CrowdStrike SIEM市場激変にAI支援で備える
いつもご覧いただきありがとうございます。
この記事は、2024年10月5日のSDxCentralの以下の記事を意訳したものになります。意訳後に記事に関する考察を述べています。
CrowdStrike SIEM ready for market upheaval, AI help
CrowdStrike、SIEM市場の変革に備え、AI支援
CrowdStrike、SIEM市場の変革に備え、AI支援
CrowdStrikeは、セキュリティ情報とイベント管理(SIEM)市場に対し、最近の市場の変革にもかかわらず、引き続き強力な立場を保持しています。この変革は、より広範に適用可能な拡張検知および対応(XDR)プラットフォームに新たな機会をもたらしています。
SIEM市場は、今年の年初と比べて大きく状況が変わっています。
Ciscoが、280億ドル(約4兆1600億円)でSplunkを買収し、その取引を活用して全体的なビジネスの方向性を再構築しました。LogRhythmとExabeamは、SIEMとユーザーおよびエンティティの行動分析(UEBA)を統合し、Palo Alto Networksは、IBMのQRadar資産を買収しました。
CrowdStrikeのSIEM担当リーダー、Ajit Sancheti氏はSDxCentralのインタビューで、これらの動きがCrowdStrikeに新たなチャンスをもたらしていると語りました。
「SIEM市場には多くの混乱が起きています。過去6~9か月で、企業が買収されたり、合併したり、資産が売却されたりしています。そのため、顧客は『自分のSIEMを見直さなければならない』と考え、我々のビジネスは加速しています。大企業は慎重なステップを踏んでいますが、中小企業にとっては簡単な決断でした」とSancheti氏は述べました。
ガートナーも最近のSIEM市場の四半期報告書の中で、この動きを反映しています。
「ガートナーは、SIEM市場が外部の力によって混乱し、顧客がSIEMの役割と最適な技術選択を再考する状況にある証拠を確認しました」と同社は最新のSIEMマジック・クアドラント報告書で述べています。
ガートナーによると、SIEM市場は2022年の売上高50億3000万ドル(約7,480億円)から2023年には57億ドル(約8,470億円)に成長し、13%の年間成長率を記録しました。しかし、2021年から2022年の22%の成長率と比べると減速しており、SIEM市場はガートナーの「2023年セキュリティ運用ハイプサイクル」報告書で「生産性の安定期(Plateau of Productivity)」に位置づけられています。
XDRとSIEMの頭文字戦争?
この市場での議論を巻き起こしているのが、XDRに関連する継続的な推進です。
Forresterの主任アナリスト、Allie Mellen氏は最近の報告書で「多くのXDRプロバイダーは、顧客がSIEMを置き換えるビジョンを実現し始められるほどの統合と製品能力に達しています。ただし、XDRは、コンプライアンス、統合検索、カスタマイズ性が強いニッチなSIEM用途にはまだ競争できません」と説明しました。
「XDR市場は、SIEM市場を大幅に強化し、場合によっては完全に置き換える可能性を示す最初の市場です」とMellen氏は付け加えました。「SIEMコストを削減し、検知力を強化し、アナリストの体験を向上させるための大きな変化が期待されています」
Sancheti氏の見解では、XDRは、CrowdStrikeの他のサイバーセキュリティセグメントに吸収されました。
「XDRは、AIネイティブのセキュリティオペレーションセンター(SOC)に吸収されました。顧客にはXDRによる検知が好きな人もいましたが、カスタマイズされた検知やカスタムデータソースが必要だと言う人も多く、XDRでは対応が難しかったのです。そこで、次世代SIEMに完全に統合されました」とSancheti氏は述べました。
Forresterの最新のXDR Wave報告書では、CrowdStrikeはMicrosoftやPalo Alto Networksと並んでセグメントリーダーとして評価され、最新のRaptorアップデートにより、XDR市場での勝利が期待されています。
AIによるセキュリティアナリスト支援
Sancheti氏は、CrowdStrikeのコアプラットフォーム「Falcon」のAI機能強化に特に興奮しています。これには、データセットの自動解析、検知エンジニアリング、セキュリティオーケストレーション、オートメーション、およびレスポンス(SOAR)のサポートが含まれます。
しかし、これらはAIをプラットフォームに統合するための最初のステップに過ぎません。
「もっと多くのコンテンツ関連のルールや、企業がすぐに活用できるものを提供し、企業がすぐに価値を引き出せるようにするのが目標です」とSancheti氏は説明しました。
また、組み込みのSOAR機能の現在の採用をさらに拡大し、ユーザーがカスタマイズできるデータソースを統合する方法についても言及しました。
「最終的な目標は、セキュリティアナリストの体験を革新することです。彼らが高付加価値な作業を迅速かつ自信を持って行い、企業をよりよく保護できるようにすることです」とSancheti氏はAIに焦点を当てた取り組みについて述べました。
以上が、SDxCentral の記事の意訳になります。
この記事に関する考察
以前の、SIEMとXDRについて記事は以下になります。
サイバーセキュリティ分野では、単に道具である"SIEM/SOAR"はすでに役割を終え、今後はより目的に近い"XDR"へ進んでいます。
IBMが、SIEM/SOAR市場を放棄し、QraderをPalo Alto Networksに売却しました。
SEIMメーカであるLogRhythmとExabeamは、合併を計画しています。
Ciscoは、大手SIEMメーカの Splunk を買収し、Spulunk SIEMをXDRとして統合することを発表しています。
一方で、エンドポイントセキュリティが、オンプレミスからクラウド(サービス)へ移行した際に、老舗のMcAfee(現:Trellix)、Symantec、Sophosなどは事業転換に失敗し急速に失速し、その代わりに、CrowdStrike、Microsoft、SentinelOne、Cybereasonが市場シェアを獲得しました。
※7/19のCrowdStrikeのブルースクリーン障害で今後シェアは変わってくると思いますが。
また、ネットワーク・セキュリティ分野でも、オンプレミスからクラウド(サービス)へ移行、つまりSASE(Secure Access Service Edge)が進んでおり、通信キャリア(テレコ)はもちろんのこと、Fortinet、Juniper Networks、Cisco、HPE(Aruba)などが事業転換に失敗し、その代わりに、Palo Alto Networks、Cato Networks、NetskopeがSASE市場シェアを獲得しています。
つまり現在は、以下の3方向からXDR進化が進んでいます。
1. SEIM/SOARから、XDRへ進化する
2. エンドポイントセキュリティ(EPP/EDR)から、XDRへ進化する
3. SASEから、XDRへ進化する
これ以外に、クラウドセキュリティ(CNAPP)分野からXDRもあります。
XDR(Extended Detection and Response)は、サイバー攻撃や不正アクセスなどの脅威を検知して対処するテクノロジーです。
エンドポイントやサーバー、ネットワーク、セキュリティ(Firewall/IPS)、クラウド、アプリケーションなど複数のデータソースから収集したデータを収集・分析し、統合的に監視・管理し、高度な脅威検出と自動化された対応機能を提供するものになります。
1.のSEIM/SOARから進化するXDRは、単に"器"を提供するものであって、もともとのデータソースはありません。そのため、あらゆるものと容易に連携が行えることと、統合検索を始めとする、カスタマイズ性が高いことが求められます。あとは、コスト(ログ保管)になります。
2.のエンドポイントセキュリティ(EPP/EDR)から進化するXDRは、EPP/EDR自体がデータソースとなり、3.のSASEから進化するXDRは、ネットワーク、セキュリティ(Firewall、IPS、アンチマルウェア、SWG等)がデータソースとなります。
2.3.はもともとの自身のデータソースがあるため、自身が保有していないデータソースとの連携の容易さが重要になります。
もともとのデータソースがあるため、SIEMと比較すると、連携されたデータソースとの統合検索が求められ、されにカスタマイズの柔軟性が求められることになります。あとは、もちろんコスト(ログ保管)です。
そして、IT人材不足、特に高度セキュリティ人材不足が深刻な状況のため、AIによるセキュリティアナリスト支援は欠かせません。
複数のデータソースから収集したデータを収集した後、統合的な分析を行い、最新の攻撃方法を含めた高度な脅威検出を行えること。また、検出された脅威と同様のログが(過去を含めて)存在するのであれば、自動的に、セキュリティアナリストへ通知するなどが、AIに求められる機能になります。
最終的にはAIによる脅威の自動排除・修復まで行うことが理想であるため、AIへ積極的に投資しているXDRを選択することが必須であると言えます。
以上となります。