【警告】54％の脅威を見逃す…？ 限界迎えた「旧式SIEM」とSOC変革の全貌

　ある調査によれば、多くの企業が平均で2つ以上のセキュリティ情報およびイベント管理（SIEM）システムを運用しているという。これは、クラウド移行の過程でオンプレミス用とクラウド用のツールが乱立したり、合併・買収によって異なるシステムを引き継いだりした結果だ。しかし、こうしたツールの乱立が、かえってセキュリティ・オペレーション・センター（SOC）の疲弊を招いている。

　異なるシステムから発せられる膨大なアラートの海を前に、分析担当者は優先順位付けに追われ、本来注力すべき脅威の分析や対応が後手に回る。

　実際、セキュリティチームが1日のうちに調査しきれないアラートの割合は、2023年には54%に達したというデータもある。これは、セキュリティ投資を行っているにもかかわらず、その半数以上が有効に機能していない可能性を示唆しており、極めて深刻な事態だ。

　この問題の根源には、2000年代初頭に設計された従来型SIEMの構造的な限界がある。クラウドネイティブな環境を想定していないため、クラウド上の膨大なデータをオンプレミスのSIEMに集約する「バックホール」方式は、高額なコストと通信遅延の問題を引き起こし、ほとんどのケースで現実的ではない。

　結果として、オンプレミスとクラウドでセキュリティ監視が分断され、組織全体の脅威を統合的に把握することが困難になっているのだ。

　もはや、対症療法的なツールの追加や人員の増強では、この構造的な課題を解決することはできない。求められているのは、オンプレミスとクラウドの双方をシームレスに監視・分析できる、次世代のセキュリティ分析基盤への抜本的な移行である。では、どうすればよいのか？