SIEM vs 統合ログ管理 : あなたに必要なのはどっち？

### このガイドの目的 「SIEM（シーム）を入れろ」というベンダーの営業トークを鵜呑みにせず、自社のフェーズに合った適切なツール選定（コスト削減）を行うための判断軸を提供します。 ### 決定的な違い：リアルタイム性 | 特徴 | 統合ログ管理 (LMS) | SIEM / SOAR | |---|---|---| | **コア機能** | **集める・貯める・検索する** | **分析する・検知する・止める** | | **主な用途** | 障害調査、事後監査、コンプライアンス保存 | リアルタイム攻撃検知、内部不正検知 | | **ユーザー** | 開発者、SRE、情シス | セキュリティアナリスト (SOC) | | **コスト感** | 月数万円〜 | 月数十万円〜数千万円 | | **ツール例** | CloudWatch, Graylog, ELK | Splunk, Sentinel, Datadog Security | ### SIEMが「不要」なケース 以下の条件に当てはまる場合、SIEMはオーバースペック（金食い虫）になる可能性が高いです。 1. **専任のセキュリティ担当者がいない** - SIEMは「アラート」を上げますが、判断するのは人間です。アラートを見る人がいないなら、単なるノイズ発生装置になります。 2. **ログの目的が「監査証跡」メイン** - 「何かあった時に後から追えること」が要件なら、安価なLMS（ログ管理）のアーカイブ機能で十分です。 3. **サーバー台数が少ない（< 20台）** - ログの相関分析（WebとDBの突き合わせ等）が目視やgrepで可能な規模なら、SIEMの自動分析コストは回収できません。 ### SIEMを検討すべきケース (Tier 2) 1. **PCI DSS等の要件がある** - 「毎日ログをレビューすること」という要件を人間がやるのは不可能です。SIEMによる自動レポートが必要です。 2. **24/365の監視センター（SOC）がある** - インシデント発生から1時間以内に対処するSLAがある場合、人手では間に合いません。 ### 結論：スモールスタートのすすめ 最初は「ログを一箇所に集める（LMS）」ことから始めてください。 SplunkやDatadogは素晴らしいツールですが、データが集まっていない段階で導入しても効果は出ません。まずはCloudWatch LogsやS3にログを集約し、分析が必要になった段階でSIEMを接続するのが最も賢い投資です。