「SIEMはオワコン」は本当か 高コストと誤検知に疲弊する情シスへの処方箋：脱SIEMもあり？

運用が大変、コストも高い――。長年、現場を悩ませてきたSIEMの存在意義が問われている。今、SIEMを使い続けるべきか、脱却すべきか。セキュリティ専門家の見解を紹介する。

[Jaikumar Vijayan，TechTarget]

　「SIEM（Security Information and Event Management）は、セキュリティ担当者が不満を抱きつつも使い続けてきたツールだ」――。米Informa TechTargetの調査部門Omdiaのアナリスト、アンドリュー・ブラウンバーグ氏は述べる。SIEMはセキュリティイベントのログデータを分析してインシデントにつながる異常や兆候を可視化するツールだが、運用の複雑さや高コストが課題として指摘されている。

　初期のSIEMは膨大な誤検知を発生させ、分析には多くの人手が必要なこともネックだった。ブラウンバーグ氏によると、現在のSIEMはこうした課題を解決しつつ、エンドユーザーとシステム（エンティティ）の異常な行動を検出する「UEBA」（User and Entity Behavior Analytics）といった新しい機能も備え、高度なセキュリティの実装を可能にする。

　では、果たしてSIEMは「オワコン」になっているのか。セキュリティ専門家の見解を紹介する。

SIEMの課題と運用の実態

併せて読みたいお薦め記事

SIEM活用のポイント

• SIEMをスムーズに導入するために知っておきたい「5つのステップ」
• 人工知能で賢くなった「SIEM」で実現する“5つの次世代セキュリティ運用”とは

　セキュリティベンダーSectigoのシニアフェロー、ジェイソン・ソロコ氏もブラウンバーグ氏の見解に同意する。当初、SIEMはログ保存やレポート作成を中心としたコンプライアンス（法令順守）用ツールとして構築されていたという。静的な相関ルールを適用していたため、高度な攻撃の検出には不向きだったと同氏は説明する。

　さらに、大半のSIEMツールが分析のデータ量に応じた課金体系を採用していた。そのため、ユーザー行動やクラウドアプリケーションの動作など、高度な攻撃の検出に必要な情報を得るにはコスト面が障壁になっていた。SIEMのユーザー企業は「高コストをかけて大量のデータを分析する」か、節約のため「データを制限して重要な脅威を見逃す」かという課題に直面していた。

　近年は、クラウドサービスやネットワーク、エンドポイント（PCやスマートフォンなど）といったシステム全体のデータを分析した上で、脅威を検知し対処する技術「XDR」（Extended Detection and Response）も登場して、SIEMの“競合”になり得る。しかし、XDRの導入や運用が容易ではないので、大半の企業は引き続き、SIEMを使用している。

SIEMが提供する価値

　SIEMは、コンプライアンスやデータ分析のための長期保存、異なるデータソース間の横断クエリ、企業固有のリスクに合わせた相関分析などで強みを発揮する。特に監査人への報告が義務付けられている業界では代替が難しいとみられる。「SIEMの導入に成功している企業は、ユースケースを明確に絞り込んでいる」とソロコ氏は語る。

　一方で、クラウドサービスを広範囲にわたって利用し、システムを運用している企業からみれば、拡張しにくさや、脅威のリアルタイム検出や対処の自動化ができないことがSIEMの弱点になっている。こうした企業にとっては、XDRや、AI（人工知能）を取り入れた脅威インテリジェンスツールのほうが適していると考えられる。SIEMやXDRの組み合わせも、セキュリティを強化する上で有効なアプローチになる。

　S&P Global Market Intelligenceのアナリスト、ダニエル・ケネディ氏によると、「SIEMは死んだ」ということは一概には言えない。誤ったアラームの多発など、SIEMに関する課題は主に古い製品に当てはまると同氏は説明する。主要なSIEMベンダーが新しい機能の追加に注力し、「SIEM市場は消滅するのではなく、むしろ進化している」とケネディ氏はみている。

　一方で、ブラウンバーグ氏は「エージェントAI」によってSIEMが不要になる可能性があると指摘する。さまざまなタスクを自律的に実行するエージェントAIを使えば、セキュリティ運用を自動化し、「SIEMを介さずに脅威情報の分析ができるようになる」（同氏）という。