2025年のセキュリティ運用インサイト：セキュリティリーダーの4分の3がSIEMに新しいアプローチを求めている

SIEMの変革とセキュリティリーダーが求めるもの

2025年を迎え、デジタルネイティブ化を急いだ多くの組織は、セキュリティを後回しにした結果に直面しています。三つの重なる圧力に直面している：AIによって加速される攻撃、アナリストを圧倒する膨大なクラウドテレメトリ、そして期待が高まる一方で縮小する予算。防御担当者が把握すべき情報と多くのSIEMが可視化する情報の間の乖離は拡大し、アラート疲労、死角、そして急増するストレージ費用を助長しています。本調査は、実務担当者がその負担をどのように感じているか、そしてどの能力がそのギャップを埋めると考えているかに焦点を当てています。

同時に、AIの進歩は脅威の状況を静かに変えつつあるだけでなく、防御側の働き方も変容させています。自動化されたツールにより、攻撃者は手動監視が追いつけない速度で、説得力のあるフィッシングメッセージを生成し、クラウド上の足跡を大規模に探査し、手法を適応させることが可能になりました。一方で、セキュリティチームは、増え続けるログの量を分析し、日常的なノイズを抑制し、重要なシグナルを抽出するために、自前のAI駆動型分析ツールに依存し始めています。この相互加速により、豊富なデータ収集と組み込み型の適応型分析を融合させるよう設計された現代のSIEMソリューションは、あらゆる本格的なセキュリティ戦略の核心に位置づけられます。

従来のSIEMは、今日の膨大なテレメトリの洪水に対応するよう設計されたものではありません。企業は今、セキュリティデータレイクとしても機能するクラウド規模のSIEMを必要としています。このSIEMは、そのデータに高度な検知機能を適用し、すべてのアラートに組み込みの自動化サービス（SOAR）を連携させることで、調査を効率化し、迅速かつ一貫した対応をトリガーします。

本レポートでは、調査結果を検証し、セキュリティリーダーが技術スタックを再評価する理由と手法、SIEM成功の構成要素、そして今後のセキュリティ環境を形作る革新技術について解説します。

なぜ購入者がSIEMとSOARの新たなソリューションに目を向けているのか

調査回答者の34％が、来年度のセキュリティ最優先課題として脅威の検知と対応の強化を挙げています。

この緊急性が、SIEMとSOARが今や一体となった必須要件として機能する理由を説明しています。SIEMは可視性と分析の深さを提供し問題を発見し、SOARはそれらの知見を一貫した迅速な行動へと転換するプレイブックを推進します。チームはますます両者を不可分なものと見なしています。かつては追加機能として扱われていたプラットフォームが、中核機能へと変貌しつつあります。実際、回答者の84％が、将来の複雑な脅威への対応を自動化するために、SIEM内に統合されたSOARが重要または極めて重要であると評価しています。

しかし、強い信頼感さえも顧客を囲い込むことはできません。現在のSIEMが今後3～5年で適応できると「非常に確信している」と答えたリーダーのうち、75％が依然として代替ソリューションを評価中です。これは、今日の検知・対応要件を満たすことが最低限の条件に過ぎず、長期的な忠誠を保証するものではないことを示しています。

リーダーが他を探している理由と、潜在的な解決策をどう評価すべきか、詳しく見ていきましょう。

SIEMスタックを見直す主な4つの理由

セキュリティ責任者が代替ソリューションを検討するよう説得する上で、最も大きな役割を果たす要因は何でしょう？回答者は、自社のSIEMソリューションの将来性に対する信頼度に最も影響を与える4つの主要分野を挙げています。

1.人工知能

セキュリティ責任者の10人中7人が、AIが現在のSIEMソリューションへの信頼度に影響を与えていると回答しており、最も多い回答は30％を占めました。したがって、SIEMソリューションの切り替えを検討している組織のうち、90％がAIが極めて重要または非常に重要であると報告しています。これは、SIEMか代替ソリューションかを問わず、新たなセキュリティソリューションを購入する意思決定においてです。

AIは、より知的なアラートから自動化された対応まで、セキュリティを支援し効率化する膨大な可能性を提供します。

回答者の70％以上がアラート疲労と誤検知に悩まされており、多くの参加者は1日あたり1万件を超えるアラートを受信していると報告しました。当然ながら、ノイズ低減は回答者にとって最優先の改善領域であり、より正確なアラートと効率的な対応のためにAIを活用する必要性が一層切迫しています。

2.クラウドネイティブ

セキュリティリーダーがSIEMソリューションに対する信頼を制限する要因として2番目に多いのは、クラウドネイティブ機能です（38%）。回答者は、スケーラビリティや導入の容易さなどの利点から、クラウドネイティブプラットフォームを好みます。これらの利点は、XDRやスタンドアロンのSOARといった従来のセキュリティオプションと比較すると際立っており、それらはより専門的であったり、適用範囲が限定的であったりする可能性があります。

クラウドネイティブソリューションの主な利点には以下が含まれます：

• 弾性とスケーラビリティ.これらのプラットフォームは、組織のニーズに応じてシームレスにスケールアップまたはスケールダウンでき、多様なソースからの大量データをパフォーマンスの低下なく処理します。この柔軟性により、よりクラウドベースで分散型のアーキテクチャの導入が促進されるでしょう。
• リアルタイム分析と更新.クラウドネイティブのSIEMソリューションは、手動によるパッチ適用やアップグレードを必要とせず、セキュリティ分析と更新をリアルタイムで提供することで、組織が進化する脅威に先んじて対応することを支援します。
• 統合ビュー.クラウドネイティブプラットフォームは、複数のクラウド環境、オンプレミスインフラストラクチャ、およびリモートユーザーからのデータを一箇所に集約し、セキュリティ環境の包括的な視点を提供します。
• シームレスな統合と自動化.Sumo LogicのようなクラウドネイティブのSIEMプラットフォームは、様々なクラウドサービスやプラットフォームと連携可能であり、組織がセキュリティ運用を統合し、対応を自動化することを単一のプラットフォーム内で実現します。

調査結果がこれらの利点を裏付けています。セキュリティ責任者の10人中4人近くが、クラウドネイティブSIEMが実現する俊敏性と包括的なカバレッジを理由に、ソリューションの変更を検討すると回答しています。ソリューションの変更を検討している企業のうち、大多数がクラウドネイティブプラットフォームの評価を行っていると回答しています。

3.イノベーションのペース

セキュリティ責任者の増加する割合——本調査では3分の1以上——が、セキュリティ技術の革新の猛烈なスピードが、現在運用しているSIEMに対する信頼を既に損なっていると述べています。AIは今や、四半期ごとに攻撃手法を塗り替え、コンプライアンス規則もほぼ同じ速さで厳格化し、クラウドサービスは毎週のように新しいログソースを立ち上げています。 そのようなペースで最新の分析や自動化されたプレイブックを取り込めないSIEMは、すぐに資産から負債へと変わってしまいます。

彼らは、このギャップの背後にある3つの加速要因を強調しています：静的なルールセットよりも速く進化するAI搭載の検出メソッド、ほぼ瞬時の封じ込めへの期待を高める自動化フレームワーク、そして短期間での新しい統合を要求し続ける、常に更新されるクラウドスタックです。ベンダーがこれらの変化に歩調を合わせて、更新された行動モデル、検出コンテンツ、およびAPIフックを提供できなければ、防御側は昨日の視点で今日の脅威に対処することになり、これは現代のSOCにとって耐え難いリスクとなります。

4.ソリューション検討時におけるベンダーロックインの役割

機能の無秩序な拡大ではなく、柔軟性こそが現代のセキュリティにおける価値です。新しいSIEMを検討しているチームの約95%が、スタックを再評価する主な理由としてベンダーロックインを挙げています。単一の巨大なスイート製品が取り込み、分析、自動化、および価格設定をコントロールしていると、脅威、予算、アーキテクチャの変化に合わせて方向転換するための影響力を失ってしまいます。カスタムコンテンツ、データスキーマ、ワークフローが独自のツールと絡み合ってしまうと、後からの切り替えは複雑でコストのかかるものになります。 

リスクは経済面にとどまりません。汎用的なベンダーは、迅速なイノベーションよりも（顧客の）維持に最適化する傾向があり、ニッチな攻撃者が日々進化する一方で、漸進的なアップデートしか提供しません。ログ、メトリクス、トレース収集のためのOpenTelemetryなどのオープンスタンダードを採用したポイントソリューションを利用すれば、スタック全体を作り直すことなく新しいデータタイプや検出機能を統合し、歩調を合わせることができます。

SIEMは妥協すべき場所ではありません。セキュリティリーダーがSIEMを「ベスト・オブ・ブリード」への投資として扱うことで、3つの永続的な利点を確保できます：

• 交渉力 — コアを根こそぎ入れ替えることなく、任意のレイヤーを交換または強化できます。
• 継続的なイノベーション — 特化型ベンダーは、検出および対応技術を攻撃者の一歩先に保つことに社運を賭けています。
• 運用の適合性 — チームは、硬直したプラットフォームの前提に従うのではなく、自分たちの環境に合わせてワークフローを調整できます。

要するに、短期的な利便性と引き換えに長期的な制約を強いる「そこそこの」プラットフォームは拒否すべきです。オープンであり続け、組織と共に拡張し、セキュリティがどのように進化するかについての最終決定権を、ベンダーではなく自社のチームに与えてくれるSIEMを選択してください。

これらすべてのニーズを総合すると、現代のセキュリティ運用の次のフェーズが浮かび上がってきます：

データは単に収集されるだけでなく、インテリジェントに接続され、より迅速なインサイト、より情報に基づいた意思決定、およびプロアクティブなセキュリティ管理を促進します。

適切なSIEMの追求

セキュリティリーダーが現在のツールと競合製品を比較検討する中で、SIEMは非常に重要な存在であり続けています。組織は適切なSIEMを選択する必要があります。たとえ現在のソリューションを長期間使い続けている場合でも、あるいは長期間使い続けているからこそ、それは不可欠です。代わりのソリューションを検討していると回答した人の約4分の3（72%）が、現在のソリューションを3年以上使用しています。

新しいSIEMソリューションに多額の予算と時間を投資する前に、企業は次のソリューションが確実にニーズを満たすよう、十分な評価プロセスを経る必要があります。プロセスのガイドとして、以下の5ステップのチェックリストを活用してください：

1. データ収集：適切なログを収集していますか？

ログ収集における課題は、様々な異なるデータソースを正確かつ効率的に集約することです。そのため、SIEM市場への新規参入者の多くは、データの大部分を自社のエンドポイントソリューションのみから取得しています。これでは全体像を見失ってしまいます。

クラウドネイティブなSaaSソリューションは拡張性とスピードを提供し、これらはSIEMのログ収集において最優先事項となるべきです。包括的なソース統合、リアルタイムのデータ取り込み、ログストレージとデータ保持などの機能に注目してください。

2. データ変換：SIEM内でデータはどのように変換されていますか？ 

収集後、SIEMは分析や次のステップのためにデータを使いやすい形式に変換します。データ変換には、正規化、エンリッチメント、および相関分析のプロセスが含まれます。SIEMを評価する際は、正規化の有効性、パフォーマンスと拡張性、コンテキストデータの統合、正確性と関連性、および検出と対応への影響といった要素を考慮してください。

3. 高度な分析：SIEMは高度な分析機能を提供していますか？

ソリューションの価値は、可能な限り多くのデータを検索できる能力にかかっています。多くのソリューションはデータの保持期間を30日間に制限していますが、攻撃の潜伏期間はその3倍に及ぶこともあります。

SIEMソリューションにおける現代の高度な分析機能は、機械学習（ML）を使用して大量のデータを分析し、従来の手法では見逃される可能性のあるパターンを特定します。時間の経過とともに、これらのモデルは新しい脅威パターンに適応し、脅威検出を強化します。

強力なUEBAソリューションは、すべてのユーザー、アセット、およびサービスを継続的にベースライン化します。ピアグルーピングを用いた教師なし機械学習を適用して真の異常を浮き彫りにし、コンテキストが豊富で説明可能なリスクスコアを付加します。そして、オンプレミス、クラウド、およびSaaS環境全体で、検出結果を自動化されたプレイブックに直接転送します。リアルタイムのストリーミング分析のためにログをユニバーサルスキーマに正規化し、関連する異常をMITRE ATT&CKにマッピングされた単一のインサイトに統合し、オープンAPIとサンドボックスでのルールテストをサポートし、モデルを最新に保ちノイズを低減するAI支援の調査機能を提供し、アナリストが真に重要な脅威に集中できるようにする必要があります。

4. 調査：SIEMは効果的な調査機能を提供していますか？

脅威がフラグ立てされた後、SIEMは即座に調査モードに切り替わり、すべてのアラートをリアルタイムの脅威インテリジェンスのコンテキストで補強する必要があります。統合されたフィード（STIX/TAXIIまたはベンダーAPI経由）により、プラットフォームは最新のIOCやMITRE ATT&CKのTTPを内部テレメトリと相関させることができ、アナリストはイベントが世界の攻撃状況のどこに位置づけられ、なぜそれが重要なのかを把握できます。これは現在、実務者が不可欠と見なしている機能です：回答者の85%が、将来の脅威に先んじるために、SIEMにおける標準の脅威インテリジェンス統合を「極めて重要」または「非常に重要」と評価しています。

そのようなエンリッチメントがあれば、ベストプラクティスとなる調査基準は、最初の侵害ポイントの特定、コンテキスト情報と信頼度スコアの階層化、アラートの優先順位付け、SOARによる自動トリアージの実行、および誤検知の大幅な削減へと拡大します。これらはすべて、ハンターが環境全体でより深い検索を行うために必要なTTPレベルの詳細を提供しながら行われます。

5. 対応の促進

カスタマイズ可能なダッシュボード、ロールベースのアクセス制御、レポート作成の自動化、コンプライアンス追跡、インシデント対応ワークフロー、定型タスクの自動化とオーケストレーション（SOAR）、およびインシデント後のレビューといったSIEMの対応機能を評価してください。

サイバーセキュリティの最優先事項

（今後12ヶ月）

34%

脅威検出と対応の強化

19%

インフラの近代化

18%

コンプライアンスの達成

17%

新しいテクノロジーへのセキュリティ拡大

12%

セキュリティを維持しながらのコスト最適化

デジタルの加速とSIEMの未来

これまで見てきたように、ほとんどの企業のセキュリティリーダーは、新しいSIEMソリューションを検討または積極的に追求しており、デジタルトランスフォーメーションがこの移行を後押ししています。次に、SIEMがどのように変化しているか、そして組織が将来成功するために何が必要かを詳しく見ていきましょう。

現代のセキュリティ運用センターのための多様なデータテレメトリ

さまざまな種類の環境から脅威とセキュリティのデータを受け取ることは、デジタルトランスフォーメーションの重要な要素です。したがって、デジタルトランスフォーメーションの一環として、マルチクラウドおよびハイブリッドクラウド環境からのデータソースのサポートがSIEMにとって「極めて重要」または「非常に重要」であると回答した人が90%に達したことは、驚くべきことではありません。

この柔軟性は、現代のインテリジェントなセキュリティ運用の基礎となる機能です。組織は、多様なソースからのテレメトリを収集・管理するという高まるニーズに対し、主に2つの方法で対処できます：

データ収集のためのオープンスタンダードの活用
組織は、OpenTelemetry (OTel) などの最新のデータ収集用オープンスタンダードと互換性のあるSIEMソリューションを優先すべきです。OTelは、ベンダーに依存しないエージェントの新しい事実上の標準となっており、さまざまな環境でログ、メトリクス、トレースを収集できます。この標準は、複数のクラウドプラットフォームからのデータ統合を簡素化し、必要に応じてデータを変換し、複数の宛先にルーティングする柔軟性を提供します。

今後、独自仕様の収集メカニズムでは、現代のクラウド主導型インフラストラクチャのニーズに追いつくことが困難になるでしょう。オープンスタンダードにより、組織はテレメトリ収集を特定のベンダーから切り離し、インフラの進化に合わせて適応性と拡張性を維持できるようになります。

データ正規化による将来を見据えたセキュリティ運用
データのパース、正規化、および共通のスキーマやデータモデルへのマッピングに優れたSIEMソリューションは、多様なソースからのテレメトリを求める企業のニーズをサポートします。さまざまなセキュリティツールから取り込まれた生のログに対して直接検出機能を記述することは、脆弱であり、メンテナンスに多大な労力を要します。あるセキュリティソリューションを別のものに置き換えるには、新しいベンダーのログ形式でルールを書き直す必要があり、これが運用のボトルネックとなります。また、ベンダーごとの微妙なログ形式の違いが相関分析を複雑にします。

データを一貫したスキーマに正規化すれば、基盤となるセキュリティツールやクラウドプロバイダーが変更されても、検出機能を維持・強化できます。このアプローチにより、ベンダーのログ形式に関係なく、SIEMが正規化されたデータを一貫して処理できるため、異なるデータソース間での堅牢な相関分析が維持されます。自社のセキュリティチームの負担を軽減し、進化するデータ形式やセキュリティ課題に対応し続けるために、これらのタスクに対する組み込みサポートを提供するSaaSベースのSIEMプラットフォームを選択すべきです。

回答者は、高度なSIEM機能を十分に活用するための障壁として、トレーニングとスキルのギャップを挙げました。

高まるセキュリティニーズに対応する拡張性

組織が成長し変化するにつれ、そのデータとセキュリティのニーズも増大します。当然のことながら、私たちの調査では、大規模な組織ほど拡張性の問題を頻繁に報告していることが判明しました。他のSIEM機能と比較して、回答者はSIEMの拡張性に対しても全体的な不満を示しています。これらの結果は、柔軟なデータ処理能力の必要性を反映しており、次世代のSIEMを解き放つための拡張性の重要性を物語っています。データは増え続ける一方であり、これは拡張性の重要性も高まり続けることを示しています。

回答者は、ログの取り込みと検索速度については高い満足度を示していますが、統合と拡張性については満足度が低いことを示しています。

拡張性は、Sumo Logicのクラウドネイティブなプラットフォームの中核をなすものです。組織が成長するにつれ、弾力性のあるアーキテクチャがパフォーマンスに影響を与えることなく、増大するログデータ、セキュリティイベント、および分析に合わせてシームレスに拡張されます。オートスケール機能により、データの量に関係なく、お客様は一貫した信頼性の高いパフォーマンスを享受できます。

この柔軟性は、Sumo Logicの成長に合わせた課金（pay-as-you-grow）モデルにより、管理可能なコストで実現されます。データが拡張され要件が変動しても、組織は必要な容量に対してのみ支払えば済みます。

高度な分析

高度な分析は、現代のSIEMソリューションにおいてプロアクティブな脅威検出を可能にするために不可欠な機能です。回答者の4分の3が、将来のセキュリティ異常をプロアクティブに特定するためにSIEMにUEBAを搭載することが、「極めて重要」または「非常に重要」であると報告しています。この傾向は、業界や企業の規模を問わず当てはまります。

Sumo LogicはUEBAを重要なレイヤーとして活用しています。プラットフォームは、環境内のユーザー、デバイス、およびアプリケーションの動作を継続的に監視・分析します。Sumo LogicのUEBAは、内部攻撃、侵害されたアカウント、または高度な持続的脅威（APT）などの潜在的なセキュリティ脅威を示す可能性のある、正常な動作からの微妙な逸脱を検出できます。

MLアルゴリズムは、通常のユーザー活動をベースライン化し、不自然な時間帯の機密ファイルへのアクセスやセキュリティプロトコルのバイパスの試行といった異常なパターンにフラグを立てるのを支援します。Sumo Logicのお客様は、シグネチャベースやルールベースの検出方法では見逃されてしまうような異常に対して、それらが深刻な侵害へと発展する前に早期警告を受け取ることができます。

これがSIEMの未来であり、これらの機能によって組織は自社のセキュリティ戦略に自信を持って前進することができます。

SIEMにおける新たな技術革新と投資.

セキュリティ環境は良くも悪くも変化しています。サイバー脅威が巧妙化する一方で、それらの脅威に対応するテクノロジーも同様に進化しています。ここでは、SIEMに対する2つの主要なイノベーションとアプローチが企業の投資の方向性をどのように変えているか、そしてSumo Logicがどのようにその両方を可能にしているかを紹介します。

AIと自動化がSIEM投資をどのように形成しているか

次世代のSIEMを積極的に探している企業は、セキュリティ分野における人工知能の最先端にいる可能性が高いでしょう。

アラート疲れにより、バイヤーは単なるログ収集ツールではなく、AIの共同アナリストのように動作するプラットフォームを求めています。調査から得られた最も強力なシグナルは明白です。回答者は、将来のより複雑な脅威に対処するために、SIEM内部に統合された自動化レイヤー（SOAR）が不可欠であると述べています。自分の言葉で語れば、彼らが求めているのは、リアルタイムでイベントを相関させ、なぜそれが重要なのかを説明し、最初の修復ステップを自動的に開始するシステムです。これにより、人間のアナリストはすべての調査を数手先から始めることができます。

新興テクノロジー、特にLLMとAIは、次世代SIEMにおいて完全な代替となるのではなく、補完的な役割を果たします。LLMは前例のない規模でテキストデータを分析できるため、AI搭載のSIEMは膨大な量のセキュリティデータを効率的に処理し、より高い精度で脅威を検出できます。

その結果は？
セキュリティチームを圧倒することなく、より洗練された脅威検出、パターン認識、および異常検出を実現します。回答者が、脅威検出の精度とリアルタイムの対応能力の実現が最優先事項であると答えている中、この進歩はこれ以上ないほどタイムリーなものです。

AI搭載SIEMの進展

ステージ1：運用の自動化（今日のベースライン）

最も成熟したSOCは、ログの正規化、相関分析、エンリッチメント、チケット作成、さらにはアカウントの無効化やホストの隔離といった基本的な封じ込めアクションなど、検出と対応の大部分をすでに自動化しています。ビジネスケースは明快です。膨大な誤検知を削減し、時間単位ではなく分単位の平均対応時間を実現し、アナリストを繰り返しの単純作業から解放することです。2025年の予算は、ルールベースのロジックと軽量な機械学習モデルを組み合わせて重複アラートを抑制し、イベントをMITRE ATT&CKにマッピングし、組み込みの自動化サービス（SOAR）を介してプレイブックを実行するテクノロジーへと引き続き投入されます。このステージのチームは、アラート量の削減、インシデントごとのアナリストの対応時間の短縮、およびエスカレーションなしでより多くのインシデントをクローズすることに焦点を当てています。

ステージ2：アナリスト支援AI（近期的優位性）
次の飛躍は、静的なプレイブックを、リアルタイムで調査をガイドするより深いAIに置き換えることです。自然言語による要約、教師なしの異常検出、ピアグループ分析、およびコンテキストに基づくリスクスコアリングが融合し、生のイベントストリームの代わりに「なぜこれが重要なのか」というナラティブをアナリストに提供します。これらのモデルはログと脅威インテリジェンスのフィード全体を自動的に横断し、キルチェーンの進行を強調し、次に最適なクエリを提案します。複雑なパターンを平易な言葉に翻訳し、ワンクリックでの検索（ハント）を提供することで、AIは認知負荷を軽減し、トリアージを加速させます。そして、かつてはシニアレベルの専門知識を必要としたケースに、ティア1アナリストが効果的に取り組めるよう引き上げます。この段階にある組織は、誤検知率の低下に伴い、調査滞留時間の短縮、アナリストの生産性向上、およびインシデント精度の向上を強調します。

ステージ3：組織に最適化されたインテリジェンス（戦略的差別化要因）
究極の成熟は、セキュリティチームが自社のテレメトリ、ビジネスロジック、および過去のインシデントデータに基づいて、ドメイン固有の言語モデルや行動モデルをトレーニングしたときに訪れます。これらのカスタマイズされたモデルは、カスタムSaaSアプリ、業界の規制、内部リスクプロファイルといった組織独自の攻撃対象領域（アタックサーフェス）を学習します。これにより、起こりうる侵入経路を予測し、ビジネスへの影響に基づいて異常をスコアリングし、内部ワークフローに沿った対策を推奨することができます。新しいデータによる継続的なファインチューニングがフィードバックループを完成させ、残りのエッジケースを自動化し、微妙なラテラルムーブメント（横展開）を暴き、完全にカスタマイズされた対応シーケンスをオーケストレートします。このレベルにおける成果は、プロアクティブなリスク軽減です。被害が発生する前に斬新な手法をブロックし、防御側に攻撃者の動向に基づいた永続的なセキュリティ上の優位性を与えます。

Sumo Logicがどのようにお役に立てるか、そしてどこに投資すべきか。
回答者の10人中8人が、現在のSIEMソリューションはAI駆動の分析を効果的に活用し、将来の脅威を予測・緩和していることに同意しています。しかし、さらなる成長のための大きな機会があります。 

組織はどのようなAI駆動の分析に注目すべきでしょうか？まず、エンティティ中心の検出を探すべきです。関心のあるイベントがユーザーアカウント、非人間サービスアカウント、あるいはシステムのいずれから発生したものであっても、その有効性を高めるには、攻撃のライフサイクルやキルチェーン全体にわたって、これらのイベントを特定のエンティティに関連付ける必要があります。これにより、アナリストは何がいつ起きたのかを把握できるようになります。レガシーなソリューションはこの視点の提供に依然として苦労していますが、AIはより精度の高いアラートと低い誤検知率を実現するために、異常検出をさらに前進させ続けるでしょう。

セキュリティリーダーは、すでに述べた予測脅威モデリング、自動インシデント対応から、誤検知の削減、脅威インテリジェンスの統合に至るまで、AI駆動の機能と成果にも注目すべきです。

検出エンジニアリングがセキュリティをリアクティブからプロアクティブへと変える

検出エンジニアリングは、脅威の検出と対応における精度、自動化、および適応性を中心に展開されます。進化する脅威の状況を考慮し、Sumo Logicは検出エンジニアリングを、セキュリティチームが検出機能を微調整し、ノイズを減らし、コンテキストの認識を高めることを可能にする、構造化された反復プロセスであると考えています。

Sumo Logicのアプローチは以下の通りです：

1.ログ優先のアプローチ
検出エンジニアリングは、クラウド環境、オンプレミスのインフラストラクチャ、およびSaaSアプリケーションからの包括的なログ収集から始まります。

ログを正規化しエンリッチ化することで、セキュリティチームは実用的なシグナルを抽出することができます。

2.AI駆動型分析と相関分析
Sumo Logicは機械学習を適用し、パターン、異常、潜在的な脅威を検出します。 

行動分析とUEBAは、正常な活動と不審な活動を区別するのに役立ちます。

3.クラウドネイティブSIEMによるアジャイルなルール開発
カスタムルールの作成により、チームは特定の脅威モデルに合致する検知を定義できます。

セキュリティチームは、実際の攻撃データに基づいて検知ロジックを反復的に改善できます。 

クラウドネイティブアーキテクチャは、運用上のオーバーヘッドなしにルールの迅速なデプロイと更新を保証します。

4.自動化によるノイズ削減
相関分析と抑制により誤検知を減らし、精度の高いアラートを浮かび上がらせます。

エンティティ中心の検知は、ユーザー、エンドポイント、アプリケーション全体にわたるシグナルを集約し、文脈を考慮した検知を実現します。

AI支援による調査は、アナリストがアラートをより迅速に理解し、対応できるよう支援します。

5.脅威インテリジェンスの統合
Sumo Logicは複数の脅威インテリジェンスフィードを取り込み、最新のIOC（侵害指標）を活用して検知範囲を強化します。

検知結果は文脈を持つ脅威インテリジェンスによって自動的に強化され、対応の優先順位付けが可能になります。

これらの取り組みにより、検知エンジニアリングを循環型プロセスとして確立できます。アナリストはフィードをテスト・検証しながら、より優れたルールやシグナルを構築していきます。

Sumo Logicが支える次世代インテリジェントSecOps

インテリジェントSecOpsへの投資により、企業は脅威発生時だけでなく、開発プロセス全体を通じてサイバーセキュリティを考慮できるようになります。これはスピードと俊敏性をセキュリティと融合させ、従来型セキュリティモデルのボトルネックを軽減します。

Sumo LogicのCloud SIEMは、従来のサイロを打破する統合プラットフォームを提供し、これら3つのチーム間のコラボレーションを促進します。このプラットフォームはクラウドおよびオンプレミス環境全体にわたるリアルタイムの可観測性を提供し、すべてのチームが同じセキュリティインサイトにアクセスできるようにします。

Sumo Logicは以下の機能を通じてコラボレーションを促進します。

統合されたカスタマイズ可能なダッシュボード。すべてのチームが同一のデータソースから、それぞれに必要な異なるインサイトを得られます。調査回答者はこれらの機能の重要性を強調しており、SIEMにおけるさらなるダッシュボードのカスタマイズ性やレポート機能の充実を求めています。

継続的な監視とログ管理。チームは同一プラットフォーム上でセキュリティイベントとアプリケーション性能ログを監視し、開発中およびデプロイ後も協力してアプリケーションを保護できます。

自動化されたワークフローとプレイブック。Sumo Logicは、開発パイプラインにセキュリティチェックを組み込んだ自動化ワークフローの作成を可能にします。その結果、本番環境に到達する前に脆弱性へ対処できる、DevSecOpsを支えるセキュリティ・バイ・デザインのアプローチが実現します。

インテリジェントSecOpsは、より能動的で高度なセキュリティアプローチへの道を切り開きます。Sumo Logicはログ、メトリクス、セキュリティ分析を統合し、DevSecOpsのコラボレーションを可能にするとともに、モダンなクラウドネイティブ環境を保護します。

SIEMのROIを現状維持から卓越したレベルへ

SIEMソリューションのROIを「良い」と評価した回答者は全体の半数に過ぎません。セキュリティチームには、より効果的に業務を行うための機能が求められています。

アラート過多を切り抜け、本当に重要なインシデントだけを浮かび上がらせる強力な相関分析。

反復作業を排除し、アナリストが価値の高い業務に集中できる自動化。

これらの機能を備えたSIEMは、燃え尽き症候群を防ぎ、人材のモチベーションを維持し、セキュリティチームをヒーローにします。チームを強化し、ビジネスを守ることで、投資価値を証明してください。

拡張性と適応性を備えたクラウドネイティブプラットフォームによるサイバーセキュリティに投資し、デモを予約して、必要なときに組織を守るプロアクティブな監視をご確認ください。

調査方法

Sumo Logic は、独立系市場調査機関である UserEvidence に委託し、2025 Security operations insights 調査を実施しました。

調査の回答者はどのような人々ですか？

本調査は、エンタープライズ組織の500名以上のITおよびセキュリティリーダーを対象に行われました。

回答者の組織規模の内訳は、4割が従業員数1,000名以下、3割が1,001名〜5,000名、残り3割が5,000名以上です。

回答者の4分の3はITセクターの組織に所属しており、次いで製造業が7％、金融サービスが5％、小売業が4％となっています。

回答者は主にセキュリティのリーダー職を務めており、半数以上がITディレクターまたはセキュリティマネージャー（33％）、あるいは情報セキュリティマネージャー（21％）です。その他の主な役職には、セキュリティエンジニア（8％）、最高セキュリティ責任者（CSO）（7％）、チーフセキュリティアーキテクト（4％）が含まれます。

デジタルトランスフォーメーションの過程において、半数（49％）がハイブリッド（SaaS）アプローチを採用しており、24％がクラウド移行中、11％がレガシーアーキテクチャを使用してクラウドに移行済みです。

UserEvidence

UserEvidence は、B2Bテクノロジー企業が業界の実務者から独自の調査コンテンツを作成するのを支援するソフトウェア企業であり、独立したリサーチパートナーです。UserEvidence が完了したすべての調査は、以下のリサーチ原則に従って検証され、本物であることが保証されています：本人確認、有意性と代表性、品質と独立性、および透明性。UserEvidence のすべての調査は、クライアントからの干渉、偏見、または意図的な操作（スピン）のない、実際のユーザーのフィードバックに基づいています。

UserEvidence リサーチ原則

これらの原則は、UserEvidence におけるすべての調査活動の指針となります。それは、Customer Evidence サービスにおいてベンダーのユーザーと協力する場合でも、Research Content サービスにおいて特定の分野の業界実務者を対象とする場合でも同様です。これらの原則の目的は、ベンダーによる干渉、偏見、意図的な操作がなく、実際のユーザーのフィードバックに基づいた、本物で検証済みの調査結果であるという信頼と確信を買い手に与えることです。

原則 1 — 本人確認
UserEvidence は、実施するすべての調査において、参加者が（Customer Evidence の場合は）ベンダーの実際のユーザーであること、または（Research Content の場合は）業界の実務者であることを独自に検証します。私たちは、企業のメール ドメイン検証を含む、さまざまな人的およびアルゴリズムによる検証メカニズムを使用しています（これにより、ベンダーが肯定的なレビューを投稿するためだけに17個の Gmail アドレスを作成するといった行為を防ぐことができます）。

原則 2 — 有意性と代表性
UserEvidence は、ユーザーの成功（あるいは不成功）を誠実かつ完全に表現することによって信頼が築かれると信じています。私たちは調査において統計的な有意性を追求し、分析に対する信頼性を高めるために、大規模で代表的なユーザー回答のセットによって調査結果を実証します。私たちは、業界、年次、ペルソナを超えた多様なユーザーを網羅することを目指しています。これにより、ベンダーが選んだ一部の満足している顧客だけでなく、利用状況の全体像を提供し、買い手が自分のセグメントに属する他のユーザーからの関連データを見つけられるようにします。

原則 3 — 品質と独立性
UserEvidence は、常に高品質で独立した調査を行うことに尽力しています。これは、正確で実質的な回答を引き出すための、調査およびアンケート設計というリサーチプロセスの開始段階から始まります。私たちは調査設計における偏見を減らすことを目指しており、可能な限り大規模な回答者サンプルサイズを使用します。UserEvidence は調査の実施に対してベンダーから報酬を受け取りますが、信頼こそが私たちのビジネスであり最優先事項です。ベンダーが結果（たとえそれが不利なものであっても）を変更したり、影響を与えたり、不当に伝えたりすることをいかなる時も許可しません。

原則 4 — 透明性
私たちは、調査がブラックボックスの中で行われるべきではないと考えています。透明性のために、すべての UserEvidence の調査には統計的な N 数（回答者数）が含まれており、買い手は任意の統計、チャート、または調査に関連付けられた、基礎となる匿名化（個人特定不可）された生データと回答を確認できます。UserEvidence は、クライアントが調査を活用する際のために、調査方法やサンプルサイズの共有に関するガイドラインを含む、明確な引用ガイドラインを提供しています。