こちらはSumo Logic社のブログを日本語化したものです。
原文はこちらをご参照ください。
SIEMが「終わった」かどうかという議論は、もはや意味がありません。本当に問うべきは、「従来のSIEMが、今日のセキュリティ担当者の役に立っているか」ということです。結論から言えば、答えはノーです。
コンプライアンスの要求と静的なルールから生まれた第一世代のSIEMは、ログの収集と相関を提供しましたが、コンテキスト(背景情報)が欠けていました。その結果、アナリストはノイズに埋もれ、脅威検出は遅く高価なものになってしまいました。
しかし、これは変わりつつあります。
現在出現しているのは、単に「より良いSIEM」ではありません。それは「インテリジェントなセキュリティ運用」への根本的な移行です。ログを収集するだけでなく、リアルタイムの理解を生み出し、より速く、より賢い対応を可能にする新しいアプローチです。
従来のSIEMを終わらせたもの
SIEMがどこへ向かっているかを理解するには、SIEMがなぜ生き詰まったかを見る必要があります。2000年代初頭に設計された従来のSIEMは、現在とは大きく異なる状況に対応していました。当時の主流はオンプレミス環境で、SIEMで気にすべきはログ保存とコスト懸念、ルールベースの脅威検出でした。ガートナーのレポート「Prepare for SIEM Evolution」によると、これらのツールは組織全体のセキュリティ情報を処理することに焦点を当てていましたが、今日のクラウド環境のスピード、規模、複雑さは想定していませんでした。
しかし、攻撃者は進化しました。クラウドは爆発的に普及し、データ量は急増しました。その結果、古いSIEMモデルは、現代のニーズのウェイトに耐えられなくなりました。
・既成ルールで新たな脅威を見逃す
・大量のアラートによるアナリストの疲弊
・価値よりも早く増加するコスト
・導入に数ヶ月あるいは数年かかる
ガートナーでさえ、「SIEMの導入失敗」が広範囲に及んでいると指摘しました。こうしたツールは、拡張できず、適応できず、そして何よりも、セキュリティ担当者がより速く対応する助けにはなりませんでした。
SIEMが依然として重要な理由
欠点があっても、SIEMが無くなることはありません。重要なニーズが残っています。組織は環境全体のアラートを収集し、理解し、それに基づいて行動する必要があります。課題は、かつ限られたリソースの中で、今日のハイブリッドアーキテクチャや高度な攻撃者に対応することです。
そこで登場するのが、インテリジェントなセキュリティ運用です。
これは、古いSIEMの夢の進化形です。単にセキュリティデータを収集するのではなく、リアルタイムに分析し、最も重要なアラートに優先順位を付け、可能な部分は自動化を行います。これは、テレメトリー、分析、およびアクションを結びつけるプラットフォームに支えられた、セキュリティチームの運用方法の変革です。
SIEMはもはや最終目標ではありません。それは、現実世界での対応のために設計された、より広範でインテリジェントなシステムのコンポーネントなのです。
インテリジェントなセキュリティ運用とは?
その本質は、脅威検出(Detection)から意思決定(Decision)を、明確にかつ素早く行うことにあります。具体的には、以下を結びつけます。
・ログを第一とする統合テレメトリー: クラウド、オンプレ、SaaS全体のログ、メトリクス、トレース、イベント、およびIDデータを取り込む
・コンテキスト強化と脅威インテリジェンス: 資産、ユーザー、および行動を、外部シグナルと組織の知識と相関させる
・高度な分析とAI/ML: 静的なルールに留まらず、振る舞い分析、および機械学習を活用した異常検出を行うこと
・統合された対応ワークフロー:人間が手を動かす部分と自動化を上手く併用し、検知を解決へと繋げること
・オペレーター最優先のエクスペリエンス: 効率化されたワークフロー、説明可能なAI、リアルタイムのコラボレーション
これこそが、現代のセキュリティ運用と、過去のルールベースのシステムを切り分けるものです。単に速いだけでなく、より賢いのです。
実際どのようなメリットがあるのか?
インテリジェントなセキュリティ運用はレガシーSIEMではできなかったことをどのように実現するのでしょうか。セキュリティチームが直面する4つの事例を紹介します。
・プロアクティブな脅威ハンティング: 正規化されたデータからコンテキストを読み取ることで、セキュリティ担当者は問題の原因を推測する必要が無くなります。ログに溺れることなく、仮説をテストし、エンティティ間を横断して分析し、異常な行動を表面化させます。
・トリアージと調査の自動化: 複数のツールからのアラートを繋ぎ合わせる代わりに、アナリストはAIによって生成された、根本原因分析、影響を受けたユーザー、推奨される次のステップを含む要約されたインシデントを受け取ります。
・文脈認識型の検出: 「もしXならばY」というルールに頼る必要はもうありません。システムが「正常」な状態を学習し、時間、アカウント、地理的場所、クラウドサービス全体で「異常」な状態にフラグを立てます。
・マシン速度での対応: ワークフローに組み込まれた自動化により、インテリジェントなセキュリティ運用は、アカウントの管理、インシデントのエスカレーション、またはアラートの充実にリアルタイムで対応でき、手動による調査の時間を大幅に節約します。
インテリジェントなセキュリティ運用におけるSIEMの役割
SIEMは依然として重要な役割を果たしますが、もはや全てではありません。今日のSIEMは、以下のような特徴を持ちます。
・クラウドネイティブ: 弾力的な拡張性とリモートチームのために構築されている
・オープンで統合されている: 多様なテレメトリーから情報を取り込み、オーケストレーションツールに送り込む
・オペレーター中心: ダッシュボードのためではなく、ワークフローのために設計されている
これは、インテリジェントなセキュリティ運用を支える基盤であり、最終製品ではありません。今日のSIEMは、現代のセキュリティ車両の「エンジン」のようなものだと考えてください。エンジンがなければ、何も動きません。しかし、システム(分析、コンテキスト、自動化)の残りの部分がなければ、目的地にたどり着くことはできません。
レガシーな道を進んでいませんか?
もしこれらのメリットを得られていないなら、現在のSIEMが足かせになっている可能性があります。見直しの時期が来ているシグナルは次のとおりです。
・アラートを調査するよりも、チューニングにより多くの時間を費やしている
・主要なクラウド、SaaS、またはIDのシグナルを1か所で確認できない
・脅威を見つける代わりに、インフラストラクチャの管理に縛られている
・アナリストが問題を解決するのではなく、ノイズを追いかけているように感じている
Sumo Logicの2025年セキュリティオペレーションインサイトレポートによると、セキュリティリーダーの73%が新しいSIEMオプションを積極的に評価しています。これは、彼らの現在のツールが、インテリジェントなセキュリティ運用が要求するものに対応できるように構築されていないため、当然のことと言えるでしょう。
インテリジェントなセキュリティ運用を念頭にSIEMを見直す
インテリジェントなセキュリティ運用を前提にSIEMを評価する際、基準は変わるべきです。SIEMが何を収集できるかだけでなく、検出、調査、対応というエンドツーエンドのミッションをどれだけうまくサポートできるかにかかっています。
見るべきポイントは次のとおりです。
・ログを第一とする可視性: 重要なあらゆるソースからの構造化データおよび非構造化データを取り込めますか?
・コンテキスト認識: アラートをユーザー、資産、および脅威インテリジェンスのコンテキストで充実させますか?
・AIと分析: ルールを超え、リアルタイムのパターン検出と行動モデルを備えていますか?
・緊密な統合: EDR、IAM、クラウド、およびチケット発行ツールとすぐに連携できますか?
・運用スピード: トリアージ時間、アラート量、および調査時間を削減できますか?
上記はインテリジェントなセキュリティ運用の構築を目指すチームにとって重要な質問です。
SecOpsの未来はツールではなくてシステム
セキュリティは簡単になるどころか、ますます難しくなっています。データ量、攻撃のスピード、環境の拡大、どれも加速し続けています。私たちは、画一的なプラットフォームや時代遅れのアーキテクチャでこれと戦うことはできません。私たちが必要としているのは、防衛担当者を助けるインテリジェントなシステムです。
・環境全体を見通せる
・重要なことを検出できる
・その理由を理解できる
・迅速に行動できる
SIEMはその一部です。ただし、より広範なミッションをサポートする場合に限ります。
最後に:「SIEMは終わったか」という問いをやめましょう
「SIEMは死んだのか?」という質問は、本質から目をそらすものです。その用語が生き残るかどうかは問題ではありません。重要なのは、現在のツールが、チームがより速く調査し、より早く検出し、自信を持って対応するのに役立っているかどうかです。
SIEMは死んでいません。しかし、もはや主役ではありません。それは、より大きな「インテリジェントなセキュリティ運用」に吸収されました。そこでは、価値は「取り込み」ではなく「行動」で測られます。
もしあなたの現在のSIEMがあなたをそこに導くのを助けていないなら、先に進むべき時です。
- カテゴリ:
- Sumo Logic
