もし製品の有効性が92%だと聞いたら、それが意図通りに機能していると考えるでしょう。それは成功事例のように思われます。しかし、もう少し深く掘り下げてみると、状況は変わります。自社のセキュリティ情報およびイベント管理(SIEM)が非常に効果的だと答えたのは、わずか51%でした。セキュリティ対策の大部分が、機能はするものの十分な性能を発揮しないツールに依存している場合、それは一体何を意味するのでしょうか?壊れてはいないが、特別優れているわけでもありません。その中間にあります。
ログの流入、アラートの発生、コンプライアンスチェックの間には、ツールが適切に機能することと、脅威を早期に特定することの間にギャップが存在します。
この摩擦は、セキュリティリーダーがツールについてどのように語るかに反映されています。Sumo Logicの2026年セキュリティ運用インサイトレポートによると、回答者の大多数はSIEMを効果的だと評価している一方で、SIEMに高い信頼を寄せている人は少数でした。「機能する」と「十分に機能する」の間のギャップこそが、この議論の焦点です。
有効ゾーンの危険な位置
SIEMは、ログを取り込み、イベントを事前定義されたルールと照合し、アラートを生成し、コンプライアンス要件を満たすように設計されています。ほとんどのSIEMは本来の目的通りに動作しているものの、その基盤となる設計は数十年前のものです。クラウドネイティブアーキテクチャが登場する以前、アイデンティティが主要な攻撃対象領域となる以前、そしてAIを活用した脅威がシグネチャベースの検出を上回る以前に構築されたのです。
本当のリスクは、システムが技術的には機能しているがゆえに対処されない盲点が徐々に蓄積し、それを変更する緊急性が生まれないことです。摩擦は、予測可能な4つのパターンとして現れます。
- リアクティブ検出: SIEMは、すでに検知方法が分かっている脅威を特定するように設計されています。既存のシグネチャに一致しない脅威は検出されません。これはツールが失敗したからではなく、これまで遭遇したことのない脅威を検出するようには設計されていないためです。
- インテリジェントなトリアージなしで増加するアラート量: SIEMはその機能の一部としてアラートを生成しますが、インテリジェントな優先順位付けがないため、アラートキューが過負荷となり、ノイズが増え、応答時間が遅くなります。
- 手動によるコンテキスト構築: 異なるデータソース間でイベントを関連付け、タイムラインを構築し、関連するコンテキストを明らかにするには、多くの場合、手作業が必要となり、多くの環境で非効率を生み出します。
- 運用上の負担: 相関ルールの調整、パーサーの管理、新しいログソースのオンボーディング、脅威状況の変化に伴うコンテンツの更新に、過剰な時間 を費やしています。チームの時間のほとんどは、脅威ハンティング、検出能力の向上、より強固なセキュリティ体制の構築といった積極的なセキュリティ対策に注力するのではなく、SIEMを最新の状態に保つことに費やされています。
これらの要因が組み合わさることで問題が生じます。実務者は日常的に摩擦を経験していても、それをエスカレートさせることはありません。一方、リーダーシップは変化を優先すべきだと判断するだけの明確な兆候を十分に認識できていません。環境がますます複雑化するにつれて、そのギャップは拡大し続けています。
チームが効果的なゾーンにとどまる理由
企業組織の93%が、少なくとも3つのセキュリティ運用ツールを使用しており、45%が6つ以上を使用しています。半数以上、55%が、すでにポイントソリューションが多すぎると答えています。それぞれのツールは特定のギャップを埋めるために導入されましたが、組み合わさると別の問題を生み出します。データのサイロ化、分断されたワークフロー、アラートノイズの増大により、環境全体で何が起きているかを把握することが難しくなります。セキュリティスタックが断片化していると、高性能な SIEM であっても、不完全な情報でしか動作しません。
さらに、ほとんどの組織はセキュリティベンダーの見直しと統合を年に 2 回しか行っておらず、4 分の 1 は年に 1 回しか行っていません。AI 機能、クラウドネイティブアーキテクチャ、攻撃者の戦術が急速に進化している状況において、スタックを年に一度しか見直さないということは、時代遅れの慣行に頼っていることを意味します。
そして、環境がより複雑になるまさにそのタイミングで、セキュリティチームはよりスリムな体制へと移行しつつあります。セキュリティ責任者のうち、現在使用しているツールが効率的なチーム体制を支えられていると考えているのは、わずか 48% にとどまります。こうした状況下では、新しいプラットフォームを評価して移行するために必要なリソースは、たとえ現状維持の方が長期的にはより大きなコストになるとしても、現時点では誰も負担できないコストのように感じられます。
高い成果を上げている組織が他と違って行っていること
データは、効果的なゾーンにとどまっているチームには複合的な 2 つの問題があることを示しており、高いパフォーマンスを発揮しているチームは、その両方に対処するための手を打っています。
1 つ目は、SIEM アーキテクチャ自体です。セキュリティ責任者のうち、AI 機能、統合テレメトリ、拡張性を備えたクラウドネイティブ SIEM を導入しているのは、わずか 37% に過ぎません。大多数は依然として、現代のクラウド環境のデータ量、アプリケーションの複雑さ、攻撃対象領域が存在する以前の時代向けに設計されたハイブリッドシステムまたはレガシーシステムを使用しています。これらのシステムは目に見えて故障しているわけではないかもしれませんが、今日のセキュリティチームが直面する現実に対応できるようには設計されていません。
意図された機能と現在の要件との間のギャップは、構成の問題ではなく、構造上の問題です。そして、これは AI に直接的な影響を及ぼします。基となるデータが断片化していたり不完全であったり、ソース間で一貫して正規化されていなかったりする場合、AI は安定して機能しません。検出ロジックの信頼性は、それに供給されるテレメトリデータの信頼性に依存します。
2 つ目に、SecOps チームと DevOps チーム間の連携は、全体的なパフォーマンスに大きな影響を与えます。これらの領域(共有ツール、ワークフロー、コンテキスト)間で連携している組織は、あらゆる満足度指標において優れた結果を上げる傾向があります。実際、連携の取れているチームでは、82% が SIEM は非常に効果的だと報告しています。
効果的な SIEM から卓越した SIEM へ移行するためには、SecOps と DevOps が同じデータ基盤に基づいて作業すること、そしてその基盤が、現在運用している環境に合わせて構築されていることが非常に重要です。
効果的なものから卓越したものへ
効果的な状態から卓越した状態へ移行するために、セキュリティツールを追加する必要はありません。個別ソリューションが増えると、ノイズが増え、統合作業が増え、予算への負担も増えますが、カバレッジの向上や応答速度の向上にはつながりません。
データは、統合された単一のプラットフォームへの集約を示唆しています。セキュリティリーダーの 87% が、統合されたセキュリティおよび監視ツールによってチームの効率が向上すると考えており、100% が SecOps チームと DevOps チームの両方にとって、ログ、メトリクス、トレースに対する統一的なアプローチに価値があると認識しています。これは、既存の断片化されたセキュリティモデルは持続可能ではないという共通認識を示しています。
しかし、統一プラットフォームは方程式の半分にすぎません。AI-ready SIEM には、AI 統合機能だけでなく、それを支える信頼できるデータが必要です。信頼できるデータがあれば、AI は既知の脅威に対するパターンマッチングの域を超えて機能できます。AI は、異常をより早期に表面化させ、調査のコンテキストを構築するために必要な労力を削減し、アナリストの負担を増やすのではなく軽減できるだけの信頼性で運用できるようになります。それが、AI を単なる機能として捉える場合と、AI を戦力増強の手段として捉える場合の違いです。
卓越した状態へ移行しつつあるチームは、危機感が自然に高まるのを待っているわけではありません。彼らは、セキュリティ運用の中核となるツールへの信頼度が51%しかないことは、基盤ではなくリスクだと認識し始めています。そして彼らはさらに難しい問いを投げかけています。彼らのSIEMは、実際に保護すべき環境に合わせて構築されているのでしょうか?
ほとんどのチームにとって、正直な答えは「そうとは言えません」。しかし、そのギャップは埋められます。
AI対応SOCプラットフォームがどのようなものかをご覧ください。デモを申し込む。
