セキュリティ情報およびイベント管理 (SIEM) プラットフォームは、IT セキュリティ専門家に重要なセキュリティの洞察を提供し、組織環境内のアクティビティの記録を保持します。

セキュリティ管理テクノロジーは長い間存在してきましたが、組織がテクノロジーの進化版である SIEM を選択し始めたのはごく最近のことです。

SIEM とは何ですか?

SIEM は、セキュリティ情報管理 (SIM) システムとセキュリティイベント管理 (SEM) システムを組み合わせたものです。

SIEM プラットフォームはデータの収集、分析、レポートに使用され、SEM プラットフォームはログとイベント データをリアルタイムで分析して脅威レポートとアクティビティ管理に関する洞察を得るために使用されます。

SIEM プラットフォームの人気が高まっている理由

つい最近まで、SIEMプラットフォームは多くの専門家から時代遅れとされていました。以前のバージョンのSIEMは、動作が遅く、導入が難しく、拡張性に欠け、導入には専任の専門家チームが必要だったからです。

さらに、ツールが提供するインサイトは、セキュリティ専門家の観点からは十分な効果を発揮するものではありませんでした。

しかし、現代のSIEMは、組織にもたらされる脅威を検出するだけでなく、対抗するためのインサイトも提供する脅威インテリジェンス分析などの高度な機能によって変革を遂げました。

また、サイバー侵害がどのように発生するか、そしてどのような対応が理想的かを理解するためのインシデント対応機能も備えています。

また、分析、イベント管理、その他の貴重な洞察など、さまざまな機能が統合されているのも、最新のSIEMの特徴です。

さらに、最新のSIEMツールにはビッグデータと高度な分析機能が統合されており、セキュリティ専門家が徹底的な評価を効率的に実施するのに役立ちます。

人気の SIEM プラットフォーム:

Splunk エンタープライズ セキュリティ:

これは、ログ分析とネットワーク管理の両方を組み合わせ、Windows サーバーと Linux サーバーでも動作するため、SIEM ツールの世界的リーダーの 1 つと見なされています。

IBM QRadar:

WindowsおよびLinuxサーバー対応のこのプラットフォームは、攻撃管理と資産プロファイリング機能においても市場をリードする製品の一つです。

LogRhythm Security Intelligence:

このプラットフォームには、AIベースの最先端技術が統合されています。WindowsサーバーとLinuxサーバーの両方に対応しています。

Microfocus ArcSight ESM:

このツールは中規模組織に適しており、Windowsサーバーとの互換性も備えています。

AlienVault USM:

このツールはMac OSとWindowsの両方で動作し、コストパフォーマンスに優れたSIEMツールとして評価されています。

MacAfee ESM:

Mac OSとWindowsで動作し、Active Directoryを介してシステムのセキュリティを確認する機能を備えています。

RSA Netwitness:

このWindowsベースのツールは、大規模な組織に役立ちます。

SplunkとQRadarの差別化要因

SplunkとQRadarはどちらもSIEM業界において優れた製品ですが、過去10年ほどはSplunkが市場を席巻し、Qradarが追い上げている状況です。

以降の段落では、両者の主な違いについて解説します。

互換性

一般的に、IBM Qradar は IBM Watson などの他の IBM 製品と連携して最適化されていることが知られています。一方、Splunk は独立したエンティティとして、システム内の他のコンポーネントと互換性があります。

IBM QRadar は User Behavior Analytics (UBA) などの機能と統合でき、IBM QRadar Cloud Security ツールは Azure、AWS、Office 365 プラットフォームのセキュリティ保護機能も提供します。

Splunk は Splunk User Behavior Analytics (Splunk UBA) ツールと連携して高度なアクティビティ分析を提供します。

また、カスタマイズされた機械学習ツールキットとも容易に統合できるため、異常や脅威パターンに関するより優れた洞察を得ることができます。

アプリケーション

QRadarは多くのエンタープライズ業界や規制が中程度の業界で利用されていますが、Splunkは規制が厳しい業界のほとんどで利用されています。

QRadarは、コアとなるSIEM機能を必要とする中規模から大規模の業界では効果的です。

統合セキュリティプラットフォームを求める企業もQradarを選択していますが、エンドポイントソリューションは機能不足のため、多くの企業に受け入れられていません。

インシデント対応ツールであるIBM ResilientはQRadarプラットフォームにネイティブに統合されていないため、統合するにはプレミアムソリューションを購入する必要があります。

Splunkは高度な分析機能に優れていることで知られており、Splunkbaseアプリストアでは統合サービスや様々なアプリケーションを提供しています。

しかし、導入コストは高額です。SplunkはSIEM機能に特化しているため、高度な脅威検出機能においては競合他社に遅れをとっています。

使用タイプ

QRadar の使用量はイベント数に基づいて計算されます。QRadar は1秒あたり数百万イベントまで拡張可能ですが、Splunk の使用量はバイト単位で計算され、1日あたり数ペタバイトまで拡張可能です。

配信モデル

QRadarはクラウド上にもオンプレミスのハードウェア上にも導入可能です。小規模企業にはIBMクラウド上に導入できる柔軟性を提供し、大規模企業にはオンプレミスのハードウェアシステムに導入できます。

Splunkはプライベートクラウド、パブリッククラウド、さらにはハイブリッドクラウド環境に導入できるだけでなく、オンプレミスのソフトウェアとして、あるいはSplunk Cloudを利用したSaaSソリューションとして実装することも可能です。

Splunkは多くのお客様に選ばれています。

価格

前述のとおり、両プラットフォームの使用量計算は異なる指標に基づいて行われます。そのため、SplunkとQRadarの料金体系も異なります。

IBM QRadarの使用量計算は、1秒あたりのイベント数に基づいて行われます。

オンプレミスソリューションは1年間のサポート付きで10,400ドルから、クラウドベースソリューションは月額800ドルからで、年間支払いとなります。

一方、メモリ使用量が少なくEPS保護の低いモデルであるIBM QRadar Community Editionは無料で提供されます。

Splunkの使用量計算は、バイト単位の使用量とユーザー数に基づいて行われます。Splunk Enterpriseでは、データ容量とユーザー数を無制限に選択できます。

1GBのデータで月額150ドルのプランから始まり、使用量が増えるにつれて割引が適用されます。例えば、1日あたり100GBの場合、月額50ドル/GBとなります。

または、Splunk Light版をお選びいただくと、5ユーザーで1日あたり20GBの容量をご利用いただける年間75ドルのパッケージからお選びいただけます。Splunkの無料版は、1ユーザーで1日あたり500MBのデータ容量が利用できるスターターパックとしてもご利用いただけます。m