「次世代SIEM」という言葉は、広く使われるようになって久しく、今では幅広い製品やマーケティング上の主張を指すようになっています。その本質は、アラート過多、クラウド対応の不備、厳格なルールベースの検知、スケーラブルでないインフラといったレガシーSIEMの根本的な問題を解決しようとしたセキュリティプラットフォームの世代を指します。
これらの問題の一部は解決されましたが、予想以上に根深い問題もありました。そして、脅威の状況はツールの進化を待ってはくれませんでした。
このガイドでは、次世代SIEMが実際に何を変え、何がまだできず、今日のセキュリティ運用チームがこの問題についてどのように考えているのかを説明します。
次世代SIEMとは?
次世代SIEM(Security Information and Event Management)は、クラウドネイティブアーキテクチャ、行動分析、機械学習、統合された対応機能を組み込んだ、従来のSIEMプラットフォームの第2世代の進化形です。この用語は、主にオンプレミスのデータセンター向けに構築され、静的な相関ルールに依存してアラートを生成していた第1世代のSIEMと、これらのプラットフォームを区別します。
~によると SANS Instituteの次世代SIEM評価ガイド、次世代プラットフォームは、ログ集約とルールベースのアラートを超えて、「複雑なシナリオ検知と行動モデリングによる脅威の特定と優先順位付け」へと向かっています。これは、レガシープラットフォームでは大規模に提供できなかった機能です。
このカテゴリが登場したのは、IT環境が複雑化し、クラウド導入が加速し、攻撃者の技術が検知チームが維持できるルールライブラリを上回るようになったことで、従来のSIEMアーキテクチャが予測可能な限界に達したためです。
レガシーSIEMの課題
次世代SIEMが何を変えたのかを理解するには、まず何が問題だったのかを理解することが役立ちます。
レガシーSIEMは、すべてのソースからログを収集し、そのデータに対して相関ルールを実行し、ルールが一致したときにアラートを出すという中心的な前提に基づいて構築されていました。これは、明確なネットワーク境界、管理可能なログソースのセット、文書化されルール化可能な攻撃手法があった場合など、環境が限定的で予測可能であった場合に、かなりうまく機能しました。
これらの条件はもはやどれも当てはまりません。
ルールベースの検知では追いつかない。 静的なルールは、記述された内容を検知します。新しい攻撃手法、Living-off-the-Land(LoL)活動、高度なIDベースの攻撃は、既知の不正パターンを記述したルールには一致しません。~によると 2025年Verizonデータ漏洩/侵害調査報告書、脆弱性悪用は前年比34%増加し、現在ではすべての侵害の初期アクセスベクトルの20%を占めています。これは、ルールベースの検知システムが事前に記述を持たないゼロデイエクスプロイトが一因となっています。
アラート量が手に負えなくなった。 ルールベースのシステムは、コンテキスト、リスク、または人間のアナリストがその情報で実際に何かできるかどうかに関わらず、ルールが一致するたびにアラートを生成します。その結果が、 現代のSOC運用、膨大な量でシグナルが少なく、自身を守るはずのツールを信用しなくなったアナリストたちです。
オンプレミスアーキテクチャはクラウドにスケールできませんでした。 従来のSIEMは、配置した場所に留まるインフラ向けに設計されていました。現代の攻撃対象領域には、SaaSアプリケーション、クラウドワークロード、IDプロバイダー、コードリポジトリ、サードパーティ統合などが含まれます。これらは、異なるデータ形式を生成し、異なる統合パターンを必要とし、これらのプラットフォームが構築されたオンプレミスのログソースとは異なる振る舞いをします。
次世代SIEMが変えたもの
次世代SIEMプラットフォームは、従来の製品に比べて真の改善をもたらすアーキテクチャと分析の変更によって、これらの問題に対処しました。
クラウドネイティブインフラストラクチャ。 クラウドネイティブなデプロイメントモデルへの移行により、オンプレミスSIEMハードウェアの垂直スケーリングの限界が解消されました。次世代プラットフォームは、従来のプラットフォームを大規模環境で利用不可能にしていたパフォーマンス低下なしに、ペタバイト規模のデータを取り込み、クエリできます。これはログ量と検索速度の両方にとって重要であり、長期間の保持期間にわたってクエリを数分待つことなく実行できる能力は、調査の実際の進め方を変えます。
行動分析。 既知の不正パターンを記述するルールのみに依存するのではなく、次世代SIEMは ユーザーおよびエンティティ行動分析 (UEBA) を組み込み、ユーザー、デバイス、アプリケーション全体で正常な行動のベースラインを確立しました。行動が確立されたパターンから逸脱した場合(例えば、アカウントが通常とは異なる時間に通常とは異なるシステムにアクセスしたり、アプリケーションがこれまで行ったことのないネットワーク呼び出しを行ったりする場合)、プラットフォームは、特定の技術を予測した事前に書かれたルールを必要とせずに、逸脱を検出します。
統合された対応機能。 従来のSIEMはアラートを生成し、アナリストはそれを調査と対応のために他のツールに持ち込んでいました。次世代プラットフォームはSOAR(セキュリティオーケストレーション、自動化、対応)機能を統合し、アカウントの隔離、接続のブロック、チケットの作成など、検出されたイベントに対応して自動化されたプレイブックを実行できるようにし、システム間の手動での引き渡しを不要にしました。
データ取り込みの改善。 次世代プラットフォームは、より広範なコネクタライブラリ、より優れたログ正規化、クラウドサービスやIDプロバイダーとのより緊密な統合を構築しました。現代のデータソースに対するカバレッジは、第一世代のSIEM製品と比較して大幅に改善されました。
次世代SIEMがまだ不十分な点
改善点は注目に値しますが、脅威アクターが進化し続けるにつれて、その限界もまた検討する価値があります。
それは依然として主にログ中心である。 次世代SIEMは取り込みと分析の範囲を拡大しましたが、根本的な運用モデル(ログの収集、イベントの相関付け、アラートの生成)はほぼそのまま残りました。高度な攻撃者はこのモデルに適応しています。正当な管理ツールを悪用するLiving-off-the-land(LoL)技術は、通常の操作とほぼ同じに見えるログアクティビティを生成します。永続性を確立し、適切な瞬間を待つような、ゆっくりとした忍耐強い攻撃は、ルールベースのシステムや行動分析システムでさえ過小評価してしまうようなログシグナルを生成します。
大規模環境ではアラート疲れが続く。 次世代プラットフォームは従来のプラットフォームと比較して誤検知率を低減しましたが、問題は解消されませんでした。現代のSOC環境では、アナリストが十分に調査できる以上の多くのアラートが生成され続けています。環境が拡大するにつれて、アラート量の問題も増大します。
クラウドのカバレッジは依然として不均一です。 次世代SIEMはクラウド統合を改善しましたが、「クラウド互換」と「クラウドネイティブな検知」は異なるものです。クラウド対応のために後付けで改修されたプラットフォームは、多くの現代の攻撃が実際に発生するアプリケーションレベル、IDレベル、SaaSアクティビティよりも、インフラログ(CloudTrail、ネットワークフロー)に対する可視性は高いことが多いです。Oktaテナントのアクティビティ、GitHub組織のイベント、SaaSアプリケーションの監査証跡、サードパーティ統合の挙動に対するカバレッジは、プラットフォームによって大きく異なります。
検知コンテンツの問題は解決されませんでした。 行動分析は静的ルールへの依存を減らしましたが、検知コンテンツには依然としてエンジニアリングへの投資が必要です。行動ベースラインの調整、行動モデルからの誤検知の管理、環境や攻撃者の技術の進化に応じた検知ロジックの更新は継続的な作業です。これは、ルール作成者からデータサイエンティストへと負担の一部を移しましたが、検知を最新の状態に保つための運用コストをなくしたわけではありません。
調査には依然として多くの手作業が必要です。 ほとんどの次世代SIEMプラットフォームはアラートと相関関係を改善しましたが、調査はほとんど手作業のままでした。アナリストは依然として、複数の情報源からコンテキストを収集し、ツール間を行き来し、手作業でタイムラインを構築するのにかなりの時間を費やしています。プラットフォームは何か起こったことを伝えますが、それが何を意味し、何が影響を受け、どう対処すべきかを解明するのは彼らの課題のままです。
次世代SIEMの評価方法
次世代SIEMプラットフォームを評価する際、最もよくある間違いは、機能リストを評価単位として扱うことです。重要なのは、特定の環境における運用パフォーマンスです。
機能ではなく、カバレッジ。 重要なのは、プラットフォームが理論上データソースをサポートしているかどうかだけではなく、その情報源に対する検知品質が実際に意味があるかどうかです。導入を決定する前に、実際のログソースと実際のデータ量でプラットフォームを評価してください。これは特に、カバレッジ品質のばらつきが大きいクラウド、SaaS、ID情報源に当てはまります。
アラートの量よりも、アラートの品質。 アナリストの注意を要する高精度なアラートを1日500件生成するプラットフォームは、品質がまちまちのアラートを5,000件生成するプラットフォームとは異なる運用環境です。真陽性率、誤陽性率、およびプラットフォームが実際の環境で発生するエッジケースをどのように処理するかについて具体的に確認してください。
調査体験。 アナリストがアラートから結論に至るまでにどれくらいの時間がかかりますか?アナリストが他の5つのツールからデータを引き出すことなく、意思決定に必要なコンテキストをプラットフォームが提示できますか?ここが次世代プラットフォーム間の運用上のギャップが最も大きく、アナリストの生産性が左右される点です。
総所有コスト。 インジェストベースの料金モデルは、プラットフォームのコストがログ量に比例することを意味し、ログ量は環境の成長に比例します。複数年契約を結ぶ前に、現在のログ量と将来予測されるログ量におけるコストモデルを理解してください。
次世代SIEMのその先
このカテゴリは進化を続けています。最新世代のセキュリティ運用プラットフォームは、改善されたSIEMを超え、より正確には次のように表現されるものへと移行しています。 AIネイティブSOC 検出とアラートにとどまらず、次世代SIEMでは実現できなかったレベルの自律性で調査、トリアージ、対応を行う運用プラットフォームです。
この違いが重要であるのは、次世代SIEMであろうとなかろうと、あらゆるSIEMの根本的な制約が、検出と対応が最終的にアナリストの時間に依存する点にあるからです。検出にとどまらず、調査とトリアージのワークフローにAIを適用するプラットフォームは、運用モデルをより根本的な方法で変革します。アナリストが調査するためのより良いアラートを生成するのではなく、人間の判断を必要とする作業量を全体的に削減し、定型的なトリアージを自動的に処理し、真にアナリストの注意が必要なケースのみを提示します。
セキュリティチームが、次世代SIEMが適切であるか、あるいは SIEMのリプレース の議論がより理にかなっているかを検討する際、答えるべき問いは、そのプラットフォームがアラート量と調査負担の問題、そして検出品質の問題に対処できるかどうかです。ほとんどのチームが実際に時間を浪費しているのは前者です。
SIEMの高度化
次世代SIEMは、第一世代のSIEMプラットフォームから見て、意義のある進歩でした。クラウドネイティブアーキテクチャ、行動分析、統合された対応機能は、レガシープラットフォームを大規模運用で機能不全に陥らせていた実際の制約に対処しました。
その進歩は十分ではありませんでした。アラート疲労は依然として続き、クラウドのカバレッジは不均一です。調査は依然として主に手動で行われています。そして、 VerizonのDBIRによると脆弱性の悪用が前年比34%増加している脅威の状況は、検出コンテンツチームが追いつけないほど速く変化しています。
5年前に次世代SIEMを評価し、プラットフォームを選択したセキュリティチームは、現在、選択したものがまだ適切であるかどうかを問い直しています。その答えは、プラットフォームが何のために最適化されていたか、環境がどのように変化したか、そして運用上の制約が積み重なり、プラットフォームがイネーブラーではなくボトルネックになっているかどうかにかかっています。
それは定期的に問いかけるべき問いです。
