Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
脅威の検知、調査、対応(TDIR)とは、検知、調査、対応をインテリジェンス主導の単一ワークフローに統合したSOC運用モデルです。これは、SIEM、SOAR、EDR、NDR、ITDR、XDRといった既存のツールを横断するプロセスとして、あるいはそれらのシグナルを取り込み相関分析を行う統合プラットフォームとして提供されます。TDIRは手法そのものであり、プラットフォームはその実現手段の一つに過ぎません。その緊急性は無視できないものです。Mandiantの「M-Trends 2025」レポートによると、2025年のグローバルな平均潜伏時間は11日に達すると予測されています。一方、Torqを通じて公開されたSANSの2025年SOC調査では、SOCチームの76%が、最大の運用上の課題としてアラート疲労を挙げています。本ガイドでは、TDIRとは何か、関連する略語(TDR、ITDR、MDR、 XDR、EDR、NDR)との違い、その4つのフェーズがNIST CSF 2.MITRE D3FEND .3.MITRE D3FEND とどのように対応しているか、対応フェーズに組み込まれたDORA、NIS2、SECのタイムライン、そして2026年における「理想的な状態」について解説します。
脅威の検知、調査、対応(TDIR)とは、検知、調査、対応という3つのフェーズを、インテリジェンス主導の単一のワークフローに統合したSOC運用モデルであり、多くの場合、SIEM、SOAR、EDR、NDR、ITDR、XDRからのシグナルを取り込む統合プラットフォームとして提供されます。TDIRは手法そのものであり、統合型TDIRプラットフォームは、数ある導入モデルの一つに過ぎません。
この定義が重要なのは、この用語がベンダーによって曖昧に扱われているためです。 ベンダーによっては、TDIRを製品カテゴリーとして説明するところもあれば、既存のツールを横断して動作するワークフローとして説明するところもあります。どちらの見方も妥当です。購入者はTDIRをワークフローとして捉え、それをサポートするツールを選択すべきです。プラットフォームを提供するベンダーは、当然ながら同じワークフローをカテゴリーとしてパッケージ化します。実務上の教訓として、TDIRが自社のSOC(セキュリティオペレーションセンター)においてどのような役割を果たすべきかを理解せずに「TDIRプラットフォーム」を購入してはなりません。そうしないと、すでに費用を支払って導入済みの既存の機能を置き換えてしまうリスクがあります。
TDIRは、より広範なインシデント対応ライフサイクルの中に位置づけられ、現代のSOC運用チームが日々実行するワークフローの一つです。TDIRが従来のインシデント対応と異なる点は、調査を「検知」と「対応」の間に位置する独立したフェーズとして位置づけていることです。 従来のインシデント対応(IR)プログラムでは、調査はしばしばトリアージ(エスカレーション前の簡易的な妥当性確認)に圧縮されており、その結果、アナリストは精度の低いアラートをあたかもインシデントであるかのように扱わざるを得ませんでした。TDIRは、調査を「アラートがインシデントへと昇格する段階」、「攻撃のタイムラインが再構築される段階」、そして「アラートのラベルではなく証拠に基づいて対応プレイブックが選択される段階」として再定義します。
また、TDIRでは、所定のタイムライン内での規制当局への通知が明確に組み込まれています。対応フェーズには、DORA、NIS2、SECサイバー開示規則、および類似の規制枠組みに基づく報告義務が含まれるようになりました。これは、規制当局への開示を後付けの事項として扱っていた従来のTDR(脅威の検知と対応)の枠組みから、大きな転換を意味します。タイムラインの仕組みについては、以下のコンプライアンスのセクションで解説します。
「検知」「調査」「対応」「事後検証」という4つのフェーズは、単発のプロセスではなく、継続的なループとして機能します。ループが繰り返されるたびに、検知技術の改善点がアラート配信プロセスに反映されるため、SOCの稼働状況は時間の経過とともに安定し、精度も向上していきます。業界の定義もこのループ構造に収束しつつあります。業界における2つのアプローチについては、NetWitnessのTDIR用語集および ReliaQuestのTDIRガイドをご参照ください。
検索エンジンは、TDIR、TDR、ITDR、MDR、XDR、EDR、NDRを、意図が一部重なりつつも別個の7つの異なるクエリとして扱います。これらを1つの比較対象としてひとまとめにすることは、SEO上のミスであると同時に、購入者の理解を妨げるミスでもあります。以下のマトリックスは、最もよくある混同を解消するものです。
キャプション:TDIRと類似の頭字語の比較 — 定義、主な情報源、検索意図、およびTDIRとの重複率。
この説明は簡潔です。TDRは最も広範な分野です。TDIRはTDR内のワークフローであり、調査を独立したフェーズとして位置づけ、規制上のタイムラインを組み込んでいます。 ITDR、EDR、NDRはシグナル固有のサブセットであり、それぞれが特定の種類のテレメトリデータをTDIRワークフローに供給する。XDRは、これらのシグナルソースのいくつかを事前に相関させるツールのカテゴリーである。MDRは、顧客に代わってTDIRワークフロー全体を運用化するサービス提供モデルである。
実用的な評価基準:ベンダーが自社製品を「TDIR」と位置づけながら、実際にはエンドポイントのテレメトリデータしか収集していない場合、それは単なるマーケティング用語を冠したEDRに過ぎません。一方、エンドポイント、アイデンティティ、ネットワークを単一の調査画面でカバーし、時間制限付きの対応自動化機能を備えている場合は、真のTDIRに近いと言えます。その違いは名称にあるのではなく、シグナルソースの広さ、調査コンテキストの深さ、そして対応措置に規制上の報告義務が含まれているかどうかにあるのです。
3つの要因が相まって、TDIRが2026年の取締役会議事日程に盛り込まれることになった。
業界調査やアナリストの予測によれば、AIと自動化を大規模に導入した場合、TDIRワークフロー全体の効率は約40%向上すると見込まれています。これは、トリアージ、調査、ルール調整にかかる時間が短縮されることで得られる総合的な成果です。この数値は、単一の情報源に基づく主張ではなく、上記の4つの主要な統計データから導き出された推定値として捉えるのが適切です。 重要なのはその方向性です。TDIRを大幅に近代化したSOCは、そうしていないSOCよりも著しく優れたパフォーマンスを発揮しており、その差は拡大の一途をたどっています。
CSO Onlineが発表した2026年のCISO優先事項リストでは、TDIRの近代化が、IDセキュリティやAIガバナンスと並んで最上位に位置づけられており、これらは同じ要因を反映しています。常勤従業員(FTE)が5名未満で運営されているSOCにとって、選択肢はもはや「近代化するか、現状維持するか」ではありません。それは「近代化するか、それとも攻撃の潜伏時間、規制リスク、アナリストの定着率の面で同時に遅れをとるか」という選択なのです。
TDIRのワークフローは、検知、調査、対応、事後検証の4つのフェーズで構成されており、ループを形成しています。各イテレーションで得られた知見は、検知エンジニアリングにフィードバックされます。この4フェーズの枠組みは、業界標準のライフサイクル管理手法や、NIST SP 800-61 Rev 3で定義されているフェーズと整合しています。
フェーズ1 — 検出。 SOCは、EDR(エンドポイント)、NDR(ネットワークのイースト・ウエストおよびノース・サウス)、ITDR(アイデンティティ)からのテレメトリデータを集約し、 SIEM (ログ)、および クラウド制御プレーン; ルールベース、行動ベース、および機械学習(ML)による検知を適用し、精度の高いアラートを発信します。検知エンジニアリングの焦点は、ルール作成から行動モデリングへと移行します。このフェーズは、NIST CSF 2.0の「DETECT」(DE.AE 異常およびイベント、DE.CM 継続的監視、DE.AN 検知プロセス)および MITRE ATT&CK 対象となる戦術には、以下が含まれます 0001 初期アクセス、 0008 横方向の移動、および 0010 情報流出。現代の検知技術では、ますます AIによる脅威検知 そして 行動分析 ルールベースのシステムが見逃してしまう未知の脅威を洗い出すため。
フェーズ2 — 調査。アナリストはアラートを優先順位付けし、脅威インテリジェンス、資産の重要度、およびIDコンテキストを用いて情報を補完し、アラートを関連付けてインシデントとして統合し、攻撃のタイムラインを構築し、真陽性と偽陽性を検証します。 調査には、検証、文脈化、事後分析という独自の内部サブループが存在します。調査の成果は「このアラートは本物である」という結論ではなく、影響範囲、波及範囲、信頼度加重の推奨事項を含む、完全に再構築されたインシデントです。ここで、アラートの量はインシデントの明確さへと変わります。また、調査では仮説が導き出され、アナリストに余力がある際に、その仮説が脅威ハンティングのワークフローに活用されます。
フェーズ3 — 対応(封じ込め、根絶、復旧)。SOCは、脅威を封じ込め(エンドポイントの隔離、セッションの切断、アカウントの無効化、IPのブロック)、持続性を根絶し(インプラントの削除、認証情報のローテーション、侵入経路へのパッチ適用)、復旧(クリーンなバックアップからの復元、整合性の検証)を行います。 また、対応には所定の期限内での規制当局への通知も含まれ、これは現在、プレイブックにおいて必須の要素となっています。このフェーズは、NIST CSF 2.0のRESPOND(RS.MA、RS.AN、RS.MI、RS.CO、RS.IM)およびRECOVER(RC.RP)に対応しています。
フェーズ4 — インシデント後の教訓。得られた教訓、プレイブックの改良、検知エンジニアリングのバックログの更新、および取締役会への報告により、フィードバックループが完結する。 得られた知見は、検知コンテンツおよび調査プレイブックにフィードバックされる。このフェーズは、NIST CSF 2.0の「IMPROVE」カテゴリおよび「GOVERN」機能(GV.OC、GV.RM、GV.RR)に対応しており、これはCSF 2.0で新たに導入されたもので、ガバナンスをトップレベルの機能として明確に位置づけている。
「脅威検知の4つの手法」という質問(PAAで繰り返し寄せられる質問)は、フェーズ1に明確に当てはまります。具体的には、シグネチャベース(既知のIOC)、異常検知ベース(統計的および行動的ベースライン)、ヒューリスティックおよびルールベース(相関ロジック)、そして機械学習駆動型(行動分析やAIによる脅威検知を含む、教師ありおよび教師なしモデル)です。 成熟したTDIRプログラムでは、これら4つの手法をすべて並行して運用しています。いずれか1つだけでは不十分だからです。
図説:NIST CSF 2.0の機能およびNIST SP 800-61 Rev 3のフェーズに対応付けられたTDIRのフェーズ。
MITRE ATT&CK 攻撃者の行動をMITRE ATT&CK ; MITRE D3FEND v1.3.0(2025年12月リリース)は、7つの戦術(Model(27)、Harden(51)、Detect(90)、Isolate(57)、Deceive(11)、Evict(19)、Restore(12))にわたる267の手法に対する防御的対策を記述しています。 TDIRの検知フェーズは、攻撃側のATT&CK戦術に対応しています。TDIRの対応フェーズは、D3FENDの「隔離(Isolate)」「排除(Evict)」「復旧(Restore)」の各戦術に直接対応しています。対応サブフェーズごとの代表的なD3FEND手法を含む完全な対応表は、以下のコンプライアンスセクションに記載されています。
TDIRは、SOCスタックにおける新たな柱というわけではありません。それは、既存の柱をつなぐワークフローなのです。アーキテクチャを明確に理解することで、ツールの乱立を防ぎ、自社開発か外部調達かの判断を明確にすることにつながります。
購入者が留意すべき点:各ツールがどのレイヤーに対応しているかを確認すること。答えが不明確な場合、そのツールはすでに導入済みのものと機能が重複している可能性が高い。 RSAC 2026の展示会場には約36社のAI-SOCベンダーが出展していましたが、そのメッセージ内容は概して差別化されていませんでした。アナリストたちは現在、SIEM、NDR、ITDR、UEBAにわたるシグナルソースの広範さ、メッシュエージェントアーキテクチャ、そして持続的なデータ保持能力に基づき、「リブランドされた自動化」と真に自律的なアーキテクチャを区別しています。
3つの業界における活用事例と3つの情報漏洩事例が、抽象的な概念を具体的に示しています。
ユースケース 1 — 金融サービスとDORA。ある欧州の銀行は、DORAが定める「インシデント分類の4時間ルール」、「24時間前の事前通知」、「72時間以内の詳細報告」を満たすため、TDIRを導入しました。TDIRプラットフォームは、ID、ネットワーク、クラウドのシグナルを相関分析し、数分以内に認証情報の盗難やビジネスメール詐欺のパターンを検知します。この迅速な検知により、4時間ルールを確実に遵守することが可能になります。 規制の枠組みについては、ISACAのNIS2およびDORAに関するホワイトペーパーを参照してください。金融サービス業界は、タイムリミットが最も厳しいため、TDIR導入において最もリスクの高いセクターです。詳細については、「金融サービスのサイバーセキュリティ」をご覧ください。
ユースケース 2 — 医療業界とMDRによるTDIR。SOCの常勤スタッフ(FTE)が5名未満の中規模病院が、IoMTデバイス、EHRシステム、臨床用ワークステーションを含むハイブリッド環境において、24時間365日の検知・対応を行うため、MDRによるTDIRを導入した。 教訓:リソースに制約のあるSOCこそが、ROI(投資対効果)が最も高いTDIR導入者である。なぜなら、MDRによるサービス提供の限界費用は、アナリストを2名追加で雇用する場合の限界費用よりもはるかに低いためだ。業界固有の背景については、医療サイバーセキュリティを参照のこと。
ユースケース 3 — D3FEND-OT を活用した製造業界および OT/IT 向け TDIR。あるディスクリート製造業者は、2025年12月16日に公開された D3FEND-OT マッピングを活用し、TDIR の適用範囲をオペレーショナルテクノロジー(OT)環境へと拡大した。TDIR プラットフォームは IT および OT の両方のシグナルソースを取り込み、安全システムの制約を認識した対応プレイブックを備えている。これは、OT インシデント対応を IT インシデント対応の単なる一般化として扱っていた製造業者たちが、苦い経験を通じて得た教訓である。
侵害事例その1 —Salt Typhoon。FBIの2026年2月の最新情報によると、CALEA方式の傍受アクセスを目的とした、通信事業者およびエッジデバイスに対する中国発とみられる攻撃キャンペーンは現在も継続している。TDIR(検出・検知・対応・修復)プロセスの失敗要因はネットワーク検知にあった。具体的には、エッジデバイスにおける東西方向の可視性の欠如や、パッチ管理の不備が挙げられる。Salt Typhoon 、EDR(エンドポイント検出・対応)のみによるTDIRで十分だと考える購入者にとって、「なぜネットワーク検知が依然として重要なのか」を示す典型的なSalt Typhoon 。
侵害事例第2弾 —Scattered Spider4月の攻撃波。ヘルプデスクを標的としたソーシャルエンジニアリングによる、IDを悪用した横方向の移動。この段階で失敗したのはITDR(侵害検知・対応)だった。SOCの検知ソースがエンドポイントとネットワークに限定され、IDの挙動をモデル化していなかったため、認証情報の悪用が見逃されてしまった。Scattered Spider 、EDRのみを用いたITDRプログラムでは、IDを悪用した横方向の移動の段階を見逃してしまうことを一貫してScattered Spider 。
インシデントの教訓 3 — Anodotというサードパーティ経由のVimeo。サプライチェーン分析ツールの連携が侵入経路となった。 失敗の原因はベンダーログの監視にありました。サードパーティのテレメトリデータは取り込まれていたものの、ビジネスコンテキストのシグナルとの照合が一切行われていなかったのです。これは、Verizon DBIR 2025の調査結果とも一致しています。同調査によると、サードパーティが関与する侵害は前年比で2倍の30%に達しており、その多くは「リビング・オフ・ザ・ランド(LOL)」の手法や、ログベースの検知では無害に見える認証済みアクセスパターンを通じて発生しています。
定量化された成果がこのセクションの要となる。Mandiant 2025の報告によると、侵入が内部で検知された場合の滞在期間の中央値は11日、外部から通知された場合は26日、そして攻撃者(通常はランサムウェアのオペレーター)が被害者に通知した場合は5日となっている。これは、予防的な検知によってタイムラインが60%以上短縮されることを如実に示している。 AIと自動化を大規模に適用することで、1件の侵害あたり約190万ドルのコスト削減と、侵害ライフサイクルの80日短縮が可能になります。こうしたコスト削減の大部分は、横方向の移動(ラテラルムーブメント)の段階で、データ流出や ランサムウェアの前兆を検知することによるものです。2026年4月のランサムウェア活動については、BlackFog、CYFIRMA、CM-Allianceによって詳細に記録されており、TDIR(脅威検知・対応・修復)の成熟度が、ランサムウェアの封じ込め速度に直結することを裏付けています。
多くのTDIRプログラムが失敗するのは、ツールが不十分だからではありません。測定すべき項目を誤っているか、アラートをインシデントへと発展させるための手順を省略しているために失敗するのです。
業界のガイドラインからまとめたベストプラクティス:
KPIフレームワーク— 測定すべき指標:
キャプション:TDIR KPIフレームワーク — NCSCの2026年4月版SOCメトリクスガイダンスに準拠した主要指標、副次指標、およびビジネス指標。
測定すべきでないもの。 Help Net Securityが報じた、英国NCSCによる2026年4月28日付のSOC指標に関するガイダンスでは、チケットの解決速度、ルール数、ログの量は、誤検知の無視やノイズの多い検知結果を助長する恐れがあると警告している。 NCSCは、仮説主導型の脅威ハンティング、TTD/TTR、およびMITREマッピングされたプレイブックの適用範囲を、持続可能なKPIとして推奨している。これは、ベンダー中立かつ政府発行であり、取締役会レベルでの報告に適した、最も有用な「測定すべきでないもの」の指針である。KPI設計に関するより詳細な背景については、「サイバーセキュリティ指標」を参照のこと。
よくある失敗パターン。相関分析を伴わないツールの乱立はアラート疲労を引き起こし、SOCの76%が挙げる最大の課題となっています。EDRのみのTDIRでは、IDを悪用した攻撃を見逃してしまいます。2025年のQuestKACEクラスにおけるIDトリガー型CVEは、EDRでは検知できない攻撃の類型を示しています。ネットワークの死角は、67%の組織に影響を及ぼしています。MITREマッピングのない陳腐化したプレイブックは、単なる見せかけの検知に過ぎません。 ベンダーが主張する効率性数値(40%、80%、95%)は、ビジネスケースに盛り込む前に第三者による裏付けが必要です。取締役会に約束する前に、TDIRの効率性に関する主張をPonemon、Mandiant、SANS、Gartnerの調査結果に基づいて裏付けましょう。現実的なSOCアナリストの業務体験は、単一の製品機能よりも、検知コンテンツの品質やKPIの選択によって大きく左右されます。
ここでこそ、TDIRは監査役や取締役会からその価値を認められるのです。3つのフレームワークと3つの規制体制が、対応フェーズにおいて統合されるのです。
NIST CSF 2.0 対応表。 NISTサイバーセキュリティ・フレームワーク v2.0 では、新たな最上位機能として「GOVERN」が追加され、「DETECT」、「RESPOND」、「RECOVER」が改訂されました。TDIRの各フェーズは、以下に対応します:
フレームワークの全文は、NIST CSF 2.0のPDFに記載されています。
NIST SP 800-61 Rev 3(2025年4月)。 コンピュータセキュリティインシデント対応ガイドの最新改訂版では、アラート、トリアージ、および情報共有の自動化が明確に推奨されています。その各フェーズ(検知・分析、封じ込め、根絶、復旧、インシデント後の活動)は、TDIRの4段階ループと完全に一致しています。
MITRE ATT&CK D3FEND。MITRE ATT&CK は攻撃者の行動を記述しています。MITRE D3FEND .3.0は防御的な対策を記述しています。対応フェーズは、D3FENDの「隔離(Isolate)」「排除(Evict)」「復旧(Restore)」の戦術に対応し、以下の代表的な手法が含まれます:
キャプション:MITRE D3FEND .3.0 に対応した TDIR 対応のサブフェーズ(検出 90、隔離 57、排除 19、復旧 12)。
D3FEND v1.3.0 は、7つの戦術にわたる267の防御手法を網羅しており、2025年12月にリリースされたD3FEND-OT拡張機能により、運用技術(OT)への対応が追加されました。
規制報告の期限。報告段階には現在、厳格な期限が設けられており、その期限は管轄区域によって異なります。
これには重要な実務上の意味があります。すなわち、DORA分類のための4時間のタイムリミットは、72時間の詳細対応期間よりも厳格であり、これがプレイブック設計の指針となるのです。この規制上のタイムリミットを、事後対応として扱うのではなく、対応フェーズのプレイブックに組み込む必要があります。これには、重要性の判断を行う責任者の指名や、事前に承認された開示テンプレートの策定などが含まれます。 CIS Controls v8のコントロール17(インシデント対応管理)、特に17.1、17.2、17.4、および17.8が、運用上の枠組みを提供します。より広い文脈については、コンプライアンス、セキュリティフレームワーク、およびGDPRコンプライアンスを参照してください。
CISAの「既知の悪用されている脆弱性(KEV)」カタログは、連邦政府機関および請負業者を対象とするTDIRプログラムにとって、もう一つの規制上の指針となります。KEVに脆弱性が掲載されると、パッチ適用および検知コンテンツに関する義務が発生し、これらはTDIRの検知フェーズに直接反映されます。
現在、TDIRの自動化には3つのモードが共存しています。 SOARは、異種ツールにまたがるルールベースのプレイブックであり、堅牢ではあるものの、アラートタイプが変化すると脆弱になる。ML支援型は、人間のトリアージの上にスコアリング、相関分析、優先順位付けを行うもので、実績があり広く導入されている。エージェント型は、多段階の対応を計画・実行する自律型エージェントであり、2026年から2028年にかけての転換点となる。CSO Onlineによる脅威検知におけるAIに関する報道は、この変化を的確に捉えている。
BleepingComputerが報じたガートナーのAI SOCエージェントに関する7つの評価項目によると、2028年までにTDIRプラットフォームの50%がエージェント型AIを組み込むと予測されています。しかし、体系的な評価を行わずに測定可能な改善を達成できるパイロットSOCはわずか15%にとどまります。市場は確かに存在しますが、その成熟度はまちまちであり、Kings ResearchによるAI搭載TDR市場の規模推計やMarketsandMarketsによるMDR市場の規模推計はいずれも、この導入傾向を裏付けています。 購入者への提言:ベンダーが提供するスコアカードではなく、明確に定義された評価基準(持続的な保持率、メッシュ型エージェントアーキテクチャ、シグナルソースの広範さ)に基づいて、エージェント型AIを試験導入すること。
「自社開発か外部調達か」という判断は、既存のツールへの投資、社内SOCの成熟度、および統合の負担という3つの観点に基づいて決定されます。 セルフマネージド型TDIRは、SOCが成熟しており、ベストオブブリードのツールに相当な投資を行っている組織に適しています。コンバージドプラットフォーム型TDIRは、SIEMのみ、あるいは断片化したスタックからスタートし、統合を希望する組織に適しています。MDR提供型TDIRは、リソースに制約のあるSOC(ROIが最も高い導入者)や、人員を増強する時間がないまま新たな規制体制に参入する組織に適しています。
Vectra AIは、TDIRをシグナルの品質によってその真価を発揮するワークフローとして位置付けています。検出レイヤーが、イースト・ウエスト・トラフィック向けのNDR、ID管理向けのITDR、さらにEDRやSIEMの相関分析などから、行動パターンに基づいた高精度なシグナルを生成することで、調査プロセスが短縮され、自動化によって規制上のタイムリミット内に確実に封じ込め措置を講じることが可能になります。また、インシデント後の分析においても、再検討を要する誤検知が減少します。 Vectra AIの貢献はAttack Signal Intelligence」にあります。これは、シグネチャのノイズではなく攻撃者の行動パターンに基づいて構築され、ビジネスコンテキストに対してスコア付けされ、検知と対応を結びつける調査画面上で提示される検知コンテンツです。この仕組みの詳細については、Vectra AIプラットフォームをご覧ください。
今後12~24ヶ月で、TDIRの情勢は大きく様変わりするでしょう。その変化の大部分は、3つの変革によって牽引されることになります。
エージェント型AIは、試験運用段階から標準仕様へと移行する。ガートナーが予測する「2028年までに50%」という数値は、単なる機能追加ではなく、アーキテクチャの転換を反映したものである。2026年のRFP(提案依頼書)では、エージェントの耐久性、メッシュアーキテクチャ、および「ヒューマン・イン・ザ・ループ」による安全策に関する評価基準が求められると予想される。 2027年の導入では、エージェントがデフォルトのTier-1層として組み込まれ、人間の役割は判定や例外ケースの調査に限定されると予想される。成熟度の15%のギャップを考慮すると、購入者は厳格なパイロット実施が必要となる。2028年までに大規模SOCの70%がAIエージェントのパイロットを実施すると予測されるが、体系的な評価を行った組織のみが測定可能な改善を実感できるだろう。
規制の整合化により、対応期限はさらに厳格化される見込みです。DORAの施行は2026年から2027年にかけて成熟期を迎えます。NIS2の施行は、加盟国による国内法への組み込みが完了するにつれて拡大していきます。 SECの開示規則は、重要性の閾値を明確化する判例を引き続き生み出している。4時間というDORAの分類閾値以下を対応期限とする、新たなセクター別規則(エネルギー、医療、金融市場インフラ)が導入される見込みである。4時間以内の重要性判断ワークフローを実証できないTDIRプラットフォームは、競争力を失うことになる。
アイデンティティは、エンドポイントに代わってTDIRの主要な柱となるでしょう。業界の脅威インテリジェンス調査によると、現在、攻撃の79%から80%malware、アカウントの乗っ取りに起因していることが一貫して示されています。 ITDRの対応範囲は必須要件となるでしょう。EDRのみのTDIRは、ベンダー評価において誤分類されるケースが増えていくでしょう。2025年のQuest KACEクラスのIDトリガー型CVEは、2027年に表面化するIDを原因とするインシデントの規模と比較すると、古めかしく見えるようになるでしょう。
ネットワーク検知の重要性は、今後ますます高まる一方です。 Salt Typhoon持続的な活動、VimeoやAnodotのインシデントに見られたサプライチェーン攻撃の手口、そしてLOTL(Line of Last)攻撃や暗号化チャネル攻撃の増加傾向は、すべて同じ事実を物語っています。すなわち、イースト・ウエストの可視性を確保する上で、ネットワークレベルの行動分析は不可欠であるということです。NDR(ネットワーク検知・対応)は、ITDR(IT検知・対応)やEDR(エンドポイント検知・対応)のアラートを検証する情報源として、今後ますます重要な役割を果たすことになるでしょう。
2022年の投資優先事項。予算が割り当てられた独立した機能としての検出エンジニアリング。ITDRの未対応領域への対応。イースト・ウエスト方向の死角が存在する領域へのNDRの適用。広範な展開に先立ち、特定のプレイブック群(phishing 、認証情報のリセット、隔離)を対象としたエージェント型AIのパイロット導入。 NCSCに準拠したKPIフレームワークを導入し、表面的な指標(チケット解決数、ルール数)を廃止し、TTD/TTRおよび仮説主導型ハンティングの処理能力を重視する。
TDIRは、第一に「手法」として、第二に「製品カテゴリ」として捉えるのが最も適切です。検出、調査、対応、事後学習という4つのフェーズからなるループこそが、不変の基盤となります。それ以外のすべて(どのシグナルソースを使用するか、XDRとSIEMのどちらを導入するか、自社で運用するかMDRを購入するか、エージェント型AIを2026年に導入するか2028年に導入するかなど)は、あくまで実装上の判断に過ぎません。 この手法を正しく理解すれば、実装に関する決定は容易になります。しかし、この手法を軽視すれば、どんなプラットフォームを導入してもプログラムを救うことはできません。
2026年の取締役会での議論は、以下の3点に焦点を当てるべきである。すなわち、アイデンティティとネットワークの死角を解消し、最新の攻撃対象領域を網羅する検知体制を構築すること、最初のインシデントによってその有効性が試される前に、DORA、NIS2、SECのタイムラインを対応プレイブックに組み込むこと、そしてベンダー提供のスコアカードではなく、体系的な評価に基づいたエージェント型AIを採用することである。 Mandiant、Ponemon、SANS、Gartnerの調査結果を総合的に分析した結果、AIと自動化を大規模に適用することでTDIRワークフロー全体の効率が約40%向上するという複合的な成果は確かに存在しますが、これは規律ある取り組みによって成果を上げたプログラムに限っての話です。
関連するワークフローについてさらに詳しく知りたい場合は、インシデント対応、ネットワーク検知・対応、およびID脅威検知・対応についてご覧ください。プラットフォームレベルでの対応については、Vectra AIのTDIRプラットフォームがこれらの要素をどのように統合しているかをご確認ください。
TDR(脅威の検出と対応)とは、エンドポイント、ネットワーク、ID、API、クラウド環境全体にわたる継続的な監視、脅威の特定、調査、および封じ込めを統合した、より広範なサイバーセキュリティ分野を指します。TDRはTDIRよりも以前から存在し、ほぼ同義語として扱われることもありますが、両者の間には1つの重要な違いがあります。それは、TDIRが「調査」を検出と対応の間に位置する独立したフェーズとして位置づけ、規制上の通知期限を明確に組み込んでいる点です。 調査を正式なプロセスとして定めていないTDRプログラムでは、調査がトリアージ(初期対応)に圧縮されがちであり、その結果、アラートはインシデントとしてではなく単なるアラートのまま残されてしまいます。購入を検討する際の現実的な判断基準として、ベンダーがTDRを謳いながら検出と封じ込めのワークフローしか説明していない場合、それは名ばかりのTDRであり、完全なループを形成するTDIRではないと言えます。より広い文脈については、脅威検知のトピックページを参照してください。
脅威検知とは、シグネチャベース、異常検知、ヒューリスティック、および機械学習(ML)を活用した手法を用いて、環境内の悪意ある活動を特定するプロセスです。TDIRワークフローにおいて、脅威検知はフェーズ1に位置づけられます。このフェーズでは、EDR、NDR、ITDR、SIEM、およびクラウド制御プレーンからのテレメトリデータを集約し、検知コンテンツ(ルール、行動ベースライン、MLモデル)を適用して、高精度のアラートを生成します。 現代の脅威検知は、シグネチャのみに依存するアプローチから脱却しています。これは、攻撃者が有効な認証情報や「リビング・オフ・ザ・ランド(LoL)」の手法を使用するケースが増加しており、これらはシグネチャとの一致を生じないためです。最も強力な検知プログラムでは、これら4つの検知手法をすべて並行して実行し、すべてのMITRE ATT&CK 紐付けることで、検知範囲のギャップを可視化しています。検知だけではTDIRプログラムを構成するものではありません。調査と対応が伴わなければ、検知によって生成されたアラートは誰も処理しないまま放置されてしまうからです。
脅威の防止とは、攻撃が実行される前にこれを阻止する一連の対策のことであり、パッチ適用、システムの強化、ネットワークのセグメンテーション、ID管理、およびエンドポイントやゲートウェイにおけるシグネチャベースのブロックなどが含まれます。防止はTDIRを補完するものであり、それに取って代わるものではありません。「侵害を前提とする」という考え方、すなわち、巧妙な攻撃者は防止策を突破してくるという認識こそが、TDIRの根底にある洞察です。防止は攻撃の規模を縮小し、TDIRは防止で見逃された攻撃を捕捉します。 この2つは連携して機能します。予防のテレメトリデータはTDIRの検知に活用され(ブロックされたイベントは、何らかの試みがあったというシグナルとなります)、TDIRの事後学習フェーズで得られた知見は、予防対策の設計にフィードバックされます。予防対策に過度に投資し、TDIRへの投資が不十分なプログラムでは、侵害報告において「誰にも気づかれることなく、攻撃者が数ヶ月間システム内に潜伏していた」という事例が頻繁に見受けられます。
4つの手法とは、シグネチャベースの検知(既知の侵害指標との照合)、異常ベースの検知(統計的および行動的なベースライン)、ヒューリスティックおよびルールベースの検知(イベント間の相関ロジック)、そして機械学習(ML)駆動型の検知(教師ありおよび教師なしモデル)である。成熟したTDIRプログラムでは、各手法が異なる脅威クラスをカバーするため、これら4つを並行して実行する。シグネチャは既知の脅威を迅速かつ低コストで検知できるが、新規の攻撃を見逃してしまう。 異常検知は未知の脅威を捕捉できるが、ノイズを発生させる。ヒューリスティック相関分析は多段階攻撃を捕捉できるが、手動で調整されたルールを必要とする。ML検知は新規の攻撃と複雑な多段階パターンの両方を捕捉できるが、トレーニングデータとチューニングを必要とする。適切な比率については、組織のシグナルソースとアラート処理能力によって異なる。エンティティの行動に焦点を当てた異常検知およびML手法である行動分析は、ID(アイデンティティ)およびラテラルムーブメント(横方向の移動)の検知において主流のアプローチとなっている。
従来のインシデント対応では、調査は「トリアージ」――エスカレーション前の簡単な確認作業――として扱われ、検知は他者の役割であると想定されていました。TDIRは、これら3つのフェーズすべてを、責任者、KPI、ツールを明確にした単一のワークフローに統合します。 具体的な違いは3つある。TDIRは調査を独自のプレイブックと指標を持つ独立したフェーズとして位置づけ、規制当局への通知期限(DORAの4時間、SECの4営業日、NIS2の24時間)を対応フェーズに明示的に組み込み、さらにインシデント後の学習フェーズを追加して、その知見を検知エンジニアリングにフィードバックする。 従来のIRプログラムがTDIRへと進化する場合、通常は、検知エンジニアリングを機能として正式に位置づけ、従来はアナリストによる自由形式の作業であったものに調査プレイブックを追加することで実現されます。NIST SP 800-61r3におけるIRライフサイクルは、TDIRの4つのフェーズと明確に一致しているため、この移行は単なる置き換えというよりも、むしろ体系化のプロセスと言えます。
TDIRは、3つの方法で誤検知を低減します。第一に、調査フェーズでは、エンリッチメント(脅威インテリジェンス、資産の重要度、IDコンテキスト)と相関分析(関連するアラートを単一のインシデントとして結びつける)を活用し、エスカレーション前にアラートの妥当性を検証するように設計されています。 第二に、インシデント後の学習結果が検知エンジンの改善にフィードバックされ、アラートパイプラインに反映されることで、ノイズの多い検知を排除し、行動のベースラインを精緻化します。第三に、最新のTDIRプラットフォームは機械学習(ML)スコアリングを適用し、ルールベースのノイズよりも信頼性の高いシグナルを優先します。これらの相乗効果は測定可能です。SANS 2025の調査によると、SOCの76%が「アラート疲労」を最大の運用上の課題として挙げていますが、体系的なTDIRプログラムを導入することで、四半期ごとに誤検知率を継続的に低減できています。 ここで重要なKPIは、「1時間あたりのアラート処理件数」——これは誤検知の軽視を助長する——ではなく、「誤検知率」と「真陽性インシデントあたりの平均復旧時間(MTTR)」です。
TDIRはワークフローであり、XDRはツールのカテゴリーです。TDIRは、SOCが検出、調査、対応をどのように統合するかを定義するものであり、これには各分野の業務、KPI、および規制上の義務が含まれます。一方、XDRは、エンドポイント、ID、クラウド、メール、ネットワークにわたる、厳選された高精度のテレメトリデータを事前に相関分析するプラットフォームのクラスを指します。 XDRプラットフォームは、TDIRワークフローを支えるツールの一つとなり得ますが、TDIRはXDRなしでも、ベストオブブリードのツールを積み重ねて運用することも可能です。両者の重複率はおよそ70%です。ほとんどのXDR製品は、購入者にとって重要な成果であるTDIRワークフローを謳っており、またほとんどのTDIRプラットフォームにはXDRクラスの相関分析機能が含まれています。 この違いは評価において重要です。ベンダーに対し、自社を「ワークフローの実現手段」と位置付けるか、あるいは「ツールカテゴリ」と位置付けるかを尋ね、RFPをワークフローに照らし合わせて機能のギャップを明らかにしてください。
DORA(2025年1月17日施行)では、重大インシデントの検知から4時間以内の分類、24時間以内の事前通知、および72時間以内の詳細報告が義務付けられています。NIS2では、24時間以内の初期通知、72時間以内の詳細報告、および1ヶ月以内の最終報告が求められています。 DORAの4時間という分類期限は、主流のサイバーインシデント開示要件の中で最も厳しいものであり、EUの金融機関におけるTDIRプレイブック設計の原動力となっています。これらの期限をTDIRに適合させるには、重要性の判断を調査段階に組み込み(独立したワークフローとしてではなく)、法務および広報部門と開示テンプレートを事前に承認し、対応段階における重要性の判断を行う責任者を指名する必要があります。 規制当局への通知ステップを含む机上演習を用いて、少なくとも四半期ごとにワークフローをテストしてください。事後的にタイムラインを組み込むプログラムでは、技術的な封じ込めではなく重要性の判断がボトルネックとなるため、DORAの期限を頻繁に逃してしまいます。ISACAのNIS2およびDORAに関するホワイトペーパーでは、管轄区域をまたぐ微妙な違いについて解説しています。