴリが実際にカバーする範囲について。ATT&CKの全範囲を単一のセンサーやプラットフォームで網羅できるものはありません。以下のマトリックスは、各ツールカテゴリがどの領域に貢献しているかを示しており、各セルには「Strong(十分にカバー)」、「Partial(カバー状況がまちまち)」、「Weak(可視性が限定的)」、または「None(設計上対象外)」と表示されています。これはカバー範囲を示すヒートマップであり、ベンダーのランキングではありません。実際の結果は、導入の成熟度によって異なります。
表1.MITRE ATT&CK 範囲
カバレッジの強度は目安であり、一般的な導入パターンにおける各カテゴリの機能に基づいて算出されています。EDR、NDR、ITDR、およびUEBAレイヤーを組み合わせることで、通常、カバレッジはSIEMのみの場合のベースラインである21%を大幅に上回ります。
アラート疲労は、本質的には検知範囲の問題である。 The Hacker Newsが「最もリスクの高いアラートタイプ」として報じた2024年SANS SOC調査によると、平均的なSOCでは1日あたり約11,000件のアラートを処理しているが、そのうち調査に値すると判断されるのはわずか19%に過ぎない。 同記事で引用されたアグリゲーターのデータによると、アラートの63%は未対応のまま放置され、46%は誤検知であり、SOCアナリストの63%から76%がバーンアウトの症状を報告している。The Hacker Newsのシリーズ記事では、慢性的に調査が不十分な5つのアラートカテゴリとして、WAF、DLP、OTおよびIoT、ダークウェブインテリジェンス、サプライチェーンを挙げている。
だからこそ、アラート疲労はアナリストを増員することで解決できる人員配置の問題ではない。これは、監視範囲とアラートの内容の課題である。解決策はアラートの音量を上げるのではなく、関連する挙動を攻撃のシナリオとして結びつける、より少数の高精度なアラートである。 このギャップを埋めるには、3つの分野が必要です。すなわち、明確なプラクティスとしての検出エンジニアリング(検出コンテンツの作成と継続的なチューニング)、シグナルを見逃すことなくノイズを抑制するAIを活用したトリアージ、そしてより広範なセンサーカバレッジ(エンドポイントやログだけでなく、ネットワーク+ID+クラウド+SaaS)です。横方向の移動の検出は、これまでほとんどのカバレッジマトリックスにおいて最も脆弱な部分でしたが、現代のNDR(ネットワーク検知対応)およびITDR(IT検知対応)のカテゴリーが、この分野で最も大きな進歩を遂げています。
継続的な監視は、ほぼすべての現代的なコンプライアンス体制における証拠の基盤となります。各フレームワークの表現は異なりますが、その期待される要件は共通しています。すなわち、セキュリティに関連するデータの継続的な収集、確認、および保存であり、これには文書化された手順と改ざん防止機能を備えた保存手段が求められます。コンプライアンスおよびセキュリティのフレームワークに関するトピックページでは、規制の全体像を詳細に解説しています。本セクションは、主要な規制体制における監視義務をまとめた、1ページにまとめた対照表です。
表2. コンプライアンス対応表 — 主要な規制枠組みにおける管理措置の照合
すべての引用は、権威あるフレームワーク文書を対象としています。第32条に関するGDPRコンプライアンスの詳細な解説、およびATT&CKのカバレッジビューを補完するMITRE D3FEND マッピングを参照してください。
NIS2の24時間対応。 NIS2第23条の報告要件では、24時間以内の早期警告、72時間以内のインシデント通知、および1ヶ月以内の最終報告という3段階の連鎖が義務付けられています。EUの規制対象事業者にとって、この24時間の期限はSLA(サービスレベル契約)に直接的な影響を及ぼします。つまり、検知からCSIRTへの通知に至るまでの体制が、24時間体制で待機していなければならないのです。 翌営業日のトリアージを想定して設計された監視プログラムでは、24時間ルールを満たすことはできません。
米国連邦政府および契約業者向け基準。2025年11月17日に公開された『FedRAMP継続的モニタリング・プレイブックv1.0』は、認可されたクラウドサービス提供に対するConMonの要件を体系化したものである。2025年5月のCISA SIEM/SOAR実務者向けガイダンスと併せて、連邦政府およびFedRAMP規制対象プログラムの運用上の参照基準を形成する。NIST CSF 2.0 DE.CMは、公共部門および民間部門双方にとって、引き続き包括的なフレームワークの参照基準である。 MITRE ATT&CK フレームワークは、最新の監査プログラムのほとんどで参照される、事実上の検知範囲のベンチマークとなっています。
5つの提供モデルは、中堅企業や大企業の購入者がサイバーセキュリティ監視サービスに求める要件の大部分を網羅しています。決定の要因が予算のみに帰着することはほとんどなく、真の課題は、攻撃が確認された際に誰が対応措置を主導するかという点にあります。以下のマトリックスは、それぞれのモデルのメリットとデメリットをまとめたものです。
表3. セキュリティ監視の提供モデル決定マトリックス
価格帯は2026年の業界標準の目安であり、環境の規模、テレメトリの量、およびSLAによって異なります。価値実現までの期間は、中程度の複雑さを持つ環境における現実的な導入プロセスを反映したものです。
MDR 対 MSSP。この分野で最もよく聞かれる質問です。 MSSPはセキュリティツールを管理し、アラートを転送しますが、対応の権限と実行は顧客が保持します。一方、マネージド・ディテクション・アンド・レスポンス(MDR)プロバイダーは、合意された範囲内で、顧客に代わって対応措置(ホストの隔離、アカウントの無効化、接続の遮断など)を実行します。MSSPは、ツールの運用を外部委託したいが、自社で対応能力を持つ組織に適しています。MDRは、特に夜間や週末の対応など、社内で対応要員を確保できない組織に適しています。
SOCaaS/vSOCオプション。小規模なセキュリティチームが普及するにつれ、完全に外部委託される仮想SOCサービスは、ニッチな存在から主流へと移行しました。これは、専任のSOCプラットフォームを構築するためのコストや時間をかけずに24時間365日の監視を必要とする、セキュリティ担当の常勤従業員が5名未満の組織にとって、まさに最適な選択肢です。その代償として、状況把握の深さには限界があります。vSOCプロバイダーは多数のテナントを対象に大規模に運用されているため、社内チームが持つ組織的な知見には及ばないからです。
2026年の市場環境。資金の流れからは有益な情報が読み取れる。SecurityWeekの「エージェント型SOC」カテゴリーに関する報道によると、2026年に2回連続で1億ドル規模の資金調達ラウンドが行われたことで、AIネイティブおよびエージェント型SOCプラットフォームへの総投資額は2億4500万ドルを超えた。 同記事では、ティア1 SOCアナリストの役割が「2026年に終焉を迎える」と記述されている。これは、ティア1のアラートの90%以上をAIが処理し、人間はティア2およびティア3の調査業務に集中することを意味する。MSSPの顧客は現在、ツールの数ではなく対応時間を基準にプロバイダーを評価しており、この指標は社内チームの構成にも変革をもたらしている。
効果的なセキュリティ監視は、活動量ではなく、成果によって評価されます。重要な成果指標は以下の5つです:
4つの最新のアプローチが、プログラムの構築方法を一新しつつあります。「SOCアナリスト」とは一線を画す専門分野として「検出エンジニアリング」が登場し、アラート疲労を人員不足の問題ではなく、コンテンツやカバレッジの問題として再定義しています。AIを活用したトリアージと調査により、AIを駆使する攻撃者とのスピード格差は縮小しつつありますが、一方でAIセキュリティは新たなアラートタイプ(モデルの異常、データポイズニング、シャドウAIの使用など)を生み出しており、監視プログラムはこれらを吸収しなければなりません。シグネチャ照合に代わる行動分析は、IOC(侵害の指標)のみによる照合ではなく、攻撃者の行動を短期間で検知することに重点を置いており、Verizon DBIRの侵害パターンデータがこの転換を裏付けています。クロスドメイン相関分析は、ネットワーク、ID、クラウド、エンドポイントのシグナルを統合し、単一の攻撃シナリオとして結びつけます。これは、Omdiaの2026年NDR市場レポートが「プラットフォーム統合」の理論として指摘しているのと同じパターンです。
Vectra AIは、セキュリティ監視を「ログの問題」ではなく「シグナルの問題」として捉えています。「侵害済みと仮定する」という哲学は、巧妙な攻撃者は必ず侵入してくるという前提に基づいています。したがって、最も価値のある監視とは、侵入後の攻撃者の行動、すなわち横方向の移動、権限の昇格、IDの異常な動作、コマンド&コントロール活動、およびデータの持ち出しに焦点を当てるものです。Attack Signal Intelligence 」は、AI駆動型の行動分析を、ネットワーク、ID、クラウド、SaaSといった現代の攻撃対象領域全体における攻撃者の行動にAttack Signal Intelligence 、エンドポイントやログ中心の監視では見逃されてしまう攻撃を検知します。 目標は、選別すべきアラートの数を増やすことではなく、キルチェーンを追跡できる、より少数の高精度なアラートを実現することです。セキュリティチームの人員が限られている組織にとって、これは監視を「ノイズを発生させる問題」から、測定可能なサイバーレジリエンス能力へと転換することを意味します。その評価基準は、取り込まれたログの数ではなく、どれだけ多くの実際の攻撃を早期に検知できたかによって決まります。
サイバーセキュリティの情勢は、多くの監視プログラムが対応を再構築できる速度を上回る速さで変化しています。今後12~24カ月の間に、5つのトレンドが企業の監視手法、そしてその予算に関する議論に大きな変化をもたらすでしょう。
ティア1アラートのトリアージ業務の変容。 SecurityWeekによるエージェント型SOCカテゴリーの分析によると、導入が最も進んだ環境では、AIネイティブかつエージェント型のSOCプラットフォームがティア1アラートの90%以上を処理するようになっている。これはSOCが消滅することを意味するのではなく、役割の構成が変化することを示している。ティア2およびティア3の調査、検知エンジニアリング、脅威ハンティングが、人間による業務となる。 購入者は、2026年度から2027年度のサイクルにおいて、契約書や職務記述書にこの変化が反映されることを想定すべきである。
「検出エンジニアリング」を独立した予算項目として位置づける動き。これまでSIEMの運用に伴う副次的な成果として検出コンテンツを扱っていた組織が、検出エンジニアリングを専門とする役職を新設したり、サービス範囲に検出コンテンツの管理を含めるMDRプロバイダーと提携したりするようになっている。この変化は、10年前にDevOpsが「インフラストラクチャ・アズ・コード」を体系化した動きを彷彿とさせる。
「アイデンティティファースト」の監視は、最も費用対効果の高い投資となります。攻撃の80%マルウェア、侵入の約30%はアイデンティティを悪用したものであるため、予算に1ドル余剰がある場合、エンドポイントの防御範囲を拡大するのではなく、ITDR(侵入検知・対応)に投資することで、最大の防御効果を得られる可能性が最も高くなります。2026年のADT(高度な持続的脅威)やScattered Spider 動向は、この主張を実証的に裏付けています。
規制の厳格化が進んでいる。 NIS2第23条に定められた24時間事前通報ルールは、2026年にEU加盟国全体で本格的に施行される予定であり、米国連邦政府の対応策である「FedRAMP ConMon Playbook v1.0」も、クラウドサービスプロバイダーに対する基準を引き上げている。これらはいずれも、監視に関するSLAの要件を「妥当な」レベルから「監査可能な」レベルへと引き上げている。
単一ツールへの集中化ではなく、クロスドメインの統合。購入者は単一のツールカテゴリに統合しようとしているのではなく、カテゴリを横断して連携するプラットフォームへと統合を進めている。2026年のXDRおよびSOCプラットフォームに関する議論の焦点は、センサー数の削減ではなく、証拠情報の統合とアナリストの体験にある。
準備のためのプレイブックは、決して特別なものではありません。現在のセンサーの配置状況に対して、7つのドメインを洗い出してください。ATT&CKのカバレッジ評価は、理想論ではなく、現実的な視点で実施してください。導入モデルを、3か月後ではなく、18か月後にどうあるべきかを決定してください。そして、エンジニアリングチームがテストスイートに投資するように、検知コンテンツを継続的に維持管理される資産として投資してください。
セキュリティ監視は、その他のあらゆるセキュリティ投資の効果を明確に示す包括的な分野です。ネットワーク、エンドポイント、クラウド、ID、SaaS、アプリケーション、ログという7つの領域全体にわたる継続的な可視性がなければ、検知、対応、コンプライアンスへの投資は、目隠しをしたまま進めるようなものです。2025年の基準は明確です。侵害によるコストが減少しているのは、優れたプログラムによる検知が迅速化しているからに過ぎず、上位25%と平均的なパフォーマンスとの格差は拡大しています。
SIEMだけでMITRE ATT&CK 21%を検知していること、平均的なSOCでは1日あたり11,000件のアラートが発生していること、業界の基準として241日という潜伏期間が挙げられていること――こうした率直なカバレッジデータは、決して絶望すべき理由にはなりません。 これはロードマップである。このギャップを埋めるには、3つの取り組みが必要だ。1つや2つのドメインに依存するのではなく、7つのドメインすべてに監視機能を導入すること、検知コンテンツを1回限りの導入ではなく継続的に維持される資産として扱うこと、そしてチームの対応能力に照らして、正直に配信モデルを選択することである。
今後の予算配分を検討しているセキュリティ責任者にとって、2026年に最も費用対効果の高い投資対象は、一般的に「アイデンティティファースト型モニタリング(ITDR)」、ネットワークおよびクラウドにおける行動分析、そしてアラートの量を攻撃の経緯へと変換するAIを活用したトリアージです。上記の関連トピックページをご覧いただき、各分野についてさらに詳しくご確認ください。また、コンプライアンス対応表や提供モデルマトリックスを、こうした意思決定に必要な社内議論の出発点としてご活用ください。
SIEMは、ログの集約および相関分析を行うプラットフォームであり、多数のテレメトリソースにわたる分析を一元化し、コンプライアンスの証拠確保やルールベースの検知に最適化されています。EDRはエンドポイントに特化したセンサーであり、ワークステーションやサーバーからプロセス、ファイル、レジストリ、メモリに関するテレメトリデータを収集し、ホストレベルで行動検知を行います。NDRはネットワークトラフィック(特にイースト・ウエスト方向の横方向の移動)を分析して行動上の異常を検知するもので、多くの場合、ペイロードではなくメタデータに対してAIを活用した分析を行います。
これら3つは互いに補完し合うものであり、代替し合うものではありません。最新のSOCのほとんどは、これら3つすべて(「SOC可視化の三本柱」とも呼ばれる)を運用しており、SIEMを分析およびデータ保持のバックエンドとして、EDRとNDRを主要なセンサーとして活用しています。ID管理をカバーするためにITDRを追加することで、ほとんどのスタックに残る最大のギャップを埋めることができます。CardinalOpsの調査によると、MITRE ATT&CK わずか21%しか検出できないことが判明しており、これがマルチセンサーアプローチを採用すべき最も有力な根拠となっています。
MSSP(マネージド・セキュリティ・サービス・プロバイダー)は、顧客に代わってセキュリティツールを管理・監視し、通常はアラートを顧客側のアナリストに転送して、調査や対応を行わせます。 ツールの運用はMSSPが担当し、対応は顧客が担当します。MDR(マネージド・ディテクション・アンド・レスポンス)プロバイダーは、合意された範囲内で顧客に代わって対応措置を講じます。MDRプロバイダーは、事前に合意されたプレイブックに従って、ホストの隔離、アカウントの無効化、接続の遮断、または確認されたインシデントの上級部署へのエスカレーションを行うことができます。
選択の決め手となるのは、通常、顧客側に24時間体制での対応能力があるかどうかです。そのような能力を持つ組織は、封じ込め措置の決定権を自社で保持できるため、MSSPを好む傾向にあります。 MDRを好まない組織は、午前2時のアラートに対して社内アナリストが対応するのを待つことは、翌営業日まで待つのと変わらないと考えている。ハイブリッドな形態がますます一般的になっており、顧客が戦略的な主導権を保持し、プロバイダーがティア1~2のトリアージと定義された対応範囲を担当する形をとっている。
ポネモン研究所の「2025年データ侵害コスト調査」によると、2025年の世界平均では、最初の侵害から検知・封じ込めまでの期間は241日となっており、これは過去9年間で最も短い数値である。この数値は、「検知までの時間」(侵害が発見されるまでの期間)と「封じ込めまでの時間」(攻撃者のアクティブなアクセスが遮断されるまでの期間)の2つの段階に分けられる。 同調査によると、AIを活用した検知システムを広く導入した組織は、平均で190万ドルのコスト削減を実現し、侵害ライフサイクルを80日短縮できたことが判明した。
最も優れたプログラムは、数ヶ月ではなく数時間以内に検知します。SANSの検知時間に関するベンチマークによると、上位25%の組織は60分以内に、半数以上は5時間以内に検知しています。上位25%と業界平均との差は、主にカバレッジの広さ(マルチドメインのセンサー配置)とトリアージの成熟度(アナリストをノイズで埋もれさせることなく、有用なシグナルを抽出する高精度なアラート)によるものです。
オブザーバビリティとは、ログ、メトリクス、トレースを活用してシステムの挙動を把握する、より広範なエンジニアリング分野のことです。多くの場合、パフォーマンス、信頼性、デバッグを目的としています。これは、SRE(サイト信頼性エンジニア)やプラットフォームチームが「このシステムは正常か?」という問いに答えるために用いる手法です。一方、セキュリティモニタリングは、セキュリティに特化したその一部であり、「このシステム内で攻撃者が活動しているか?」という、より限定的な問いに焦点を当てています。
両者はデータソースにおいて共通点があり(どちらもアプリケーションログ、インフラストラクチャのメトリクス、ネットワークトレースを活用する)、一方で分析手法や成果においては異なる。オブザーバビリティは、パフォーマンスの低下や予期せぬ動作といったパターンを、悪意のない観点から探るものである。一方、セキュリティ監視は、攻撃者の行動パターンを探り、脅威に特化した分析や行動モデルを適用し、調査および対応ワークフローに活用されるアラートを生成する。オブザーバビリティのデータはセキュリティ監視に活用され、セキュリティ監視はその上に脅威検知のレイヤーを追加する。
継続的な監視は、現代のほぼすべてのコンプライアンス体制で要求される証拠となる記録を生成します。NIST CSF 2.0 ではこれを「検出」機能そのものとして扱っており、NIST SP 800-137ではプログラムの構造(ISCM 戦略およびプロセス)が定義されています。PCI DSS 要件 10 では、毎日のログレビューと一元化されたログ管理が義務付けられています。HIPAA §164.312(b) では、監査管理が要求されています。 SOC 2 CC7は、文書化された検知およびインシデント対応能力を要求しています。NIS2第23条は、24時間/72時間/1ヶ月の報告段階を課しており、24時間体制の検知なしではこれを満たすことは不可能です。GDPR第32条は、継続的な技術的および組織的措置を求めており、監査ログと改ざん防止機能を備えた保存が標準的な証拠として求められています。
実務上の意味としては、ログの保存記録、アラートの確認、インシデントチケット、通知ログといった監視の成果物が、監査人が期待する証拠の証跡となるということです。コンプライアンスを単なる文書化作業として扱うプログラムでは、概して作業の重複が生じがちです。一方、コンプライアンスの証拠(一貫したログの保存、改ざん防止対策が施された保存方法、文書化された確認サイクルなど)を最初から組み込んで監視体制を設計するプログラムでは、運用機能と監査機能を一体化させることができます。
MTTD(平均検知時間)とは、システムが最初に侵害されてから、その脅威を検知する最初のアラートが発生するまでの平均時間を指します。MTTR(平均対応時間)とは、脅威の検知が確認されてから封じ込め(攻撃者のアクティブなアクセスが遮断される時点)に至るまでの平均時間を指します。これらはいずれも、監視の有効性を示す先行指標となります。
「ドウェルタイム」はこれと密接に関連していますが、若干異なります。これは、攻撃者が最初にシステムへの侵入に成功してから検知されるまでの総時間を測定するものです。2025年の業界平均値は241日です。 ドウェルタイムが1日延びるごとに、データの流出、ラテラルムーブメント、認証情報の侵害、そして最終的な修復コストを通じて、ビジネスへの影響は増大します。MTTD(検知までの時間)とMTTR(修復までの時間)は、侵害によるコストに直結します。同じポネモン研究所の分析によると、AIを積極的に導入している企業では、侵害ライフサイクルを190万ドル削減し、80日短縮できたことが判明しています。これらの指標が重要なのは、セキュリティチームが月ごとに実際に改善できる、侵害による財務的影響を示す最も身近な先行指標だからです。
はい、事実上そうです。ランサムウェアの攻撃の多くは、数日あるいは数週間にわたる偵察、認証情報の窃取、横方向の移動、および攻撃準備を経て実行されます。エンドポイントのシグネチャだけでなく、ネットワークやアイデンティティの全領域にわたる行動監視を行うことで、防御側は暗号化が実行される前に攻撃者を封じ込めるために必要な早期警告信号を得ることができます。暗号化前の活動に最も関連性の高いMITREテクニックIDは(T1078 有効なアカウント、 T1110 総当たり法、 T1486 (効果を強調するために暗号化されたデータ)は、暗号化そのものよりもはるかに早い段階でキルチェーンにおいて検知可能である。
2026年には、ヘルプデスクへのフィッシング攻撃、シングルサインオン(SSO)の侵害、SaaSデータの侵害へと展開する「IDファースト型」攻撃が急増すると予想されるため、ITDRはランサムウェア対策において特に費用対効果の高い投資となります。 SSOを掌握した攻撃者は、マルウェア必要としません。エンドポイントのシグネチャやDLPのトリガーだけでは、彼らを捕捉することはできません。IDフローの行動監視(不自然なログイン経路、異常な管理者操作、不審なデータアクセスパターン)こそが、そのギャップを埋める鍵となります。