サイバー攻撃や情報漏えいのニュースを毎日のように耳にしますが、インシデントが発生した際の情報、証拠はさまざまなシステムのログから集めます。いつ、どこで、何が起こったのかを素早く特定するためには横断的なログ分析が可能な SIEM製品が必要です。
残念なことにインターネット上にはあまりSIEMについての情報が多くありません。そのため、情報が少なく導入の検討が難しいという組織やセキュリティ担当者も多いのではないでしょうか。
そこで本記事では、国内において特に人気の高いSIEM製品であるSplunkとSentinelについて紹介します。SIEMについて解像度を上げて理解する一助となれば幸いです。

• SIEM製品の役割と利用ニーズ
• SplunkとSentinel
• SplunkとSentinelの比較
• Splunkが向いている組織、Sentinelが向いている組織
• まとめ
• Q & A

SIEM製品の役割と利用ニーズ

SplunkやSentinelはSIEMと呼ばれるジャンルに属する製品です。SIEMについての基本的な知識をまずはおさらいしましょう。

SIEMとは

SIEMとは「Security Information and Event Management」の略で、さまざまなログを収集・分析・活用することを言います。またはそのための製品です。

SIEMの役割

SIEMの基本的な役割は、ログの収集・分析・活用です。

ログの収集	さまざまな製品のログを一カ所に集める。ログのフォーマットやフィールド名が異なっていても、収集段階で調整することにより異なるログの横断的な分析（相関分析）が可能な状態を作る。
ログの分析	収集されたログをリアルタイムで分析したり、データベースのSQL言語に似たログ分析用クエリ（以下クエリ言語） を用いて効率的に分析したりする。 ログ分析ではログの抽出・加工・出力といったステップで必要な情報を取り出すことが多い。近年は機械学習を利用することもある。
ログの活用	一定条件を満たしたログが発見された場合にアラートを発報する、過去のログデータを用いてアラートの誤検知を削減する、許可リストや禁止リストを作成する、セキュリティインシデントの証跡を残す、システムの正常性を確認する、など。

SIEM製品の利用ニーズ

SIEM製品の市場は年10%以上の成長が続くと予想されています（※）。
SIEMの利用が進んだ社会的な背景やニーズは、一般的には次の要因で説明されています。

• サイバー犯罪の増加と被害額の増大による、インシデントの早期発見・対応ニーズ
• ゼロトラストによるIT資産管理の複雑化への対応
• IT人材不足を賄うための業務効率化

上記の詳細についてはインターネット上に多くの記事がありますのでそちらに譲ります。また、近年はSIEM製品のクラウド化が進み、以前と比較してずっとコストが下がったのも市場が成長した一因だと言えるでしょう。
こうした背景がSIEM製品のニーズの根本にあることは間違いありませんが、上記の要因によらず「監査」や「業界のガイドライン」、「親会社や取引先からの要求」などへの対応がSIEM導入のきっかけになっているケースも多いように思います。

※本記事内容に関する出典・参考：Business Research INSIGHTS「セキュリティ分析およびSIEMプラットフォームの市場規模、シェア、成長、トレンド、世界的な業界分析、タイプ別（パブリッククラウド、プライベートクラウド、オンプレミス）、アプリケーション別（中小企業、大企業、政府機関）、地域別の洞察と2024年から予測まで2032年」

SplunkとSentinel

SIEM製品にはさまざまなものがありますが、本記事では日本国内でシェアが高い製品であるSplunkとSentinel を取り上げて紹介・比較したいと思います。

Splunkとは

SplunkはSIEM製品の中では古参の製品で、世界中で多くのユーザに利用されています。オンプレミス・クラウドのどちらにも設置可能で、Splunk Appsと呼ばれるプラグインを組みこむことによりさまざまな機能を追加できる拡張性・柔軟性が大きな特徴です。

SplunkはSIEMとして利用されることが多いものの、実際にはビッグデータの収集・解析ツールと言ってもよく、統計処理やマーケティングデータの処理などにも活用できます。Splunkでは、SOAR（※）機能が必要な場合は、別ライセンスのSplunk SOARが必要です。

2003年に創業した運営元のSplunk .Incは、2024年 にネットワーク大手のシスコ社に買収されており、シスコの経営・営業基盤の活用によりさらなるシェア拡大が期待されています。

※SOAR：「Security Orchestration, Automation and Response」の略で、セキュリティ運用の効率化・自動化を支援する製品

Sentinelとは

Sentinelの正式名称はMicrosoft Sentinelです。2019年にリリースされたクラウドのSIEMで、SIEMの中では日は浅いものの、シェアを急激に伸ばしています。最大の強みは、1つのベンダーでゼロトラストのほとんどの領域をカバーするMicrosoftのセキュリティ製品と親和性が高く、効率的なセキュリティ対応ができることです。

また、SentinelはSIEMだけでなくSOARとしての機能がデフォルトで実装されており、インシデント管理機能や分析ルールのテンプレート、脅威インテリジェンスデータなども利用できます。

Microsoftは今やセキュリティ業界でも最大手ですので、経営面も安心であり、今後も多くのセキュリティ機能の追加が期待できるのも長所です。

SplunkとSentinelの比較

SplunkとSentinelは、どちらも現代のSIEMニーズに応える製品ですが、実際に使用してみると様々な点で違いがあります。ここからは、2つの製品をエンジニア目線で比較してみたいと思います。

構築

SIEMにおける構築は、「システム設計」「製品のセットアップ」「ログの取り込み作業」が主な内容となります。

「システム設計」はシステムの費用やパフォーマンス全般に関わるため、経験の豊富なエンジニアにしっかりと検討してもらうべきです。システム設計はSplunkやSentinelといったSIEM製品よりも、目的や既存のシステム構成、取り込みたいログの種類などが影響します。

「製品のセットアップ」については、SplunkもSentinelもそれほど難しくはありません。オンプレミスサーバ等のログを収集する場合、各機器にエージェントをデプロイする必要があるため、展開方法や作業スケジュールについても検討が必要です。

「ログの取り込み」は、構築の目的ともいえる重要な部分です。
SIEMの先駆者でもあるSplunkは、ログの取得方法が多様で、分析しやすい形でデータベースに取り込めるよう工夫されています。
SentinelはクラウドベースのSIEMのため、クラウドサービス向けに多くのコネクタが準備されていて高効率・安定的なログの取り込みが可能になっています。SentinelではMicrosoft製品からのログの取得は特に簡単で、かつ取り込みにおける失敗も少ない印象です。一方でオンプレミスからのログ取り込みやサードパーティ製品への対応はSplunkと比べると多少不安定な印象があります。

運用

SIEMの運用では、主に「ログの分析」「統計情報の作成・出力」「アラートルールの作成」などを行います。筆者はSOCアナリストとして日常的にSIEMを使って「ログの分析」業務に携わっていますが、
「この1ヶ月で業務時間外にFTPでサーバーにアクセスしたユーザを調べてほしい」
「システム構成を変えたので想定通りに通信ができているかログから調べてほしい」
「ブロック用のリストを作りたいので、サーバーに攻撃的な動きをしているIPアドレスを調査してほしい」
など、さまざまな調査を依頼されています。

「ログの分析」をSIEMで行う場合、SQLライクなクエリ言語を使って作業しますが、SplunkはSPL、SentinelはKQLといったクエリ言語を使います。個人的にはSPLのほうがコマンドも覚えやすく、直感的に利用できる印象です。ただ、SPLはSplunkでしか使われず、KQLはMicrosoft Azureで提供されている他のデータ分析サービスでも使われるので、KQLのほうが汎用性は高いのかもしれません。

「統計情報の作成・出力」も基本的にクエリ言語で行いますが、表示される表やグラフのデザインはSplunkのほうがSentinelより洗練されており、カスタマイズもしやすいです。

「アラートルールの作成」については、どちらも十分な機能を備えていますが、SentinelはMicrosoftの持つ脅威インテリジェンス情報 をアラートの作成やチューニングに安価で利用できるので、この点はSplunkよりお得感があります。一方のSplunkは無償提供している検知ルール（Security Essential）が豊富です。

価格

先に結論をお伝えしておきますが、残念ながら価格は試算してみなければわかりません。

SplunkとSentinelでは、複数の料金体系が用意されており、製品ごとに課金のポイントが異なるため一概に比較することはできないのがその理由です。特にSentnelの場合、一部のMicrosoft製品のログについては無料枠があるため費用の計算がより難しくなっています。

基本的にはどちらも取り込むログの量が大きいほど料金も高くなります。そのため、目的を考慮し、SIEMに送るログを必要最小限に絞ることが必要です。ただし、絞りすぎると運用時にログからの情報が不足しており、思ったような分析ができない場合もあります。

上記も踏まえ、構築作業はログの取得方法やデータ量、保存方法を検討し、その後の運用に生じうる問題やその回避策まで考慮できる、実績や経験のある業者に依頼するのが良いでしょう。

安定性・使いやすさ

製品の安定性については、SplunkもSentinelもそれほど差はないように感じます。サーバーやネットワークに問題がない限り安定的に動作する印象です。

ただし、ログの取り込みについては、元のログの形や通信状況、取り込み時の処理によってどうしても欠損したログが出てしまうのは避けられません。

使いやすさは使用者の好みや業務内容にもよると思いますが、筆者はSplunkのほうが使いやすく、言語もわかりやすく、UIもシンプルで洗練されていると感じます。ただ、ある程度経験がないと、シンプルすぎて何をしたらいいのか、何ができるのかわかりにくいことは否めません。一方のSentinelはSplunkと比べるとできることがずっとわかりやすいです。また、Sentinelの操作ページはEntra IDやMicrosoft Defender for Cloudと同様に、Azure Portalに統合されています。また、Sentinel（Azure Portal）へサインインしていれば、Microsoft Defender XDRに対してSSOでサインインできる為、Azure/Microsoft Defenderに対する詳細調査や対応がSplunkよりも効率的な印象です。

その他

SplunkもSentinelもドキュメントが充実していますし、知識を証明するベンダー資格もあります。国内にサポートベンダーも多いので、サポート体制も問題ありません。

仕様上、Splunkは保存されているデータのすべてがクエリの分析対象である（ただし古いログは処理が遅い）のに対し、Sentinelは料金プランによりクエリで分析可能な期間が制限される点に注意が必要です。

また、SIEMの情報はベンダー主導になりがちですが、SplunkはSIEMとして歴史が長い分、ユーザによる自発的な技術サイトへの投稿やイベントも多く、他製品よりもユーザによるエコシステムがしっかりしている印象があります。

Splunkが向いている組織、Sentinelが向いている組織

長々と説明してきましたが、どちらを使うべきかは利用する組織との相性次第です。
少し主観が入りますが、組織の特徴と相性のよい製品についてまとめておきます。

Splunkが向いている組織	・シンプルな料金体系が望ましい ・オンプレミス環境で利用したい ・アドオンやアプリが豊富 ・ログの分析作業が多い
Sentinelが向いている組織	・取得したいログの多くがMicrosoft製品である ・Azureの契約があればすぐにSIEM環境を用意できる ・安価に脅威情報データベースを利用したい ・SOARでインシデント対応を効率化したい

SIEMをセキュリティで有効活用するには、クエリ言語を使いこなすことはもちろん、ネットワークやセキュリティ、ログの取得対象製品についての知識が必要です。社内にリソースが不足している場合は、SIEM運用をアウトソーシングすることも検討するとよいでしょう。

まとめ

SplunkもSentinelも現代のSIEMのニーズに合った製品で、ログの収集・管理や分析機能を提供してセキュリティ対応を支援してくれます。組織におけるSIEM導入の目的をよく検討し、自社と相性のよい製品を選択しましょう。

セキュアイノベーションでは、SplunkやSentinelなどのSIEMの構築や、SIEMを使ったマネージドサービスのSOC運用についてもご相談を承っております。経験豊富なSplunkやMicrosoftの有資格エンジニアが構築や運用に携わり、ニーズや予算に合わせたご支援を提案させていただきます。SIEMの導入検討の際にはぜひお声がけください。

関連ページ：SOC運用サービス

Q＆A

Q. SIEMとSyslogサーバーの違いは何ですか？

A. SIEMもSyslogサーバーもログを収集・管理するものですが、SIEMではクエリ言語を用いた分析ができる点が大きな違いです。Syslogサーバーでもログの検索や分析はできますが、ほとんどが手動の作業になります。

Q. SIEMとSOARの違いは何ですか？

A. SIEMでは設定した条件に従ってアラートを発報しますが、SOARでは必要な情報を加工してチケット管理システムに転送する、一定条件のアラートを自動的にクローズする、APIを利用して悪意のあるメールの隔離を製品に指示する、といったその後の対応の自動化が可能です。

Q. SIEMがないとログの保存や管理はできませんか？

A. SIEMがなくともログの保存や管理は可能です。ただし、ログは検索や分析ができない状態ではあまり意味がありません。

Q. Splunk、Sentinelの他のSIEMにはどのようなものがありますか？

A. IBMのQRadar（Palo Alto Network社への売却に伴い、同社のSIEM製品「Cortex XSIAM」に統合） や、HPのArcSight、ExabeamのLogRhythm、Sumo Logic社のSumo Logicなどがあります。

Q. 運用できるエンジニアがいなくてもSIEMは利用できますか？

A. 利用可能です。自組織のリソースでは運用が難しい場合は、マネージドサービスの利用を検討してください。セキュアイノベーションのSOC運用サービスでは平日対応のみ、24h/365dのどちらでも対応可能です。

関連ページ一覧

SOC運用サービス
Splunkの構築と運用