The Death of the SIEM: Why Modern Security Demands a New Data Strategy
2026/03/31 InfoSecurity — いまから 20 年ほど前に SIEM (Security Information and Event Management) は、コンプライアンスを目的とするログ保存のためのツールとして定義/設計された。しかし、脅威環境の進化に伴い、これらのレガシー・システムは、現代のサイバー・セキュリティ要件に追従できなくなっている。
AI によりサイバー攻撃の速度が上がり規模が拡大したことで、脅威の環境は完全に変化した。この状況において要求されるのは、網羅的な可視性だけでなく、即時性を伴う可視性である。AI ベース攻撃は、秒単位から分単位で発生するため、中央集約型のデータ環境では対応できない。それと同時に、AI 駆動の脅威は膨大なデータ量を生み出しているため、従来の設計による SIEM の料金モデルでは、この規模に対応できない。
ここでいう “死” が意味するのは、SIEM 技術そのものではなく、業界が長年にわたり依存してきた旧来の中央集約型アプローチの終焉である。フェデレーテッド・データの戦略を採用する、クラウド・フレンドリーで柔軟なアーキテクチャを採用する組織は、AI 駆動のサイバー脅威の速度に対応できるだろう。
レガシー SIEM が限界に達している理由
現代のセキュリティは、きわめて強力なデータ基盤を必要とするが、本来の SIEM の設計は、その用途に向いていない。さらに、旧来の料金モデルとデータ取り込みのモデルにより制約が強化されるため、レガシー SIEM からの移行を加速している。歴史的に見て、高度な分析は SIEM 外部で実行されることが多く、セキュリティ・チームは追加プラットフォーム管理を強いられている。
SIEM における制約は、3 つの形で顕在化している。第一に、従来の SIEM は技術制限/性能ボトルネック/ベンダーライセンスコストにより、ログ取り込み量に制限が課されている。第二に、データ量課金モデルにより、組織は増大するデータへのアクセスおよび分析のためにコスト増大を強いられている。第三に、GDPR による欧州のデータレジデンシー要件や米国ローカル規制などにより、複数 SIEM 展開が必要となり、コストと複雑性が増大している。
根本的な問題は、検知のためにデータを集約するという、レガシー SIEM の設計にある。AI による脅威が増大している現代のセキュリティでは、その逆が求められる。
フェデレーテッドでクラウド・ネイティブなセキュリティ・アーキテクチャを促進する要因
2019 年以降においてセキュリティ予算は縮小しているが、コスト削減とセキュリティ維持の両立が求められている。従来の SIEM は中小規模の組織では有効であるが、大規模エンタープライズではマルチクラウド/マルチリージョン/多様な規制環境により中央集約が機能しない。
AI による脅威とデータ量の増加が、これらの問題を増幅する。さらに、ディープフェイクのような新たなリスクは従来のログを生成しないため、単純なログ監視は機能しなくなり、より広範なテクノロジー・リスク管理への移行が必要となっている。これらの変化が促進する、フェデレーテッドかつクラウドネイティブなデータ戦略への移行は、リアルタイムな防御のためのものだ。
レガシー SIEM からの移行における障壁と考慮事項
数多くの組織が、プラットフォームの移行を躊躇する最大の要因は、現状のサービスが自社のセキュリティ運用に組み込まれているからである。多くのケースにおいて、長期戦略の再評価は行われず、ライセンスが自動的に更新されていく。
長年にわたる SIEM の運用により、その上に検知ルール/ワークフロー/統合が構築されているため、移行のための再設計が必要となる。しかし、セキュリティ・チームは人員や時間不足により対応困難である。
セキュリティデータ戦略の評価のための問いかけ
衰退していくであろう SIEM 戦略の代替は、データを中央へ集約するのではなく、存在する場所で評価するフェデレーテッド・データモデルである。それは、セキュリティ・データレイクやクラウドネイティブなクエリフェデレーションを活用し、データを移動せずに分析するアプローチである。
セキュリティ・リーダーにとって必要なことは、移行を検討する前に、現行の戦略を厳格に評価することである。以下の観点が重要となる:
- 全環境のログおよびセキュリティ・データに対する完全な可視性を持っているだろうか?
- どこに、内部システム/リージョン/クラウド間のギャップが存在するのだろうか?
- 現在のログ戦略は組織の成長に対応可能だろうか?
- 検知要件とコンプライアンス要件は、どのように異なるのか?
- 現時点で、セキュリティ・データはどこに存在するのか。中央集約か分散か?
- データスケールに関する課題は何なのか?
- データ量増加/AI 脅威/インフラ拡張が、ログと監視に及ぼす影響は?
- 現在の SIEM およびデータ取り込みのモデルは、将来にわたり持続可能か?
今後の展望:従来の SIEM を超えるセキュリティ
レガシー SIEM は消滅するわけではないが、その中央集約型のモデルと、取り込み依存型のモデルは、大規模エンタープライズの主要戦略としてはもはや成立しない。データを検知のために集約するのではなく、検知をデータの側へ移動させることで、セキュリティ可視性のアプローチは根本から再構築される。
AI 駆動の脅威により高速での対応が求められる時代において、組織にとって必要となるのは、柔軟でクラウド・フレンドリーなデータ・アーキテクチャの採用による、可視性向上/コスト削減/脅威管理の強化である。
訳者後書:長年にわたりセキュリティ運用の中心だった SIEM (Security Information and Event Management) が、現代の脅威に対して限界を迎えている理由と、その構造的な原因について解説する記事です。この問題の背景にあるのは、20 年以上前に設計された ” データを一箇所に集めてから分析する” という 中央集約型 のアプローチが、AI により加速された現代の攻撃スピードと爆発的なデータ量に追いつけなくなっている現状です。
従来の SIEM では、ログを取り込む量に応じてライセンス費用が増大するため、予算の都合で一部のログを捨てざるを得ず、結果として監視の死角が生まれていました。 また、クラウドやマルチリージョンへとインフラが広がる中で、すべてのデータを中央に転送する処理自体がボトルネックとなり、秒単位で進行する AI 駆動の攻撃に対する、リアルタイムな防御が困難になっています。
これからの主流となるのは、データを移動させずに、その場所で分析する、” フェデレーテッド (分散型) データモデル” にあると、この記事は指摘しています。データを検知のために集約するのではなく、検知の仕組みをデータの側へ移動させることで、コストを抑えながら環境全体の可視性を高めることができると主張しています。
よろしければ、2026/03/28 の「Anthropic Mythos の衝撃:サイバー・セキュリティ関連株が軒並み急落」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.