SIEM/SOARの終焉、XDRへ

この記事は、2024年5月24日の sdxcentral の以下の記事を意訳したものです。

SIEM shakeup: IBM retreats, Splunk sold and the fate of the rest
（SIEM市場の大変革：IBMの撤退、Splunkの売却、そしてその他の運命）

SIEM市場からIBMが撤退、Splunkの売却、今後は？

SIEM（シーム：Security Information and Event Management、セキュリティ情報およびイベント管理）市場は現在、Gartnerの最新のマジッククアドラントレポートに20社以上のベンダーが含まれる戦場となっています。
しかしながら、クラウド移行、ベンダーの統合、XDR（Extended Detection and Response、拡張検出および応答）との競争と統合が進む中、その未来はますます不確実になっています。

これらの破壊的な力の影響は、Ciscoが主要なSIEMベンダーであるSplunkを買収し、LogRhythmとExabeamが合併を計画し、Palo Alto NetworksがIBM QRadarを買収する合意を発表するなどの大手企業の最近の動きによって強調されています。

IBMは、XDRに屈服しSIEMから撤退

IBMが最近、QRadarのソフトウェア・アズ・ア・サービス（SaaS）資産をPalo Alto Networksに売却する決定を下したことは、同社のセキュリティビジネス戦略における重要な変化を示しています。

「これは、IBMがSIEMおよびSOAR市場を放棄し、XDRベンダーに屈服していることを意味します」とGartnerの著名なVPアナリストであるPeter Firstbrook氏はSDxCentralに語りました。

IBM QRadar SaaSの顧客は、Palo Alto NetworksのCortex XSIAMプラットフォームに移行する予定ですが、IBMは買収完了後にQRadar SaaSの従業員がPalo Alto Networksに加わることはないと予想しています。

「Palo Alto Networksは技術を必要としていない、彼らは顧客が欲しいだけで、QRadarの技術は廃止されるでしょう」とFirstbrook氏は述べ、セキュリティ大手は顧客を増やしてXSIAM製品の規模を拡大する必要があると付け加えました。

CiscoはSplunk SIEMをXDRとして統合

長年SIEM市場のリーダーであったSplunkは、クラウドネイティブソリューションへの市場の移行に伴い、大きな課題に直面しています。

その上、ネットワーキングとセキュリティの大手企業であるCiscoは、3月に280億ドルでSplunkを買収しました。RSAC 2024で、CiscoはXDRとSplunkのSIEMソリューションであるEnterprise Security（ES）の統合を発表しました。この統合により、Cisco XDRからのアラートと検出がSplunk ESにフィードされ、調査と修復プロセスが加速されることを目指しています。

Firstbrook氏は、大企業がセキュリティインフラストラクチャのために3つまたは4つのコンソールを持つ可能性があると指摘しています。Splunkの顧客は「Splunkを手放すことはない。Splunkを持ち、セキュリティインフラストラクチャのためにXDRを持ち、同じくCiscoに買収された AppDynamicsを運用管理のために持ち、さらに別のデータセキュリティツールを持つ可能性があり、すべてのアラートはSplunkに流れ込み、トップレベルのダッシュボードとなるでしょう」と述べました。

SEIMの今後は、大手による買収かニッチ化

Firstbrook氏は、多くの既存のSIEMベンダーがプラットフォームを強化しようとする大手企業によって買収されるか、ニッチ市場に移行して relevancyを維持するか、または廃業する可能性があると予測しています。

「いくつかのベンダーは製品ベンダーによって買収されるでしょう。たとえば、Fortinetが統合を強化したいと考え、既に基本的な機能を持っている他のベンダーを買収して自分たちの環境に最適化するかもしれません」と述べました。

「いくつかのベンダーは廃業し、他の分野、たとえばガバナンスリスクとコンプライアンス、運用管理、または特定のニッチ市場に移行するでしょう」とFirstbrook氏は述べ、これらのベンダーがオンプレミス環境、IoT環境、小売業、物流産業などのニッチ市場をターゲットにする可能性があると付け加えました。

セキュリティ市場は統合されたプラットフォームを持つ少数の支配的なプレイヤーに収束

SIEM市場はクラウドへの移行によって変革期を迎えています。

「今後10年間で、エンドポイントセキュリティ市場で見られたような変遷が見られるでしょう」とFirstbrook氏は述べました。

「エンドポイントセキュリティ市場がオンプレミス管理からクラウドへ移行したとき、CrowdStrike、Microsoft、SentinelOne、Cybereasonなどのベンダーが市場シェアを獲得し始めました。McAfee（現：Trellix）、Symantec、Sophosは市場での重要性を失い始めました」と付け加えました。

組織が統合と統一を求める中、Firstbrook氏は、統合プラットフォームを提供する少数の主要プレイヤーが支配し、専門のパートナーソリューションで補完されるセキュリティの景観を想像しています。

「それはServiceNowのように見えるでしょう。非常に支配的なプロバイダー、たとえばMicrosoft、Palo Alto Networks、またはCiscoが存在し、彼らは自分たちの環境にプラグインできるパートナーを持つでしょう」と述べました。

以上が、sdxcentral の記事の意訳になります。

この記事に関する考察

より具体的・現実的な XDR（Extended Detection and Response）の実現により、機能重複していた SIEM（Security Information and Event Management）や、SOAR（Security Orchestration, Automation and Response）については、すでに時代遅れとなり、今後淘汰されていることになるでしょう。
（すでに淘汰されているのかも知れません）

SplunkやQRadarが、コストも高く、使い勝手も悪くイマイチ流行らなかったことも要因のひとつだと思いますが、そもそもSIEM/SOARがオンプレミスベースがコンセプトだったことに対して（最近のSEIMはクラウドサービスが殆どですが）、XDRはクラウドサービスを前提としており、市場・ニーズにマッチしており、且つ各ベンダーがそれに対応したより具体的・現実的なXDRソリューションを早期に発表したことが大きな要因だと思います。

XDRは、エンドポイント（EPP/EDR）ベンダーが提供するものや、SASE/SSEベンダーが提供するもの、あるいはクラウドセキュリティベンダーが提供するものなど様々なものがあります。

現在、XDRのマーケティング（広告）を積極的に実施しているのは、いつもの通りレガシーEPP/EDRベンダーのため、お客様によっては、EPP/EDRのXDRを採用（統合）を希望する場合が多くありますが、そもそもレガシーEPP/EDRのXDRを選択するより、まずはそのレガシーなEPP/EDRの見直しをオススメします。

相変わらず、レガシーEPP/EDRでランサムウェア感染されている企業が後を絶たないですが、そろそろレガシーEPP/EDRの販売自体を中止すべきではないかと思います。