SIEM（シーム・Security Information and Event Management）市場では最近、大変動が起きている。SIEMよりも適用できる領域が広いXDR（Extended Detection and Response）で機会が広がっているのだ。その中で、米クラウドストライクはあくまでもSIEMを支持している。

SIEM市場は現在、今年の初め頃と比べると大きく様変わりしている。

シスコは280億ドルを投じたSplunkの買収を完了し、これを活かす方向で事業全体を再編成した。LogRhythmとExabeamは合併して双方のSIEMおよびUEBA（User and Entity Behavior Analytics）を統合、パロアルトネットワークスはIBM QRadarの資産を買収している。

こうした動きの結果、クラウドストライクに商機が来ているという。SDxCentralの取材に対し、SIEM担当リードのAjit Sancheti（アジ・サンチェティ）氏が語った。

「SIEM市場ではずいぶんな混乱がありました。ここ6か月から9か月の間に、いろいろな企業の買収や合併、売却が起きています、資産の売却もありました」と氏。「そういうことがあったので、各社の顧客がこぞって「自社で使用しているSIEMを再検討したい」と言っていたのです。このため、当社ではSIEM事業の勢いが加速しており、あらゆる顧客セグメントでそうした様子がみられます。もちろん、大企業の中には慎重に取り組んでいるところもあります。ですが、中小企業にとっては難しい決断ではありません」

こうした動きについては、米調査会社ガートナーも同じように述べている。

「SIEM市場そのものが外的要因によって一変したという形跡がみられます。顧客はSIEM製品が果たしている役割を再検討し、自社に最適なテクノロジーをどう選択するかを再考するようになっています」。SIEM市場に関する直近の調査レポート「SIEMのマジック・クアドラント」には上記のように書かれている。

また、2023年の市場売上高は57億ドルで、2022年（50億3,000万ドル）からの年間成長率は13%だとしている。2021年から2022年の年間成長率は22%で、その数字よりも低下した。ガートナーは『セキュリティ運用のハイプ・サイクル：2023年』の中で、SIEM分野は「生産性の安定期」にあると位置づけている。

XDRとSIEMは競合しているのか

こうした実存的な問いが生じたのには、XDRが原因になっている部分もある。以前から取り組みが続いている領域だ。

米フォレスターリサーチが最近発表したレポートでは、プリンシパルアナリストのAllie Mellen（アリー・メレン）氏が次のように説明している。「多くのXDRプロバイダーが製品能力や統合の面である程度のレベルに到達し、顧客がSIEMの代替として利用するという構想の実現に着手できる段階になりました。とはいえ、それでもSIEMに適した用途で互角に競えるというわけではありません。たとえば、コンプライアンスや横断検索、高度なカスタマイズがそうです」

「XDRは、SIEM市場に完全に取って代わるわけではないにしても、SIEMを大幅に補強することが期待できる初の分野です」と氏。「XDRによってセキュリティ運用が大きく変わることになりそうです。SIEMのコストを削減し、検知を強化し、アナリストの体験を向上させることができるでしょう」

クラウドストライクの場合、XDRは他のセキュリティ領域に吸収されたというのがSancheti氏の見解だ。

「XDRはAIネイティブ（SOC）に組み込まれました。顧客にとって足かせになる部分が大きかったためだと思います」と氏。「実によく言われるのが、こういう内容です。「XDRで提供される検出機能はとても良いものだけれども、自社向けにカスタマイズした検出機能がほしいのです。レスポンス機能も自社でカスタマイズしたものを構築したい。カスタマイズしたデータソースがあったけれど、XDRだとカバーできる範囲がちょっと狭いのです」。データソースがかなり少なく、明確な構造をしている企業の場合には、XDRで素晴らしい支援ができましたが、ほとんどの企業はそれよりもずっと多くのデータソースを抱えており、自社独自のものも多く、XDRではとても難しいという状況でした。そのため、当社のXDRは次世代のSIEMに丸ごと入れてしまいました」

フォレスターの市場レポート『XDR Wave』の最新版では、マイクロソフトやパロアルトネットワークスとともに、クラウドストライクをXDR領域の「リーダー」に挙げている。統合セキュリティプラットフォーム「CrowdStrike Falcon」の最新版「Raptor」によって「XDR市場で勝てる位置につけた」とした。

AIでセキュリティアナリストを支援

Sancheti氏としては、それよりもわくわくしているのが、最近のアップデートでFalconプラットフォームのAI機能を強化したことだという。AIを使ったデータセットの自動解析や検出エンジニアリング、SOAR（Security Orchestration, Automation and Response）支援などだ。

一方、クラウドストライクはAIの統合をさらに進める計画で、これはまだ始めの数歩にすぎないという。

「コンテンツの相関ルールをさらに増やす予定です。購入してすぐに使用できるものです。多くの企業がSIEMで苦労してきたのがこの点で、すぐに使えるものがないことでした」と氏。「堅牢かつ使いやすいものをたくさん用意して、顧客企業が購入してすぐに多くの価値を得られるようにすることを目指しています」

また、現在組み込まれているSOAR機能をさらに拡張したり、ユーザー側でカスタマイズしたデータソースの追加ができるようにしたりする計画についても触れた。

「最終的な目標は、セキュリティアナリストの体験を一変させることです」。AIの取り組みについて、氏はこのように話している。「価値の高い仕事をしてもらうこと、それも、以前よりも速く、しかも効果的に企業を守れるという確信をもって取り組んでいただけるようにすることです」

CrowdStrike SIEM ready for market upheaval, AI help