Licensed for Distribution
This research note is restricted to the personal use of ().セキュリティ情報およびイベント管理のマジック・クアドラント
2021年6月29日発行 - ID G00467384 - 推定通読時間58分
アナリスト:Kelly Kavanagh, Toby Bussa, John Collins
セキュリティおよびリスク管理のリーダーは、攻撃検知、調査、対応、およびコンプライアンス機能を備えたSIEMソリューションをますます強く求めていますが、この要望と、このようなソリューションを実行するために必要なリソースの理解とのバランスをとる必要があります。このレポートは、これらのリーダーが適切なベンダーを特定する上で役に立ちます。
This Magic Quadrant is related to other research:
Critical Capabilities for Security Information and Event ManagementUpdated 02 December 2021
市場の定義/説明
セキュリティ情報およびイベント管理(SIEM)の市場に関するガートナーの見解では、エンドユーザーの将来のニーズを満たすための変革の技術とアプローチに焦点を当てており、現在の市場には焦点を当てていません。
ガートナーは、この市場を、顧客のニーズを満たすために以下のサービスを提供するための市場であると定義しています。
-
脅威検知ユースケースやコンプライアンス・ユースケース用のセキュリティ・イベント・ログおよびテレメトリ・データをリアルタイムで収集する。
-
テレメトリ・データをリアルタイムで長い期間をかけて分析し、攻撃や興味のあるその他アクティビティを検出する。
-
インシデントを調査し、潜在的な重大さおよびビジネスに対する影響を確認する。
-
これらのアクティビティについてレポートする。
-
関連するイベントとログを保存する。
このマジック・クアドラントに含まれるベンダーには、この目的のために設計された製品があります。これらのベンダーは、その製品を市場投入し、セキュリティ購買センターに販売しています。
SIEMテクノロジは、セキュリティ・デバイス、ネットワーク・インフラストラクチャ、システム、アプリケーションによって作成されたイベント・データを集約します。主なデータ・ソースはログ・データですが、SIEMテクノロジは、ネットワーク・テレメトリ・データ(フローやパケット)などのその他のデータ形式を処理することもできます。イベント・データは、調査のスコアリング、優先順位付け、促進を目的としてユーザー、アセット、脅威、脆弱性に関するコンテキスト情報と組み合わせることができます。データは正規化されているのが理想的です。これにより、ネットワーク・セキュリティ・イベントのモニタリング、ユーザー・アクティブのモニタリング、コンプライアンス・レポーティングなどの特定の目的で、まったく異なるソースから得たイベント、データ、コンテキスト情報をより効率的に分析できるようになります。このテクノロジは、セキュリティ・モニタリング用のイベントのリアルタイム分析、ユーザーと企業の行動の高度な分析、履歴分析用のクエリおよび長期間分析、インシデント調査および管理用のその他のサポート、レポーティング(コンプライアンス要件用など)を提供します。
マジック・クアドラント
ベンダーの強みと注意事項
Elastic
Elasticは、このマジック・クアドラントでは特定市場指向型です。Elasticは、米国カリフォルニア州マウンテンビュー、オランダ、シンガポールに拠点があります。Elasticは世界中に顧客を持ちます。ElasticのSIEMプラットフォームはElastic Securityで、Elasticが2019年にEndgameを買収したことを受けてエンドポイント・セキュリティを提供しています。Elasticの顧客には中規模の組織が含まれますが、主な顧客は大手企業です。ElasticのSIEMプラットフォームは、2020年2月に一般的に利用可能になりました。Elastic Securityは、オンプレミスでデプロイされたり、Elastic Cloudを介してSaaSとして提供されたりできます。Elasticには、自己管理ソフトウェアとして、またはElastic Cloudを介して利用できるサブスクリプションモデルがあり、スタンダード・ティア(旧ベーシック)とプレミアム・ティア(ゴールド、プラチナ、エンタープライズ)が用意されています。Elasticのリソースベースの価格設定モデルは、データを保存、検索、分析するために使用されたメモリ・リソースに基づいています。
-
無料で開始して、高度なオファリングに成長することができる機会:Elasticには、Elasticsearch、Logstash、Kibana(ELK)Stackを介してSIEMユースケース用として使用されてきた経歴があります。Elastic Securityを検討している購入者は、中核的なSIEM機能が含まれるスタンダード・サブスクリプション・ティアの無料バージョンを使用できます。高度なSIEM機能を求めている購入者は、ゴールド、プラチナ、エンタープライズの各ティアをサブスクライブできます。
-
検知コンテンツ用の多様なソース:Elasticは、Elastic Securityの購入者に対して、独自の即時利用可能な検知コンテンツを提供していますが、このコンテンツは、Elasticユーザー・コミュニティやSOC Primeなどのその他のソースから入手することもできます。
-
脅威ハンティング・アクティビティのサポート:ElasticのKibana Lens機能を使用すると、脅威ハンティング・ユースケースに対してビジネス・インテリジェンス・タイプのアプローチを使用できます。この機能では、ドラッグ・アンド・ドロップ・ビジュアライゼーション機能がElasticのプラットフォームのネイティブの検索機能と組み合わされています。
-
価格設定モデルを理解するための学習曲線:Elasticの価格設定モデルは、市場の標準的なボリューム、速度、ユーザー、またはアセットベースの価格設定に対応していません。リソースベースの価格設定モデルは、初期デプロイメントや将来の成長に向けて計画している一部の購入者にとっては複雑である可能性があります。見込み購入者は、特にElasticのSIEMソリューションを競合他社のソリューションと比較する際に、リソースベースの価格設定の意味合いや必要な容量の計算方法をしっかり理解する必要があります。
-
即時利用可能なコンプライアンスのサポートの欠如:Elasticのプラットフォームには、パッケージ化されたコンプライアンスのダッシュボードやレポートが用意されていません。コンプライアンスに関連する検知ルールが用意されていますが、タグ付けされておらず、簡単に特定したりデプロイしたりすることもできません。ユーザーは、コミュニティまたはパートナー開発に頼るか、独自のダッシュボードを作成する必要があります。
-
不定のプラットフォーム管理ユーザー・エクスペリエンス:ソリューションの管理や運用に関して言えば、ユーザー・エクスペリエンスはElasticの製品全体にわたって完全に整合性が取れているわけではありません。たとえば、一部の機能はKibana内の開発者ツールを介してのみ管理できますが、その他のツールはタスク固有のGUIを介して管理します。
Exabeam
Exabeamは、このマジック・クアドラントではリーダーです。Exabeamは、米国カリフォルニア州フォスターシティに本社を構え、世界中に事業所があります。Exabeamの顧客の大半は北米におり、その次に顧客が集中しているのは欧州、アジア/太平洋、ラテンアメリカです。顧客の大半は大手企業ですが、中規模の顧客もいます。ExabeamのSIEMソリューションは、オンプレミス、SaaS(Exabeam Fusion SIEM [旧SaaS Cloud])、ハイブリッド、フェデレーテッド・デプロイメントとして利用できます。このソリューションには、Exabeam Data Lake、Advanced Analytics、Threat Hunter、Entity Analytics、Case Manager、Incident Responderが含まれます。これらのコンポーネントは、既存のSIEM製品を強化するために個別にバンドルまたは入手できます。アドオンには、Exabeam Cloud ConnectorとCloud Archiveが含まれます。ライセンシングは期間ベースです。価格設定は通常、モニタリング対象のユーザーまたは企業の数に基づいていますが、SaaSの場合はオプションのデータ・ボリューム価格設定も用意されています。
-
長期的な検索可能なログ・ストレージ:Exabeam Cloud Archive(最大10年間のデータ保持)、正規化されたイベント、異常、セキュリティ侵害の指標間の検索、自動エンリッチメントを備えたログ・イベントのタイムラインの組み合わせにより、豊富なコンテキストによってサポートされた長期間にわたるハンティングと調査が可能です。
-
状況に応じたデプロイメント用のモジュール方式のアーキテクチャ:顧客は、Exabeamのモジュール方式のアーキテクチャを使用することで、たとえば、複数のハードウェア、ソフトウェア、クラウド・フォーム・ファクター間のデータ・ストレージ、分析、対応に必要な機能のみを選択できます。顧客はまた、Exabeamモジュールをデプロイして競合他社のSIEMデプロイメントを強化することもできます。
-
成熟した広範な行動分析:Exabeamの機械学習(ML)駆動型のユーザーと企業の行動検知の伝統により、幅広いユースケースを網羅できます。Exabeamは、ユーザーと企業に対してリスク・スコアリングと自動コンテキスト・エンリッチメントとともに、調査とワークフロー用のタイムラインを提供しています。
-
SaaSの地域的な可用性:Google Cloud Platform上で動作するExabeam Fusion SIEMおよびCloud Archiveアドオン・モジュールは、すべての地域にわたって一様に利用可能なわけではありません。ただし、サポート対象外の地域の顧客は、ローカル・クラウド・インフラストラクチャでライセンス持ち込み(BYOL)を利用することで、クラウド内でExabeamソフトウェアを実行できます。
-
Sigmaのサポート:複数の競合他社のSIEMベンダーとは対照的に、ExabeamがSigmaコミュニティ・コンテンツに提供するサポートは限定されています。Sigmaによって生成された一部の検知は即時利用可能な相関に含まれていますが、その他の検知と分析はExabeam独自のデータ・モデルに固有のものです。
-
製品エコシステム:Exabeamは、高度なエンドポイントまたはネットワーク検知用のアドオン製品を用意していませんが、有数のサードパーティ製品やオープンソース・ソリューションとの統合を活用しています。複数の競合他社のSIEMベンダーは、サードパーティ製品をサポートすることに加えて、独自のテクノロジを提供しています。
FireEye
FireEyeは、このマジック・クアドラントでは特定市場指向型です。FireEye社は、米国カリフォルニア州ミルピータスに本社を構え、その顧客の大半は北米におり、その次に顧客が集中しているのは欧州、中東、アジアです。FireEyeは、FireEye Helix eXtended Detection and Response(XDR)プラットフォームを補完するために多数のセキュリティ検知オファリングを提供しています。これには、ネットワーク、電子メール、ファイル分析、パケット・キャプチャ、エンドポイント、脅威インテリジェンス、マネージド・サービスなどのオファリングが含まれます。FireEye Security Orchestratorは、追加のライセンス費用なしでSecurity Orchestration、Automation and Response(SOAR)機能を提供しています。Helixは、クラウドベースのSaaS専用SIEMソリューションであり、価格設定はデータ・インジェストの1秒あたりのイベント数(EPS)に基づいています。
-
脅威中心型ソリューションのエコシステム:FireEyeのエコシステムは、Helixと統合され、Helixを補完するホスト、ネットワーク、クラウド向けの脅威中心型ソリューションを提供しています。また、Mandiant Managed Defenseから提供される年中無休のセキュリティ・オペレーション・センター(SOC)サービスを補完するオプションも用意されています。この単一のエコシステム・アプローチは、単一ベンダーのソーシング・オプションを求めている購入者にとっては魅力的です。
-
Helixを使用したネットワーク・センサーのプロビジョニング:これにより、インシデント調査および対応用のネットワーク・メタデータ・テレメトリを使用してその他のデータおよびイベント収集ソースを強化します。
-
13カ月のデフォルトのデータ保持期間:これは、競争力のある長さです。なぜなら、その他のクラウドSIEM製品は、デフォルトのストレージとして30または90日間しか提供していない場合があるからです。
-
SaaS専用の提供:オンプレミス・オプションを必要とする購入者、またはAmazon Web Services(AWS)の地域では対処できないデータ主権の問題を抱える購入者の場合、FireEye Helixは実行可能なオプションではない可能性があります。
-
Helix分析:FireEyeは、ヒューリスティック分析と行動分析、インシデント・リスク・スコアリング、サードパーティのSOARソリューションとの統合などの複数の分野においてその他のSIEMベンダーに後れを取っています。Helixロードマップは、これらの不足機能または欠落機能に対処するための計画を示しています。ただし、見込み購入者は、ロードマップ・アイテムの提供を監視することで、FireEyeが要件を満たすことを確認する必要があります。
-
ユーザーによる分析の変更不可:FireEye分析を否定または変更する場合、目的の結果を達成するために複雑なルールの作成が必要になる可能性があります。
Fortinet
Fortinetは、このマジック・クアドラントでは概念先行型です。Fortinetは、米国カリフォルニア州サニーベールに本社を構え、世界中の主な地域のすべて(特に北米と欧州)においてグローバルな実績と顧客を有しています。FortinetのSIEMソリューションは、FortiSIEMです。この製品には、Advanced Agent(Windowsベースのユーザーおよびエンティティの行動分析[UEBA]機能)が含まれます。FortiSIEMは、FortiSOAR、FortiAnalyzer、Fortinetのセキュリティ製品スイートのその他の要素と統合されています。価格設定は、デバイス、EPS、エージェント数に基づいています。FortiSIEMは、仮想アプライアンスまたは物理アプライアンスとして利用できます。永久ライセンスとサブスクリプション・ライセンスが用意されています。
-
サービス・プロバイダおよび複雑な組織のサポート:Fortinet FortiSIEMは、複雑な組織やサービス・プロバイダ、およびこれらに固有の多様な機能に対して組み込み式のマルチテナンシー・サポートを提供しています。また、無制限のEPSを使用してマネージド・セキュリティ・サービス・プロバイダ(MSSP)向けの消費ベースのモデルも提供しています。
-
ネイティブ・アセットの可視性機能:Fortinet FortiSIEMには、強力なアセット・ディスカバリー機能と組み込み式の構成管理データベース(CMDB)があります。CMDBは、アクティブなスキャニングとパッシブなログ検査を介して、発見されたアセットの一元的な可視性を実現します。
-
より広範なFortinetエコシステムとのFortiSIEMの統合:Fortinetは、Fortinet Security Fabricを介して統合されたセキュリティ製品とネットワーク製品の多様なエコシステムを提供します。脅威モニタリング、検知、対応のソリューションを提供している単一のベンダーを探している見込み購入者や既存のFortinetの顧客は、Fortinetを検討すべきです。
-
クラウド提供オプションの欠如:FortiSIEMはSaaSソリューションとしては利用できません。Fortinetは、SaaSに似たエクスペリエンスを購入者に提供するための手段として、FortiSIEM用のホスティング・サービスを提供するパートナーに頼っています。エンドユーザーは、独自のパブリック・クラウドまたはプライベート・クラウド、あるいはハイブリッド・クラウド・モデルにソリューションをデプロイできます。
-
クラウド環境のモニタリングの限定的な有効範囲:FortiSIEMは、クラウド・セキュリティの有効範囲は、その他の競合他社の有効範囲ほど広くありません。FortiSIEMは、複数のパブリックCloud Infrastructure and Platform Services(CIPS)に対するサポートが欠如しており、サポートされている唯一のCloud Access Security Broker(CASB)はFortinet独自のFortiCASB製品です。
-
ユーザーおよびエンティティの行動分析オプション:UEBAは、プレミアム・オファリングとFortiSIEMのネイティブのより限定されたバージョンの2種類で提供されています。これらは両方とも、エージェント・デプロイメントを必要とします。また、動的ピア・グループを作成する機能など、競合他社では利用可能な機能が欠如しています。ただし、Fortinetのロードマップでは、これらのギャップが対処されることが示されています。
Gurucul
Guruculは、このマジック・クアドラントでは概念先行型です。Guruculは、米国カリフォルニア州ロサンゼルスに本社を構えています。最も顧客が集中しているのは北米であり、その次に顧客が集中しているのは欧州、アジア、中東、ラテンアメリカです。そのSIEMソリューションであるGurucul SIEMは、Gurucul Risk Analyticsプラットフォームの一部です。これはSaaSとして、およびオンプレミスデプロイメントまたはハイブリッド・デプロイメント用として利用できます。コンポーネントには、Log Aggregator、Threat Hunting、Security Data Lake、Network Traffic Analysisエンジン、SOAR、およびIdentity AnalyticsとUser & Entity Behavior Analyticsが含まれます。Guruculは、永久ライセンスとサブスクリプション・ライセンスを提供しており、これらは月、年、または複数年単位で利用できます。価格設定は、モニタリング対象のユーザーまたはエンティティの数に基づいています。
-
ユーザーおよびアイデンティティのモニタリング機能:プレミアムのIdentity Analyticsモジュールがライセンシングされた場合、Guruculのソリューションの適用範囲は、SecOpsからアイデンティティ/アクセス管理(IAM)チームと特権アクセス管理(PAM)チームにまで拡張されます。
-
多様なデプロイメント・オプション:Guruculは、クラウドベース、オンプレミス、「ドゥ・イット・ユアセルフ」のCIPSオプション、ハイブリッド(クラウドとオンプレミス)デプロイメント、顧客の既存のHadoop駆動型データ・レイクとの統合を提供しています。サポートされているフォーマットには、ソフトウェア、コンテナ化アプライアンス、物理アプライアンス、仮想アプライアンス、クラウドベースの単一/共有テナントが含まれます。Guruculは、親子デプロイメント・オプションをサポートしています。
-
Gurucul STUDIO:このコンポーネントは、初心者や高度なセキュリティ・アナリストに対して同様に包括的な分析ビルダーとルール・カスタマイズ・インターフェイスを提供しています。提供されているデータサイエンスベースの分析ツールはすべてカスタマイズできます。また、ユーザーが独自の分析を構築することもできます。
-
混乱する可能性が高いモジュール性:見込み購入者は、Guruculが各種パッケージ・オプションに組み込んでいる機能を確認するのに苦慮する可能性があります。Unified Security Analytics、SIEM、XDR。たとえば、GuruculのソリューションはUEBAの市場から生まれましたが、基盤となるSIEMライセンスには、市場で入手可能なフル装備のUEBAが含まれていません。これを実現するには、アドオン・モジュールが必要です。
-
クラウド・サービス・プロバイダーに対する限定的なサポート:非西欧地域でクラウド・デプロイメントを必要とする見込み購入者は、Guruculが非西欧のサービスとしてのインフラストラクチャ(IaaS)プラットフォームのモニタリングにおいてクラウド・デプロイメントをサポートできるかどうか、またはサポートする予定があるかどうかを確認する必要があります。
-
SIEMに関して限定された可視性:Guruculは営業オペレーションの方向を変え、SIEMの購入者に対する可視性を強化する措置を講じ始めましたが、ガートナーの顧客の中ではSIEMに関するマインド・シェアは低いままです。
Huawei
Huaweiは、このマジック・クアドラントでは特定市場指向型です。Huaweiは、中国深圳に本社を構えています。HuaweiのSIEMの顧客は、大半が中国に集中しています。その他の顧客は、中東、アフリカ、ラテンアメリカにいます。HuaweiのSIEMソリューションはHiSec Insightと呼ばれ、機能またはアーキテクチャ固有の要件に応じた多数の追加モジュールやそれに付随するテクノロジがあります。Huaweiの顧客基盤は、大手企業と中規模の企業間で均等に分割されていますが、小規模な顧客も存在します。オンプレミス・デプロイメントの価格設定は、データ速度(EPS)とデータ・ボリューム(1日あたりのギガバイト数)、およびログの保持期間とアドオン・モジュールに基づいています。SaaSデプロイメントは、購入したElastic Container Service(ECS)の数に基づいています。
-
行動分析:Huaweiにとっては、分析は投資対象の1分野となっています。ユーザーの行動分析により、ピア・グループベースの動的検知を実現します。MLベースのエンティティ用のリスク・ランキングには、アセット価値、関連するルールベースの検知、脆弱性データなどの要因が反映されています。
-
広範な製品エコシステム:Huaweiは、ネットワーク検知と対応、サンドボックス化、デセプション、ユーザー行動分析、オーケストレーションと対応、脅威インテリジェンスを含む多数の統合機能を提供しています。
-
フォーム・ファクタに関連する柔軟性:Huaweiの製品は、必要に応じて混在させることができる複数のフォーム・ファクタで利用できます。これには、ソフトウェア、物理アプライアンスと仮想アプライアンスが含まれます。Huaweiのパブリック・クラウド・インフラストラクチャまたはプライベート・クラウド・インフラストラクチャ上でホスティングするためのオプションも用意されています。
-
クラウド・インフラストラクチャのモニタリングのサポートが限定されています。クラウド・インフラストラクチャのモニタリングは、Huawei独自のクラウドに限定されています。即時利用可能なその他のクラウド・サービスはサポートされていません。
-
SaaSモニタリングのサポートの欠如:一般的なSaaSアプリケーションの即時利用可能なモニタリングは提供されていません。Huaweiのプラットフォームには、Microsoft Office 365、Google Workspace、Workdayのアプリケーション、Salesforce、Boxとの統合が欠如しています。
-
可用性の制限:Huaweiが中国、アジア/太平洋の新興市場、中東、アフリカを重視していることは、その他の地域のSIEM購入者に対する製品の展開がわずかであることを意味します。また、Huaweiは、北米や欧州に対する早急の展開も計画していません。
IBM
IBMは、このマジック・クアドラントではリーダーです。IBMは、米国ニューヨーク州アーモンクに本社を構え、そのオペレーションは、北米、欧州、アジア/太平洋、ラテンアメリカ、中東に集中しています。IBM Securityは、 QRadar SIEMソリューション以外に数多くのセキュリティ・ソリューションを提供しています。これには、Guardium、Trusteer、X-Force Threat Intelligence、Cloud Pak for Security、Verify Access、Privileged Identity Manager、QRadar Network Insights(ネットワーク検知および対応[NDR]用のQNI)、WinCollect、QRadar Vulnerability Manager (脆弱性評価用のQVRM)などがあります。ライセンシングは、オンプレミスのデプロイメントの場合のみ、サーバーベースで容量無制限で利用できます(永久ライセンスまたはサブスクリプション・ライセンス)。容量ベース(EPS)のライセンシングは、オンプレミスとSaaSデプロイメント(QRadar on Cloud [QROC])で利用できます。
-
コレクション層でイベント・フィルタする機能:IBM QRadarは、不要なデータが相関やストレージに転送される前に削除できます。これにより、ユーザーは、セキュリティ関連のデータ・ソースを微調整してEPSのコストを削減したり、セキュリティ・ユースケースとあまり関係ないデータに対して低コストのネイティブ・ログ管理を使用したりできます。
-
簡易デプロイメントと分析の管理:IBMのQRadar Use Case Manager(UCM)を使用すると、ユーザーは、分析条件を検索およびフィルター処理したり、分析の依存関係のオン/オフの切り替え、編集、コピー、視覚化を行ったりできます。UCMはまた、MITRE ATT&CKの有効範囲にまで適用され、戦術、技術、プロシージャ(TTP)の検知に必要なデータ・ソースのタイプを提示します。
-
オペレーショナル・テクノロジと産業用制御システム環境でのPurdue Model Levels 2(以上)のサポート:IBM QRadarはこのサポートを提供するために、双方向アクセスを阻止するデータ・ダイオードとしてDisconnected Log Collector(DLC)を使用しています。フロー・コレクターが、パッシブ・モードでネットワーク・トラフィックをモニタリングできます。
-
製品系列の移行:IBMは、QRadar機能をCloud Pak for Securityプラットフォームに統合することで、その機能とエンドユーザーのエクスペリエンスを最新化する過程にあります。製品の大規模な移行はたいてい、段階的に行われ、完了までに要する時間が予想より長くなります。
-
ネイティブ・コラボレーション機能とチャット機能の欠如:これらの機能のために、IBM QRadarのユーザーは、サードパーティのソリューションまたはSOARアドオンを使用する必要があります。見込み購入者は、選択したコラボレーション・ツールがQRadarと統合可能かどうかを確認する必要があります。
-
契約が複雑になる可能性:スコーピング・パラメータ、デプロイメント・モデル、アドオン・ソリューションの結果として、契約が複雑になる可能性があります。価格設定は、EPS、フロー、ユーザー数、サーバー数、自動アクション数に基づいて行うことができ、単一の提案で永久ライセンスとサブスクリプション・ライセンスが利用可能です。Gartner Peer Insightsプラットフォーム上のIBM Securityの顧客は、IBMの価格設定と契約の柔軟性に対して多くの競合他社のものより低いスコアを付ける傾向があります。
LogPoint
LogPointは、このマジック・クアドラントでは特定市場指向型です。LogPointは、デンマークのコペンハーゲンに本社を構えています。LogPointの顧客は世界中にいますが、欧州に集中しています。LogPointのSIEMソリューションは、UEBAとLogPoint Director(Director ConsoleとDirector Fabricを含む)を提供しています。補完ソリューションには、LogPoint for SAPとLogPoint Applied Analyticsが含まれます。ライセンシングはサブスクリプションによって行われ、価格設定はモニタリング対象のアセットの数に基づいています。UEBAは別途ライセンシングされ、従業員とアセットの数に基づいて価格設定されます。
SIEMのフォーム・ファクターには、物理アプライアンスとソフトウェア・アプライアンスが含まれます。UEBAは、SaaSとしてのみ利用できます。LogPointは、SAPのセキュリティ機能を強化するために2020年8月にagileSIを買収しました。
-
特定のユースケースと連携したマーケティングと製品:LogPointは、SAPのセキュリティ・モニタリングや評価保証レベル(EAL)3+の認定などの製品固有の機能を、関連する組織(SAP ERPを使用している組織など)、および政府や製造業者などのセクターに販売しています。
-
サービス・プロバイダおよび複雑な組織のサポート:LogPointには、ネイティブのマルチテナント機能があります。また、LogPoint Directorソリューションのアドオンは、マルチインスタンスのデプロイメントの中央管理をサポートしています。これは、親子デプロイメント・モデルをサポートできるSIEMソリューションを求めているサービス・プロバイダや組織(たとえば、様々な事業分野を本社がサポートしている組織)にとって魅力的です。
-
ネイティブのデータ・プライバシーと保護機能:データ・マスキングや難読化などの機能は、一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)に関連するプライバシーおよびデータ保護要件に対応する上で役に立ちます。
-
欧州以外の実績:欧州は、LogPointのホーム市場であるとともに最大の市場です。LogPointは、その他の地域における直接販売に関して後れを取っています。ただし、LogPointはこの問題に対処するために、営業オペレーションに投資してこの事業を成熟させると同時に、その他の地域に展開してチャネル・パートナーの活動を補完することを表明しています。
-
限定されたフォーム・ファクター:LogPointのSIEMソリューションは、(物理または仮想)アプライアンスとしてのみ利用可能です。SaaSオファリングはありません。UEBAはSaaSとして提供されますが、オンプレミスでは利用できません。ホストされたオプションを求めている購入者は、LogPointのソリューションを独自のパブリック・クラウド環境またはプライベート・クラウド環境にインストールするか、ホストされたオプションを提供できるパートナーを使用する必要があります。UEBAの見込み購入者は、データ保護およびデータ・レジデンシー要件をどのように満たすことができるかを確認する必要があります。
-
インシデント管理および対応の基本機能:ケース管理や対応アクションのサポートなどのインシデント対応機能は、基本機能です。LogPointには、多くの競合他社とは異なり、同じベンダーによって統合されたSIEMおよびSOARソリューションを求める購入者にとって魅力的なネイティブのSOARオプションが欠如しています。LogPointは、複数の一般的なITサービス管理(ITSM)およびSOARソリューションとのAPI統合に頼っています。
LogRhythm
LogRhythmは、このマジック・クアドラントではリーダーです。LogRhythmは、米国コロラド州ボールダーに本社を構えています。LogRhythmのSIEMプラットフォームには、エンドポイント、ネットワーク、ユーザーの行動分析機能を提供するための複数のアドオン・コンポーネントが含まれます。SIEMの顧客の大半は北米と欧州におり、残りはアジア/太平洋、中東、アフリカ、ラテンアメリカにいます。LogRhythmの顧客基盤は、中規模の企業と小規模の組織に比重が置かれていますが、大手企業もそのプラットフォームを購入しています。クラウドでホストされるデプロイメント・オプションもありますが、顧客の大半はオンプレミスでプラットフォームをデプロイしています。ライセンシングは永久ベース(1日あたりのメッセージ/秒の平均数による価格設定)またはサブスクリプションベース(従業員数による価格設定)で利用できます。
-
広範な小売業者:LogRhythmには、世界中の主な地域すべてに小売業パートナーの強力なチームがあります。この強みには、資金力の少ない購入者によるSIEMプラットフォームの管理およびモニタリングを支援するマネージド・サービス・プロバイダによる広範なサポートが反映されています。
-
パイロットおよび概念実証(POC)オプション:購入者は、複数のタイプのパイロットおよびPOCプログラムを活用できます。これらは、プリパイロット、ホストされたシナリオベースの試運転の実施、体験版オプションなど多岐に渡ります。
-
調査およびケース管理ワークフロー:LogRhythmには、コンテキストを収集し、ユーザーがケース措置の証拠基盤を作成することを可能にする、成熟した精密な調査およびケース管理機能が用意されています。
-
限定されたクラウドベースのオプション:LogRhythmの最近の買収と製品のロードマップは、クラウドネイティブのSIEM機能を提供する準備が進んでいることを示していますが、この件に関しては多くの競合他社に後れを取っています。一部の競合他社は、クラウドベースのSIEMオファリングを2年前に導入し、それ以降、新規顧客に対してクラウドファーストのアプローチを採用しています。最近のSIEM市場への参入業者は、クラウドネイティブのプロバイダーです。
-
ブランディング:LogRhythmは、製品のコンポーネントと機能の命名に関して分かりにくいアプローチを採用しています。より単純明快な命名体系を使用すれば、見込み購入者にとってより明快になるはずです。
-
クラウドへの移行:LogRhythmは、新しいクラウドベースのプラットフォームを開発し、その機能を購入者に紹介すると同時に、レガシー・プラットフォームを維持し、顧客を新しいプラットフォームに移動する計画を実施するという課題に直面しています。
ManageEngine
ManageEngineは、このマジック・クアドラントでは特定市場指向型です。ManageEngineは、米国カリフォルニア州プレザントンに本社を構え、多くのセキュリティ製品を提供しており、そのうち、Log360がSIEMソリューションです。関連するソリューション(または利用可能なモジュール)には、Advanced Behavioral Analytics、Advanced Threat Analytics、Cloud Security Plus、DataSecurity Plusが含まれます。Log360は、SaaSまたはオンプレミスとして利用できますが、両方ともハイブリッド・モデルではサポートされていません。
ライセンシングは、年間サブスクリプションまたは永久ベースで利用できます。SaaSデプロイメントの価格設定は、一定期間にわたってクラウドに保存されるデータの量に基づいていますが、オンプレミスの価格設定はイベント・ソースまたはアセットの数に基づいています。
-
即時利用可能なインシデント対応のプレイブックとワークフロー:ManageEngineのLog360ソリューションは、これらの多くとともに、カスタム・コンテンツの作成を可能にする機能を提供しています。既存のインシデントまたはケース管理システムがある組織の場合、Log360は、一般的なチケッティング・プラットフォームおよびインシデント管理プラットフォームと統合できます。
-
レポーティング・エンジン:ManageEngineのレポーティング・エンジンは包括的で、コンプライアンス違反に基づいて非常に多くのコンプライアンス・フレームワークに焦点を当てた出力とアラーティングをサポートしています。
-
製品のサポート:Gartner Peer Insightsプラットフォームのレビュアーは、Log360製品に対するManageEngineのサポートを称賛しています。
-
ユースケースのサポート:ManageEngineのLog360ソリューションでは、特にクラウド・サービス、アプリケーションとオペレーショナル・テクノロジ、産業用制御システム、モノのインターネット(IoT)アセットのモニタリングに対するサポートの欠如が顕著です。
-
サード・パーティのソリューションのサポート:ManageEngine Log360によってサポートされるテクノロジのリストからは、特にサード・パーティのコラボレーション製品、外部SOAR、UEBA、エンドポイント・セキュリティ、NDRテクノロジが欠落しています。
-
限定されたデプロイメント・オプション:ManageEngine Log360は、ハイブリッド・ミックスではなく、Zohoクラウド環境でオンプレミスまたはクラウド・デプロイメントをサポートしています。
McAfee
McAfeeは、このマジック・クアドラントでは特定市場指向型です。McAfeeは、米国カリフォルニア州サンノゼに本社を構え、McAfeeの顧客基盤は世界中に及びますが、顧客の大半は北米にいます。McAfeeのEnterprise Security Manager(ESM)には、ロギングや分析用の複数のコンポーネントが含まれます。また、McAfeeには、ESMと統合できるその他のセキュリティ・ソリューションの大規模なエコシステムもあります。これには、Application Data Monitor、MVISION Cloud、MVISION EDRなどのソリューションがあります。物理アプライアンスまたは仮想アプライアンス用の永久ライセンスがあり、価格設定は、(EPSで測定された)定義された量のデータをサポートできる(コアで測定された)アプライアンス・サイズに基づいています。2020年7月に導入されたMcAfee ESM Cloudは、想定されるEPSによって価格設定された年間サブスクリプションで利用できます。
-
ホストされたクラウド・オファリング:McAfee ESM Cloudは、購入者に別のデプロイメント・オプションを提供するために2020年にリリースされました。これは、Oracle Cloudを使用するESMのホストされたバージョンです。Oracle Cloudは、中東を含む大半の地域を対象範囲としてしっかり網羅しています。
-
コンプライアンスのユースケースと要件のサポート:世界中の広範なコンプライアンスの規制と標準を網羅する必要がある購入者は、McAfee ESMによってしっかりサポートされます。
-
SIEMとその他のソリューションを統合する機能:SIEM製品を必要とし、単一のベンダーの製品エコシステムで標準化する必要がある購入者は、McAfeeを検討すべきです。McAfeeは、エンドポイントの検知および対応(EDR)ソリューション、CASB、侵入防止システム、セキュアWebゲートウェイなどの広範な補完ソリューションを提供しています。
-
限定された高度な機能とアドオン:McAfeeは、クラウドネイティブのSIEMオプション、ML駆動型UEBA、SOARアドオン・ソリューションを提供している競合するSIEMベンダーに後れを取っています。
-
広範なクラウド環境向けのアドオンの要件:McAfee ESMによる一般的なSaaSソリューションやCIPSのネイティブ・モニタリングは、Microsoft Office 365、AWS、Microsoft Azureに限定されています。その他のSaaSアプリやCIPSでは、MVISION Cloudの使用やサード・パーティのCASBとの統合が必要です。
-
エンタープライズ・ビジネスの販売による潜在的な影響:2021年3月、McAfeeは、エンタープライズ・ビジネスをSymphony Technology Groupに販売することを発表しました。この販売により、既存の顧客や潜在的顧客に不確実性がもたらされる可能性があります。SIEM用としてMcAfeeを検討している場合、そのロードマップとMcAfee ESMに対する将来のサポートを確認する必要があります。
Micro Focus
Micro Focusは、このマジック・クアドラントでは特定市場指向型です。Micro Focusは、英国ニューベリーに本社を構え、世界中に顧客と事業所を有しています。Micro FocusのArcSight SIEMプラットフォームは、イベント収集/ロギング、アラーティング、調査、分析、対応のための複数のコンポーネントで構成されています。ArcSightの顧客の大半は大手企業であり、残りは中小企業に均等に分かれています。顧客は北米、欧州、アジア/太平洋に比較的均等に分散しており、少数が中東、アフリカ、ラテンアメリカにいます。ライセンシングは主に永久ライセンスです。価格設定はEPSに基づいています。ArcSight Intelligence(UEBA)は、ユーザー数によって価格設定されるサブスクリプションベースで利用できます。追加のサブスクリプションオプションが計画されています。
-
最新化:Micro Focusは、ArcSightアーキテクチャの複数のコンポーネントを改訂および最新化しました。これにより、データ・インジェストおよび管理のためのより優れたスケーラビリティとパフォーマンス、レポーティングの改善、より優れたUIをサポートします。追加の最新化に関するロードマップがあります。
-
UEBAとSOAR:Micro Focusは、2019年に買収したInterset UEBAテクノロジとArcSightの統合を改善しました。Micro Focusは2020年、SOAR機能を獲得しました。これは、そのプラットフォームにすでに統合されています。
-
MITRE ATT&CKマッピング:Micro Focusのプラットフォームは、MITRE ATT&CKフレームワークに対して検知コンテンツの広範なマッピングを提供しています。
-
デプロイメント・オプションの整合性の欠如:Micro FocusのArcSightアーキテクチャに対する作業が進行中であり、この結果、ソリューションの選択、デプロイメント、管理が複雑になる可能性があります。コンポーネントはソフトウェア・イメージとして利用可能ですが、その他のフォーマットでのデプロイメントに対するサポートが異なります。一部のコンポーネントは物理アプライアンスとして利用できます。一部はコンテナ化されたフレームワークで利用できます。一部は、選択したクラウドでクラウドネイティブのサービスに対するサポートとともに利用できます。
-
限定されたクラウドとSaaSの有効範囲:Micro FocusのSaaSとクラウド・インフラストラクチャ向けの即時利用可能なモニタリング機能は、多くの競合他社のものより限定されています。Microsoft Office 365アプリケーションはサポートされていますが、その他複数の一般的なSaaSビジネス・アプリケーション(SalesforceやWorkdayのアプリケーションを含む)にはコネクタのカスタマイズが必要です。AWS CloudTrailとその他のサービスや、複数のMicrosoft Azureサービスはサポートされていますが、その他のクラウド・プラットフォームにはコネクタのカスタマイズが必要です。
-
POCとパイロットのサポート:Micro Focusには、形式化された一般に利用可能なPOCまたはパイロット・プログラムがありません。POCリクエストはケースバイケースで処理されます。ただし、例外として、CrowdStrikeの顧客は、CrowdStrike市場を介してSaaS UEBA機能に関するPOCをリクエストできます。対照的に、複数のSIEMの競合他社には、広範な使いやすいPOCとパイロット・プログラムがあります。
Microsoft
Microsoftは、このマジック・クアドラントでは概念先行型です。Microsoftは、米国ワシントン州レドモンドに本社を構え、世界中に顧客がいます。MicrosoftのSIEM製品であるAzure Sentinelは、2019年9月に一般的に利用可能になりました。Azure Sentinelは、MicrosoftのAzureクラウド・サービスを介してSaaSとしてのみ提供されています。Azure Sentinelは、中国を除くすべてのAzure地域で利用できます。ライセンシングはサブスクリプションを介して行われます。価格設定は主に、予約した容量を介して、または従量課金制で、使用したデータの量に基づいています。追加のデータ・ストレージ、自動化、独自の機械学習の構築のサービスを使用すると、追加コストが発生します。Microsoftには、Azure Sentinelと統合できる、エンドポイント保護プラットフォーム、EDRソリューション、CASBなどのセキュリティ・ソリューションの大規模なエコシステムがあります。
-
クラウドネイティブのSIEM製品:Azure Sentinelはクラウドネイティブであり、Azure内に構築されるため、必要に応じてユーザーをサポートするための柔軟にスケールアップ/スケールダウンできます。特に従量課金制オプションの場合、購入者は、容量の管理について、およびライセンスの変更が適用されないことについて心配する必要はありません。ユーザーは、ライセンス・モデルを毎月変更できます。価格設定モデルは、実際のSaaSアプローチに合わせて調整されています。このため、顧客は、従量課金制の場合と同じように消費したり、設定されている量の予約容量を購入したりできます。
-
製品ポートフォリオの幅と範囲:Microsoftは、Azure Sentinelとネイティブに統合できるセキュリティ・ソリューションとその他のITソリューション(Microsoft 365 Defender、Azure Defender、Office 365、Azure)の豊富なエコシステムを提供しています。これは、これらのMicrosoftソリューションに投資した顧客にとって魅力的です。
-
統合機能:Azure Sentinelには、ユーザーのニーズと要件に基づいた、柔軟なインターフェイスを実現できる堅牢なAPIインターフェイスがあります。これは、Azure Sentinelワークスペース・インターフェイス(MSSPなど)を介してだけでなく、様々な手段を使用してAzure Sentinelとインターフェイスを確立したい組織にとっては魅力的です。
-
一部の分野でのSIEM機能の欠如:Azure Sentinelの顧客は、多くのベンダーのSIEMオファリングに対してネイティブである機能(ITSMソリューションに対するコネクティビティなど)にはAzure Logic Apps(Azureエコシステムの別の一部)が必要であることに気付きます。また、一般的な要件や標準に関して即時利用可能なコンプライアンス・レポーティングが限定されています。Azure Security Centerは、ISO 27001、PCIデータ・セキュリティ・スタンダード(DSS)、Azure CISとのCIPS関連のコンプライアンスを網羅しています。本書の作成時点では、ウォッチリストはプレビュー機能です。
-
Azureエコシステムへの精通の必要性:Azure Sentinelは、Azure内で動作し、それ自体を補完するためにその他のAzureサービス(Log AnalyticsやLogic Appsなど)を利用するアプリケーションであるため、ユーザーはAzureエコシステムにある程度精通する必要があります。また、特に従量課金制モデルでは、Azure Sentinelの様々なコンポーネントがどのように価格設定されているかを理解すること、およびコンポーネントの消費を管理することが重要です。
-
一部の購入者に対するSaaSモデルの適性:一部の顧客は、Azure Sentinelを活用できない可能性があります。これはたとえば、データ・レジデンシー要件を抱えているためにオンプレミス・ソリューションを求めている顧客や、(メンテナンスを含む永久ベースのオペレーション費用などに基づく)従来のライセンシング・モデルを求めている顧客などです。実際にAzure Sentinelを使用してデータ・レジデンシー要件を満たすことができる可能性はありますが、見込み購入者は、現在Azureを利用可能な地域を調べ、計画されている地域を調査する必要があります。
NetWitness
RSAの企業であるNetWitnessは、このマジック・クアドラントでは特定市場指向型です。NetWitnessは、米国マサチューセッツ州ベッドフォードに本社を構え、大半が大手企業であるグローバルな顧客基盤を有しています。NetWitness Platform(NWP)には、NetWitness Logs、Network、Endpoint、IoT、UEBA、SOARが含まれます。永久ライセンスと期間ライセンスが用意されています。コンポーネントの価格設定は、データ・ボリューム(LogsとNetwork)、エンドポイント数(Endpoint)、アクティブなアカウント数(UEBA)、ユーザー数とプレイブック数(SOAR)に基づいています。過去12カ月間、NetWitnessは、RSAのスタンドアロン・ビジネスとしてDell Technologiesから分離独立して販売されていました。
-
単一ベンダーによるエコシステムを求めているセキュリティ・オペレーション・センター(SOC)に対するサポート:NetWitnessのNWPは、統合されたSIEM、UEBA、SOAR、EDR、ネットワーク脅威分析(NTA、パケット・キャプチャを含む)、IoTモニタリング・テクノロジを含む最新のSOCインストルメンテーション用として単一ベンダーを求めているSOCに対して魅力的な包括的プラットフォームです。
-
ハイブリッド・デプロイメント・オプション:プライベート・クラウドまたはパブリックCIPSを使用したオンプレミス・モデルまたはハイブリッド・モデルを求めている組織にとって、NWPは、コンポーネントをデプロイする場所と方法の観点から高度な柔軟性を備えています。NetWitness Logsのライセンシングは、製品コンポーネント(デコーダー、ログ・コレクター、コンセントレーター、ブローカーなど)ではなく、データ消費に基づいているため、ライセンス・コストを増大させることなく、コンポーネントを必要な数だけ利用できます。
-
サポート・オプション:NetWitnessは、RSA Universityを介して多様なトレーニング・オプション(リモート、マイペース、対面)を用意しています。また、必要に応じてトレーニングにアクセスするためにオンデマンド・サブスクリプションを利用することもできます。
-
限定されたSaaSオプション:クラウドSIEMに対するNetWitnessのオプションは、Orchestrator(SOAR)、IoTモニタリング、Detect AI製品に限定されています。購入者は、独自のプライベート・クラウドまたはCIPSでその他のNetWitnessコンポーネント独自のデプロイメントを処理する必要があります。また、購入者は、NetWitnessエコシステムからパートナーを選択してクラウド・オプションを提供することもできます。NetWitnessは、ホストされたオプションが近いうちにロードマップ・アイテムになることを表明しています。
-
複雑さ:NetWitness LogsおよびNetworkは、アーキテクチャ要件に応じて複雑になる可能性があります。このため、成熟しておらず、リソースが欠如している組織にとっては難易度が高くなる可能性があります。NWPを検討している購入者は、デプロイメントや継続的なオペレーション管理のサポートに関してNetWitnessのパートナー・エコシステムを活用することを検討する必要があります。
-
クラウド・サービスのモニタリング:CASBソリューションに対するNWPのサポートは、NetskopeとProofpointに限定されています。一部の一般的なSaaSアプリ(WorkdayやBoxのアプリなど)では、ネイティブなAPI統合がサポートされていません。ただし、AWS、Azure、Google CloudなどのCIPSはサポートされています。その他のクラウド・サービス(特にIBMやOracleのサービス)はサポートされていますが、API統合を介したサポートではありません。統合されていないSaaSおよびCIPSの場合、Universal Rest API Plugin、NetWitnessのLog CollectorまたはLog Decoder、Pythonベースのプラグイン、またはLogstashインスタンスが必要です。
Odyssey
Odysseyは、このマジック・クアドラントでは特定市場指向型です。Odysseyは、キプロスに本社を構え、そのオペレーションは欧州と中東に大きく集中しています。Odysseyは、EDRやセキュリティ・サービスを含む多くのセキュリティ・ソリューションを提供しています。OdysseyのSIEM製品は、ClearSkies SaaS NG SIEMです。関連するソリューション(または利用可能なモジュール)には、Identity and Access Serviceモジュール、ClearSkies NG Endpoint Detection & Response(EDR)、ClearSkies NG Active Defenseが含まれます。ClearSkiesは、SaaSとしてのみ利用可能であり、ライセンシング・モデルはサブスクリプションベースです。価格設定は、1日あたりのデータ・ボリューム(ギガバイト数)に基づいています。
-
製品ライセンシングの簡潔さ:OdysseyのSIEM製品は、サブスクリプションとしてボリューム(1日あたりのギガバイト数)によってライセンシングされているため、シンプルです。3カ月、6カ月、12カ月のライセンス・オプションを利用できます。期間ごとに、データの固定量、分析期間(週単位)、一定数のユーザーとストレージのサポートが提供されます。追加オプションが同じサブスクリプション期間で利用可能であり、それ相応に価格設定されています(たとえば、EDRエージェント、ポータル・ユーザー、デセプション・デコイ、ビーコン・トラップ別など)。
-
EDRソリューションとの統合の可能性:Odysseyには、独自のEDRソリューションがあり、これはClearSkies SIEMソリューションと統合できます。
-
オプションのデセプション・アドオン:Odysseyは、オプションのデセプション・アドオンとしてActive Defenseを提供していますが、これはSIEMセクターでは珍しいことです。
-
南欧、中東、アフリカへの集中:Odysseyは、南北アメリカとアジア/太平洋には非常にわずかな顧客しかいません。
-
一部の最新のSIEM機能の欠如:Odysseyに欠如しているのは、インシデント対応、サービス・デスク・ツールとの統合(ただし、ServiceNowはサポートされています)、一般的なSaaSソリューションとCIPSに対するサポートです。
-
クラウド・サービスとアプリケーション・モニタリングに対する過度に限定されたサポート:Odysseyは、Office 365をモニタリングするためにMicrosoft Graph APIとOffice 365 Management Activity APIのみをサポートしており、デプロイメントは独自のプライベート・クラウドとSahara Netに限定されています。
Rapid7
Rapid7は、このマジック・クアドラントではリーダーです。Rapid7は、米国マサチューセッツ州ボストンに本社を構え、そのSIEMソリューションであるInsightIDRはクラウドベースのInsightプラットフォーム上で動作します。その他の利用可能な製品には、InsightVM(脆弱性管理)、InsightAppSec、InsightConnect(SOAR)、DivvyCloud(クラウド・セキュリティ・ポスチャ管理)、Enhanced Network Traffic Analysisが含まれます。InsightIDRプラットフォームの顧客は、米国に最も多く集中しており、これに欧州とラテンアメリカが続きます。InsightIDRは、期間ライセンスベースで提供されており、モニタリング対象のアセットの数に基づく簡単明瞭な価格設定モデルが採用されています。
-
複数のセキュリティ製品を備えた1つプラットフォーム:Rapid7の中核となるSIEMプラットフォームは、エンドポイント・エージェントを介したロギングと脅威検知(UEBAを含む)、デセプション・テクノロジとともに、インシデント管理とレポーティングを提供しています。Rapid7のオプションのアドオンは、脆弱性管理、ネットワーク・モニタリング、オーケストレーションと対応、クラウド・セキュリティ・ポスチャ管理を提供しています。
-
資金力の少ない顧客向けに精選されたエクスペリエンス:Rapid7は、検知コンテンツと脅威インテリジェンス・フィードをInsightプラットフォーム上で管理しているため、顧客がこれらを行う必要性が最小限に抑えられています。
-
検知および対応サービスの管理:これは、追加料金を支払うことでRapid7から利用可能です。SIEM製品へのアクセスを求めており、モニタリングと調査に対するサービス・サポートを必要とする顧客にとって、これは単一のソースとなります。
-
コンプライアンス:Rapid7の規制コンプライアンスのレポーティング・フォーマットに関する即時利用可能なサポートは、PCI DSSと米国の医療保険の携行性と責任に関する法律(HIPAA)に限定されています。その他の要件を抱える顧客は、ダッシュボードとレポートを作成する必要があります。
-
地理的可用性:InsightIDRはAWS上でホストされています。データを特定の場所に格納する必要がある購入者は、Rapid7でこのことが可能かどうか確認する必要があります。本書の作成時点で、InsightIDRは南米または中東では利用できません。
-
カスタマイズ:環境やユースケースに固有の検知と分析の広範な開発を必要とする購入者は、Rapid7の即時利用可能なコンテンツとルールのカスタマイズ機能によってニーズが満たされるかどうかを慎重に評価する必要があります。
Securonix
Securonixは、このマジック・クアドラントではリーダーです。Securonixは、米国テキサス州アディソンに本社を構え、米国のその他の都市、英国、シンガポール、インドに事業所があります。SecuronixのSIEMソリューションには、Next-Gen SIEM、Security Data Lake、UEBA、SOAR、NDR、脅威インテリジェンス、Adversary Behavior Analytics、複数のユースケース固有のアプリ(健康管理やSAP用など)が含まれます。Securonixの顧客の大半は北米におり、これに欧州、アジア/太平洋、中東、アフリカ、ラテンアメリカが続きます。顧客の大半は大手企業ですが、中規模の顧客もいます。小規模の顧客は、マネージド・サービス・パートナーによって対応されています。購入者の大半は期間ライセンスを選択しますが、永久ライセンスも利用可能です。
-
データのプライバシーの制御:Securonixには、データのプライバシーをサポートするために広範な制御機能が用意されています。これには、詳細なロールベースのアクセス制御、広範なデータ・マスキングの柔軟性、アンマスキングのワークフローが含まれます。
-
マネージド・サービス・パートナーのサポート:Securonixは、過去18カ月間にわたって数多くの大手のマネージド・サービス・パートナーと提携を結びました。これにより、中小企業がエキスパート・サービスのサポートを活用しながらSecuronixの製品を利用できるようになりました。
-
脅威インテリジェンスのサポート:Securonixは、広範な脅威インテリジェンスプラットフォーム(TIP)機能をネイティブで提供しています。また、広範なサード・パーティのTIP製品との即時利用可能な統合も用意しています。
-
オンプレミスでのプラットフォーム管理:オンプレミスでSecuronix SIEMソリューションを使用するエンドユーザー顧客から、このソリューションのデプロイと管理が複雑で困難な作業であることが判明したと報告されています。これらの顧客は、専門サービスによるトレーニングと支援を求めることを推奨しています。
-
製品のサポート:ユーザーから、オンプレミス・デプロイメントに対する複数の製品サポート分野においてSecuronixの多くの競合他社より満足度のレベルが低いことが報告されています。Securonixは、サービス向上を促進するためにエンジニアリング、カスタマー・サクセス、オペレーションにおいてシニア・リーダーを採用しました。
-
オンプレミスのスケーラビリティ:見込み購入者は、大規模なオンプレミス・デプロイメントに関するワークロード要件を満たすためのSecuronixの能力を確認する必要があります。
Splunk
Splunkは、このマジック・クアドラントではリーダーです。Splunkは、米国カリフォルニア州サンフランシスコに本社を構え、グローバルですが米国中心の顧客基盤を有しています。SplunkのSIEMには、中核的製品のSplunk Enterprise、Splunk Cloud、Enterprise Security、Mission Controlが含まれます。UEBAとSOAR用として、プレミアムですがネイティブに統合されていないオファリングが存在します。Splunkのオファリングは、ソフトウェアとして、またはSplunk Cloudを介してデプロイできます。Splunk EnterpriseとSplunk Enterpriseは、サブスクリプションとしてライセンシングされており、1日あたりの消費ボリューム、インフラストラクチャ/ワークロード、段階的価格設定、エンタープライズ・ライセンス契約が含まれる価格設定モデルが採用されています。2020年10月、Splunkは、Splunk Enterprise Security、User Behavior Analytics(UBA)、Phantomの一元的可視性のためにMission ControlをSaaSベースのソリューションとしてリリースしました。
-
既存のテクノロジ投資をサポートするための中核的SOCツールを求める購入者のサポート:Splunkのアプローチは、SIEM、UEBA、SOARソリューションを提供する中核的プラットフォームとともに、多様なサードパーティ・テクノロジとの統合を求める購入者にとって魅力的です。Splunkは、即時利用可能な統合とサポートを必要とする購入者に対して柔軟に対応します。Splunkはこれらを、Splunkbaseアプリ、API、 Mission Control Plug-in Framework、Phantom統合を介して提供しています。
-
様々な利用パターンに対応するための新しい価格設定モデル:Splunkは、過去数年間にライセンス・モデルを拡大し、データ・インジェストベースの価格設定を超えたオプションを購入者に提供しています。新しいオプションには、公共部門以外の購入者が利用可能な段階的価格設定モデル(予測可能価格設定)に加えて、(Splunk Cloud用の仮想CPUオンプレミスと仮想計算ユニットを使用した)ワークロードベースの価格設定が含まれます。購入者は、様々な価格設定モデルでのSplunkの使用に合わせてより適切に調整された各種オプションを利用できるようになりました。
-
購入者の可視性:Splunkは、北米と欧州でSIEMの購入者に対して高度な可視性を維持しています。アジア/太平洋、ラテンアメリカ、中東の顧客に対する可視性は低くなります。
-
価格と契約の柔軟性:ガートナーの顧客からのフィードバックでは、Splunkのコストに関する懸念が示されています。Gartner Peer Insightsプラットフォーム上のレビュアーは、Splunkの価格設定と契約の柔軟性に対して多くの競合他社のものより低いスコアを付ける傾向があります。
-
完全にクラウドネイティブのセキュリティ・オペレーション・スイートの欠如:Splunk Enterprise Securityは、Splunk Cloudで提供されていますが、Splunk UBAおよびPhantomが含まれる完全なクラウド提供オプションを求める購入者は、独自のCIPSにこれらのソリューションをデプロイするか、自分の地域でホストされたオプションが利用可能かどうかをSplunkに尋ねる必要があります。Mission Controlは、3つすべてのソリューションがどこにデプロイされているかとは関係なく、これらすべてに対して単一のUIを提供することで、影響を最小限に抑える役に立ちます。
-
Splunk Cloudの地理的サポート:北米、欧州、アジア/太平洋の購入者は、Splunk Cloudの適切な拠点によってサポートされます。しかし、中東、アフリカ、ラテンアメリカの購入者は、データ・レジデンシーに関する懸念または要件がある場合は、サポートを受けることができるかどうか確認する必要があります。
Sumo Logic
Sumo Logicは、このマジック・クアドラントでは概念先行型です。Sumo Logicは、米国カリフォルニア州レッドウッドシティーに本社を構え、欧州(英国を含む)とアジア/太平洋にも事業所があります。Sumo LogicのSIEM顧客の大半は北米におり、その次に顧客が集中しているのはアジア/太平洋と欧州です。Sumo LogicのSIEM製品はCloud SIEM Enterpriseと呼ばれており、AWSベースのSaaSオファリングとしてのみ利用可能です。ライセンシングは、サブスクリプションベース(データ・インジェストに基づく価格設定)またはクレジットベース(時折の検索や継続的な分析など用の特定のリソース利用を可能にするために使用されるクレジット)であり、階層化オプションが用意されています。
-
価格設定モデルの柔軟性:Sumo Logicは、クレジットベースの価格設定、データ階層化、ソリューション・パッケージングの3つの要素を使用した価格設定モデルを提供しています。これにより、顧客は、イベント・レートやデータ・ソースまたはユーザーの数とは関係なく、計画しているデータ・インジェストと調査ワークロードに最も合った価格設定スキームを柔軟に選択できます。
-
顧客間の可視性とインサイト:Sumo Logicのマルチテナント・アーキテクチャにより、顧客基盤全体にわたって匿名化された分析が可能になるため、検知とワークフローのチューニングが向上します。これらの機能の一部は購入者から直接見えない可能性がありますが、結果的にソリューションのパフォーマンスを徐々に改善する可能性があります。その他のユーザー向けのソリューションは、特定のデータ・ソースと脅威フィードの顧客間の分析に基づいて脅威に関する分析と推奨事項を提供しています。
-
堅牢なイベント・フィルタリング、マスキング、ルーティング:Sumo Logicの一部のイベント・コレクターは、データ・プライバシー上のニーズを満たすことを目的としてインジェスト、マスキング、ハッシングを管理するための広範なフィルタリングをサポートしています。また、低帯域幅環境向けの柔軟なルーティングと帯域幅管理もサポートしています。
-
分析の有効範囲:Sumo Logicの即時利用可能なセキュリティ検知機能は、その他のベンダーのSIEM製品で利用可能な機能ほど広範ではありません。ユーザーの行動の高度な分析は、複数のSIEMの競合他社の分析ほど成熟していません。
-
リソースの見積り:Sumo Logicのクレジットベースのモデルは、要件を満たすために必要なインジェスト・ボリュームと調査リソースの見積りに関する経験が乏しい購入者にとっては難しい可能性があります。購入者は、ライセンスの容量に関する問題を回避するためにクレジットの利用と予算をモニタリングするためのプロセスを確立する必要があります。
-
統合に対する不均一なサポート:ユーザーは、大半のアプリをSumo Logicのアプリケーション・ライブラリからインストールおよび実行できますが、PCIコンプライアンス用のアプリやセキュリティ分析用のアプリをインストールおよび構成するには、エンタープライズ・ライセンシングと有償の専門サービス契約が必要です。
Venustech
Venustechは、このマジック・クアドラントでは特定市場指向型です。Venustechは、中国北京に本社を構えています。Venustechの大半の顧客はアジア/太平洋におり、少数が中東とアフリカにいます。VenustechのSIEM製品は、Venusense Unified Security Managementです。関連するソリューション(または利用可能モジュール)には、Cybersecurity Situation Awareness、Security Analytics、NTA、Configuration Verification、Business Supporting Security Management、Asset Exploration and Managementが含まれます。SIEM製品は、SaaSとオンプレミスとして利用できます。ライセンシングは永久ベースまたはサブスクリプションベースであり、MSSPと教育セクターの組織向けの特別なライセンシングが用意されています。価格設定は、ログ・ソース数に基づいていますが、SaaSモデルの場合は従業員数による価格設定オプションもあります。
-
地域と国に対して分化されたアクセス:Venustechは、中国の国営企業と提携してこれを実現しています。多くの西欧のSIEMベンダーではこのような提携はわずかであるか存在しません。
-
高度なバッチおよびストリーム処理テクノロジ:Venustechは、これらを使用して、(アドオンとして提供される)UEBA機能などの高度なセキュリティ分析を可能にするほか、ユーザーが独自の分析を作成するための機能を提供しています。
-
包括的なカスタム・ルール作成機能(条件ツリーとグラフィカル・ビューを含む): ルールは、複雑な相関の場合はネストでき、しきい値、カウント、実行するアクションを含めることができます。TIPソリューションと同じ方法でインテリジェント・エンリッチメントを構成できます。
-
コンプライアンス要件を抱える中国以外の顧客に対するサポート:VenustechのSIEM製品は、中国の顧客に対してはコンプライアンス・パッケージを提供していますが、追加のライセンシング費用がかかります。その他の地域の見込み購入者は、Venustechが規制コンプライアンス要件をサポートできるかどうかを確認する必要があります。
-
中国以外のSaaSアプリに対するサポート:Venustechは、中国以外のSaaSアプリをサポートしておらず、CIPSのサポートはAlibaba、Tencent、Huawei、Inspurに限定されています。
-
サード・パーティのソリューションへの投資のサポート:Venustechの製品は、機械可読な脅威インテリジェンス・ソリューションなどをサポートしていません。SOAR統合は独自のソリューションに限定されています。
追加および削除されたベンダー
Gartenerは、市場の変化に応じてマジック・クアドラントに追加するベンダーをレビューして調整しています。このような調整の結果として、マジック・クアドラントに含まれるベンダーの組み合わせは時が経つにつれて変化する可能性があります。あるベンダーがある年にマジック・クアドラントに登場したものの翌年は消えた場合、そのベンダーに関するガートナーの意見が変化したことを必ずしも表すわけではありません。これは、市場の変化、およびそれに伴う評価基準の変化、またはそのベンダーが重視する対象の変化が反映された結果である可能性があります。
追加されたベンダー
-
Elastic
-
Gurucul
-
Huawei
-
Microsoft
-
Odyssey
-
Sumo Logic
-
Venustech
また、RSAのスタンドアロン・ビジネスであるNetWitnessがDell Technologies(RSA)に取って代わったことにも注意してください。
削除されたベンダー
-
AT&T Cybersecurity:現在、SIEMオファリングをサービス提供プラットフォームとして位置付けています。
-
HanSight:このマジック・クアドラントに追加するための商業上の要件を満たしませんでした。
-
SolarWinds:このマジック・クアドラントに追加するための分析関連の要件を満たしませんでした。
追加および削除の基準
追加基準は、ガートナーのアナリストがベンダーをこのマジック・クアドラントに追加するために必要であると見なした特定の属性を表しています。
ベンダーが追加される資格を得るには、以下の基準を満たす必要がありました。
-
ベンダーの製品は、ソフトウェア、アプライアンスまたはSaaSを介してセキュリティ情報管理(SIM)機能とセキュリティ・イベント管理(SEM)機能をエンドユーザー顧客に提供している必要がありました。
-
ベンダーのSIEM製品は、ネイティブの機能を介して、またはSIEMベンダーが販売しているアドオン製品との緊密な統合を介して、高度な分析(UEBA用の機械学習など)を介した基本的な相関から広範な検知分析を提供している必要がありました。
-
SIEM機能とアドオン・ソリューションは、2020年11月1日の時点から一般的に利用可能である必要がありました。
-
ベンダーの製品は、市場をリードするネットワーク・テクノロジ、エンドポイント、サーバー、クラウド(IaaSまたはSaaS)、ビジネス・アプリケーションを含む異種のサードパーティ・ソース(つまり、SIEMベンダー独自の製品やSaaSとは異なるソース)からのデータ・キャプチャと分析をサポートしている必要がありました。
-
ベンダーは、2020年9月30日までの12カ月で5,000万ドルを超えるSIEMの収益(トレーニング、専門サービス、マネージド・サービスからの収益を除く、製品/SaaSライセンスとメンテナンスの収益)があった、または250のエンドユーザーの製造業の顧客がいた、または同期間の終了時点で50の新しいロゴのエンドユーザーの製造業の顧客を加えた必要がありました。製造業の顧客とは、SIEMオファリングをライセンシングし、このオファリングを使用して製造環境をモニタリングしている顧客として定義されています。
-
ベンダーは、2019年10月1日から2020年9月30日までの期間に本社を構えていた地域以外からSIEM製品/SaaSの収益の15%を上げるとともに、北米、欧州、中東、アフリカ(EMEA)、アジア/太平洋、ラテンアメリカのうち最低限2つの各地域に最低限15のエンドユーザーの製造業の顧客がいる必要がありました。
-
ベンダーは、2020年9月30日の時点で北米、EMEA、アジア/太平洋、ラテンアメリカのうち最低限2つの地域を対象として(地域内の営業所または指定した地域内の小売業者を介して)営業およびマーケティング・オペレーションを行っている必要がありました。
検討事項からは以下が除外されました。
-
マネージド・サービス関係を介してのみ利用可能な機能。すなわち、顧客がベンダーのマネージド・セキュリティ、マネージド検知および対応、マネージドSIEM、またはその他のマネージド・サービス・プロファイリングを契約した場合のみ利用可能なSIEM機能。Gartenerでは、マネージド・サービスとは、顧客がアラート、インシデント、ケースを確立、モニタリング、エスカレート、または対応するためにベンダーを雇うサービスを意味します。
選外佳作
-
AT&T Cybersecurity:このベンダーのUSM Anywhereオファリングは、SIEMオファリングではなくサービス提供プラットフォームとして位置付けし直されています。
-
Devo:このベンダーは、このマジック・クアドラントに追加するための機能または商業上の要件を満たしませんでした。
-
Graylog:このベンダーは、このマジック・クアドラントに追加するための機能上の要件を満たしませんでした。
-
HanSight:このベンダーは、このマジック・クアドラントに追加するための商業上の要件を満たしませんでした。このベンダーは、2020年6月にQihoo 360 Technologyによって買収されました。
-
Logsign:このベンダーは、このマジック・クアドラントに追加するための商業上の要件を満たしませんでした。
-
Netsurion:このベンダーのEventTrackerソリューションは、エンドユーザーのSIEMソリューションというよりサービス提供プラットフォームとして位置付けられています。
-
SolarWinds:このベンダーは、分析機能上の要件を満たしませんでした。
評価基準
実行能力
製品またはサービス:この基準では、リアルタイムのセキュリティ・モニタリング、セキュリティ分析、インシデント管理と対応、レポーティング、デプロイメントの簡潔さ、これらの実行の履歴などの分野で製品機能を提供するベンダーの能力を評価します。
全体的な実行可能性:この基準には、ベンダーの財政状態、会社全体の財政的および実質的な成功、SIEMテクノロジに投資し続ける可能性の評価が含まれます。
営業実行/価格設定:この基準では、SIEM市場におけるベンダーの成功とプレセールの能力を評価します。検討事項には、SIEMの収益とインストール・ベースの規模、SIEMの収益とインストール・ベースの成長率、プレセールのサポート、販売チャネルの全体的な効率が含まれます。Gartnerの顧客による興味のレベルも検討されます。
市場への対応/記録:この基準では、購入者が取得時に表す機能要件にベンダーのSIEMオファリングがどの程度一致しているか、および新機能が市場で求められている際に新機能を提供した履歴を評価します。また、ベンダーがオファリングを主な競合他社のオファリングとどのように差別化しているかも検討されます。
マーケティング実行:この基準では、顧客のニーズに関するGartnerの理解の観点からベンダーのSIEMのマーケティング・メッセージを評価します。また、業界別または地域別セグメント別の変化も評価します。
カスタマー・エクスペリエンス:この基準では、本番環境における製品機能とサービスのエクスペリエンスを評価します。デプロイメント、オペレーション、管理の容易さ、安定性、スケーラビリティ、ベンダーのサポート機能が含まれます。この基準は、Gartnerの顧客調査サービスを介して記録したフィードバックの分析、Gartner Peer Insightsフォーラムでのレビュー、ベンダーのSIEMオファリングを使用しているか、これらオファリングの競争力の評価を実施したガートナーの顧客とのその他の対話に基づいて評価されます。
オペレーション:この基準では、ベンダーのサービス、サポート、営業の能力を評価します。これには、複数の地域にわたるこれらの能力の評価が含まれます。
表1:評価基準を実行する能力
|
製品またはサービス
|
高
|
|
全体的な実行可能性
|
中
|
|
営業実行/価格設定
|
高
|
|
市場への対応/記録
|
高
|
|
マーケティング実行
|
中
|
|
カスタマーエクスペリエンス
|
中
|
|
オペレーション
|
中
|
|
|
|
原典:ガートナー(2021年6月)
ビジョンの完全性
市場の理解:この基準では、購入者の現在のニーズと新しいニーズを理解し、その理解を製品とサービスにする変換するベンダーの能力を評価します。市場の理解に関して最も高いレベルを示したSIEMのベンダーは、早期標的型攻撃および違反検知、簡易実装およびオペレーションなどの分野で顧客の要件に適合すると同時に、コンプライアンスのレポーティング要件を満たすこともできます。
マーケティング戦略:この基準では、SIEMオファリングの価値と競争的差別化要因を伝えるベンダーの能力を評価します。
営業戦略:この基準では、ベンダーが直接的および間接的な営業、マーケティング、サービス、コミュニケーションの系列会社を使用して市場リーチをの範囲と深さを拡大する能力を評価します。
オファリング(製品)戦略:この基準では、ベンダーの機能が現在の要件にどの程度一致しているかを重視しながら、製品の開発と提供に関するベンダーのアプローチを評価します。次の12~18カ月間の開発計画も評価します。SIEM市場は成熟しています。一般的なネットワーク・デバイス、セキュリティ・デバイス、OS、統合された管理機能などの分野では大半のベンダー間にはほぼ差異がありません。Gartnerでは、IaaS、SaaS、環境コンテキストなどの新しいイベント・ソースの有効範囲に、より大きい加重を割り当てています。
ベンダーが能力を拡大することに焦点を当てているにもかかわらず、Gartnerは、デプロイメントおよび進行中のサポートの簡潔さを重視し続けます。特にITとセキュリティのリソースが限定されたユーザーは依然として、基本的なユースケースを超える有効範囲の幅よりもこの属性を重視しています。SIEM製品は複雑で、ベンダーが能力を拡大するのに伴い、より複雑になる傾向があります。
ユーザーがサービスとして首尾よく使用したり、限定されたリソースでデプロイ、構成、管理したりできる効率的な製品を提供できるベンダーが、最も大きな成功を収めます。
Gartnerでは、SIEMテクノロジとサポート・サービスの共同管理されたデプロイメントまたはハイブリッド・デプロイメント用のオプションを評価します。なぜなら、SIEMテクノロジのデプロイメントをモニタリングまたは管理するための継続的なサービスのサポートを期待または要求するガートナーの顧客の数が増え続けているからです。
垂直戦略/業界戦略:この基準では、業界に固有のSIEM要件をサポートするベンダーの戦略を評価します。
イノベーション:この基準では、顧客にとって最も重要な要件を一義的に満たす方法で、競合他社の手段から差別化されたベンダーのSIEMテクノロジの開発および提供手段を評価します。顧客によって必要とされてデプロイされるその他の製品固有の機能に加えて、アプリケーション・レイヤー・モニタリング、アイデンティティ指向のモニタリング、インシデント調査などの分野における製品の機能と顧客の使用状況を評価します。高度な脅威検知とインシデント対応に必要な機能に大きい加重が割り当てられます。これには、ユーザー、データ、アプリケーションのモニタリング、アドホック・クエリ、視覚化、インシデントを調査するためのコンテキストのオーケストレーションと取り込み、ワークフロー/ケース管理機能があります。
地理的戦略:この基準では、北米とEMEAの市場が最も大きいSIEMの収益を上げていますが、SIEMにとってはラテンアメリカとアジア/太平洋が成長市場であり、これらの成長は第一に脅威管理に対する需要によって、第二にコンプライアンス要件によって促進されるという事実を考慮します。このマジック・クアドラントにおけるGartnerによるベンダーの全体的な評価には、これらの地域における営業とサポートの戦略のほか、データ・レジデンシーとデータ・プライバシーに関する現地と地域のコンプライアンス要件をサポートする製品機能の評価が含まれます。
表2:ビジョンの完全性の評価基準
|
市場の理解
|
高
|
|
マーケティング戦略
|
中
|
|
営業戦略
|
中
|
|
オファリング(製品)戦略
|
高
|
|
ビジネス・モデル
|
未評価
|
|
垂直戦略/業界戦略
|
中
|
|
イノベーション
|
高
|
|
地理的戦略
|
中
|
|
|
|
原典:ガートナー(2021年6月)
クアドラントの説明
リーダー
リーダーは、市場の一般的な要件と機能的に強力に一致する製品を提供します。これらのベンダーは、SIEM市場でのインストール・ベースと収益ストリームの構築において優れた成功を収めています。現在の顧客要件としっかり一致したテクノロジを提供することに加えて、リーダーは、新しい要件や期待される要件に関して優れたビジョンと実行力の証拠を示します。リーダーは通常、比較的高い市場占有率や強力な収益の成長を実現し、SIEM機能や関連するサービスと製品に関して顧客から肯定的なフィードバックを受け取ります。
チャレンジャー
チャレンジャーは、複数の製品またはサービス系列、少なくとも1つの程よい規模のSIEM顧客基盤、市場の一般的な要件のサブセットを満たす製品を有しています。SIEM市場が成熟するに伴い、チャレンジャーの数は、マジック・クアドラントのこのエディションには存在しなくなるまで減少しました。チャレンジャーは通常、強力な実行能力を持っています。このことは、経済的リソース、営業とブランドの際立つ存在感によって立証されています。ただし、チャレンジャーは、完全なSIEM機能セットを実証できないか、リーダーの履歴と比較してSIEMテクノロジに関して競争力のある成功の履歴が欠如しています。
概念先行型
概念先行型は、市場の一般的な要件と機能的に強力に一致する製品を提供しますが、実行能力がリーダーより劣っています。この実行能力の低さは通常、リーダーより製品機能のスコアが低いこと、またはSIEM市場における存在感が薄いことが原因です。これらは、インストール・ベース、収益の規模または成長、全体的な会社の規模、または一般的な実行可能性(またはこれらの属性の組み合わせ)によって測定されます。
特定市場指向型
特定市場指向型は主に、特定のSIEMのユースケースまたはSIEM市場の機能要件としっかり合ったSIEMテクノロジを提供するベンダーです。特定市場指向型は、顧客基盤の特定のセグメント(中規模の組織、サービス・プロバイダ、または特定の地域や業界)に焦点を当てています。または、限定されたSIEMの機能セットを提供している場合もあります。また、特定市場指向型は、インストール・ベースが小さい場合や、Gartnerの基準によると、その他の要因によって限定されている場合があります。これらの要因には、限定された投資や機能、地理的に限定された実績、または現在および12カ月間の計画期間中に組織に広範な機能セットを提供することを阻害するその他の要因が含まれます。このクアドラントに追加されても、重視する市場またはユースケースの範囲が狭いことに関してベンダーの価値に悪影響を及ぼすわけではありません。
コンテキスト
SIEMテクノロジは、中核となるSIMおよびSEM機能とともに、様々な高度な機能、補完的ソリューション、機能を提供します。SIEMテクノロジは、ほぼリアルタイムのセキュリティ・イベント・モニタリング、(リアルタイムと履歴分析経由の両方における)脅威検知、インシデント調査と対応、コンプライアンス要件をサポートします。中核となる機能には、以下が含まれます。
-
様々なフォーム(未処理バージョン、エンリッチ・バージョン、正規化バージョンなど)で処理および保存できる、セントラル・リポジトリ内の広範なソースからのセキュリティ・イベント情報のコレクション
-
リアルタイム分析と履歴分析、潜在的な脅威に対するアラーティング
-
レポーティングとダッシュボード
-
フォレンジックと脅威ハンティング用の履歴データの検索
-
ワークフローとケース管理
-
価値提案を拡張し、より多くの機能を利用可能にするための統合と自動化
SIEMテクノロジは通常、以下を目的としてデプロイされます。
-
複数のシステムとアプリケーション間でアクティビティをモニタリング、相関、分析する。
-
外部と内部の脅威を発見する。
-
ユーザー、特定のタイプのユーザー(特権的アクセス権を持つユーザー(内部のユーザーとサードパーティのユーザー)、重要なデータ・アセット(知的財産など)に対するアクセス権を持つユーザー)、経営陣のアクティビティをモニタリングする。
-
サーバー・リソースとデータベース・リソースへのアクセスをモニタリングし、データ引き出しのモニタリング機能を提供する。
-
コンプライアンス要件をサポートし、コンプライアンス・レポーティングを提供する。
-
インシデント対応をサポートし、脅威をハンティングし、アクションとワークフローをいっそう編成および自動化するための分析とワークフローを提供することで、SOCタイプのユースケースを強化する。
SIEMテクノロジは、ネットワーク、デバイス、システム、アプリケーションによって作成されたイベント・データを集約および分析します。主なデータ・ソースは時系列ベースのログ・データですが、SIEMテクノロジは、その他のフォームのデータを処理(リアルタイムのモニタリング用)および活用(インシデント調査および対応用)することで、ユーザー、ITアセット、データ、アプリケーション、脅威、脆弱性(Active Directory [AD]、構成管理データベース[CMDB]、脆弱性管理データ、HR情報、脅威インテリジェンスなど)に関するコンテキストを取得するために進化しています。
市場概要
SIEM市場は、2019年の35億5,000万ドルから2020年の35億8,000万ドルまで成長しました。脅威管理(および特に脅威検知および対応)が依然として第一の促進要因であり、一般的なモニタリングとコンプライアンスが第二の要因となっています。北米では、セキュリティ・リソースは限定されているものの往々にしてより大手の顧客またはビジネス・パートナーの強要によってモニタリングと違反検知を改善する要求を突きつけられた組織により、多くの新しいデプロイメントが実施されています。SIEMの購入者の大半は、コンプライアンス・レポーティングに対するサポートを最低限必要な要件であると考えています。
テクノロジの採用に関して保守的な大手企業も、SIEMをデプロイしています。これらの大手の採用の遅い組織(および多くの小規模の組織)は、デプロイメントの簡潔さとオペレーションのサポートを重視しているため、サービスとして提供されるクラウドベースのSIEMに対する興味を高めています。Gartnerでは、あらゆる規模の組織が、不完全な、限界の、失敗したデプロイメントに関連するSIEMテクノロジを置き換えるため、または調査および対応アクティビティを実施するアナリストに対してより優れた分析と自動化のサポートを提供するためにSIEMベンダーを再評価する様子を観察し続けています。
SIEM市場は成熟した、競争の激しい市場です。この広範な採用の段階では、複数のベンダーが一般的な顧客の基本的な要件を満たすことができます。ニーズが満たされていない最も大きい分野では、標的型攻撃および違反の効率的な検知とこれらに対する対応が懸念されています。脅威インテリジェンス、行動プロファイリング、分析を効率的に利用できれば、検知の成功率が向上します。SIEMベンダーは、行動分析機能に対するネイティブのサポート、およびサードパーティのテクノロジとの統合を改善し続けています。また、ガートナーの顧客は、行動に基づくユースケースの開発に対する興味をますます高めています。顧客はまた、IaaS環境、ワークロード、SaaSアプリケーションのモニタリングを、SIEMのデプロイメントに必要なモニタリングの範囲に追加しています。
SIEMデプロイメントは、より多くのユースケースやイベント・ソース、EDR、NDR、SOARなどの補完的テクノロジとのより多くの統合を組み込むために、3年間にわたって範囲が拡大する傾向があります。ただし、組織が、より分散した労動力、および脅威に素早く対応することに対する要求に満足すれば、SOARやEDRなどのソリューションがSIEM製品と一緒に初期のデプロイメントの一部になる可能性があります。また、ユースケースの数が増え、これらがより複雑になるにつれ、通常、SIEM製品を実行、チューニング、運用し、インシデントに対応するためのリソースに対する需要が大きくなります。
SIEMベンダーのランドスケープ
SIEMテクノロジ市場には成熟したベンダー多く存在しますが、これらのベンダーに対抗することを目指した新しいベンダーが参入し続けています。したがって、SIEMのベンダーのランドスケープは動的であり続け、確立されたプロバイダーと最近参入したプロバイダーがクラウドベースのSaaSオファリングを提供し、脅威を特定して優先順位付けするための高度な分析技術を追加または拡張しています。SIEMベンダーは、ネイティブ機能とサードパーティのSOARソリューションとの統合を介して調査機能と対応機能を改善し続けています。
SIEM市場は、大規模な顧客基盤を持つ少数のベンダーや、顧客基盤は小規模だが急速に増大しているその他のベンダーによって特徴付けられます。Splunk、Micro Focus、IBM、LogRhythmが、市場の収益の大幅な占有率を占めています。Elastic、Sumo Logic、Guruculが、SIEMに関する機能要件を満たす機能を有し、現在、このマジック・クアドラントに加わるための市場基準を満たしています。市場占有率はより小さいながらも、分析に集中したユースケースまたはSaaS消費モデル、あるいはその両方のサポートにおける強みのため、ガートナーの顧客から大きな関心を集めているベンダーも複数存在します。その他のベンダーは、その他の製品の購入者、地理的好みを持つ購入者、テクノロジ・プロバイダーのアドオン・モニタリング・サービスを求めている購入者などの独特な市場セグメントの関心を集めています。
SIEMサービス
Gartnerの顧客の多くは、SIEMデプロイメントに対する外部のサービス・サポートを求めていること、SIEM製品に関連するサポートを得ることを計画していることを表明しています。これらの多くは、SIEMデプロイメントを管理するための内部リソースの欠如、リアルタイムのアラート・モニタリングを実行するためのリソースの欠如、または新しいユースケースのデプロイメントを拡張するための専門知識の欠如を表明しています。より多くの顧客が24時間年中無休でモニタリングをする必要に迫られるに伴い、SIEMユーザーからのこのようなサービスに対する需要が成長し続けるため、より深いSIEMのオペレーションと分析の専門知識を必要とするユースケースが実施されることを想定しています。また、Gartenerは、SOC Primeなどのサードパーティのベンダーや、複数のSIEM製品に関連付けられたユーザー・コミュニティを介してユースケース・コンテンツを獲得することに対する興味が高まることも想定しています。
SIEMベンダーは、複数の手段を使用して顧客のリソースの欠如に対処する方法に移行しました。SIEMをSaaSとして提供することで、ベンダーは、顧客が基礎となるテクノロジ・プラットフォームを維持しなくてすむようにしました。なぜなら、ベンダーがこのようなサポートを提供するからです。ただし、顧客は依然として、コンテンツを構成し、SIEMソリューションによって発生したイベントを調査するために独自のリソースを提供(またはその他のサービス・プロバイダーを使用)する必要があります。いくつかのSIEMベンダーは、独自のスタッフによってマネージド・サービスを提供しているため、顧客が単一のベンダーからテクノロジとサービスを取得できます。イベントのリアルタイムのモニタリングと分析を提供し、レポーティングと調査用のログを収集しているMSSPは、SIEMユーザーにとってもう1つのオプションとなります。イベントの収集と保存、アラーティング、調査、レポーティングに関する顧客固有の要件は、外部のサービス・プロバイダーにとっては問題となる可能性があります。サービスを調べているSIEMユーザーは、現在のユースケースと計画中のユースケース、特にSaaSとIaaSのモニタリングが含まれるユースケースに対するプロバイダーの適性を評価する必要があります。
SIEMの別の選択肢
SIEM製品の購入と実行の複雑さとコストや、その他のセキュリティ分析テクノロジの台頭のため、攻撃を特定して対応するためのイベント・データの収集と分析に対する別のアプローチに関する関心が高まっています。これらの別の選択肢には、以下が含まれます。
-
イベントの収集および分析用のプラットフォーム:これらのイベントの収集および分析用の製品は、一部のSIEMのユースケースや、場合によってはその他のセキュリティ以外のユースケースに対応できます。これにより、購入者が、コストを複数の予算に分散したり、より広い内部の専門知識のプールを開発したりしやすくなる可能性があります。ただし、これらの製品は、SIEMソリューションで利用可能な機能の完全な範囲に対するサポートが欠如している場合や、ユーザーが検知または調査コンテンツをより多く開発する必要がある場合があります。
-
拡張された検知および対応製品:これらの新しいオファリングは、エンドポイント、ネットワーク、クラウド用の保護、検知、対応製品の統合スイートです。これらは、これらの製品の範囲内で自動的な脅威検知および対応機能を提供するためにベンダーによって構成されています。XDRプラットフォームは、単一のベンダー・アプローチに深く関与しており、ベンダーによって定義および管理された脅威検知および対応オプションを受け入れることができる組織に対して、精選された「無干渉の」検知および対応機能を提供できる場合があります。組織は、XDR製品では対応できないユースケースにどうすれば対応できるかを理解する必要があります。興味深いことに、XDRテクノロジが進化するにつれて、Gartnerでは、FireEye、Gurucul、McAfee、SecuronixなどのベンダーがSIEMソリューションをXDRオファリングの一部として取り扱う様子を目の当たりにしています。ガートナーは、この傾向が続くと想定しています。
-
検知および対応サービスの管理:これらのサービスには広範な提供スタイルがありますが、焦点は、軽くトリアージされた顧客へのアラートのエスカレーションではなく、プロバイダーによるセキュリティ・イベントの防止と改善に関するアドバイスの調査、検証、プレゼンテーションに当てられています。通常はエンドポイントやネットワークベースの制御を介して、イベントを防止または中断するアクションをプロバイダーが提供し、顧客がそれを進んで受け入れる傾向が高まっています。これらのプロバイダーが顧客のセキュリティ制御の範囲をモニタリングし、コンプライアンス・レポーティング用のログを収集する能力はそれぞれ異なります。詳細については、『マネージド検知/対応サービスに関するマーケット・ガイド』を参照してください。
評価基準の定義
実行能力
製品/サービス:定義された市場に対してベンダーによって提供される中核的な商品とサービス。これには、市場定義に定義されてサブ基準に詳述されているとおりにネイティブに提供されるかOEM契約/提携を介して提供されるかとは関係なく、現在の製品/サービス機能、品質、機能セット、スキルなどが含まれます。
全体的な実行可能性:実行可能性には、組織全体の財政状態、事業単位の財政的および実質的な成功、個々の事業単位が製品への投資を続ける可能性、製品を提供し続ける可能性、組織の製品のポートフォリオ内で最新技術を進歩させる可能性の評価が含まれます。
営業実行/価格設定:すべてのプレセール・アクティビティにおけるベンダーの能力と、これらをサポートする構造。これには、取引管理、価格設定と交渉、プレセールのサポート、販売チャネルの全体的な効率が含まれます。
市場への対応/記録:機会が生じ、競合他社が行動し、顧客のニーズが進化し、市場の力学が変化したときに、対応し、方向を変え、柔軟になり、競争に勝つ能力。この基準では、ベンダーの対応の履歴も考慮します。
マーケティング実行:市場に影響を及ぼす組織のメッセージを伝え、ブランドとビジネスを促進し、製品の認知度を高め、購入者のマインドに製品/ブランドと組織に関する肯定的な認識を確立することを目的として設計されたプログラムの明確さ、品質、独創性、効率。この「マインド・シェア」は、宣伝、販売促進計画、ソート・リーダーシップ、口コミ、営業活動によって促進できます。
カスタマー・エクスペリエンス:評価された製品を使用して顧客が成功することを可能にする結果、製品、サービス/プログラム。これには特に、顧客が技術サポートまたはアカウント・サポートを受ける方法が含まれます。これにはまた、補助ツール、カスタマー・サポート・プログラム(およびその品質)、ユーザー・グループの可用性、サービス品質保証なども含まれる場合があります。
オペレーション:組織が目標と約束を満たす能力。要因には、スキル、経験、プログラム、システム、組織が継続的にオペレーションを効率的かつ効果的に実行することを可能にするその他の手段を含む、組織構造の質が含まれます。
ビジョンの完全性
市場の理解:ベンダーが購入者の欲求とニーズを理解し、これらを製品とサービスに変換する能力。最も高いビジョンのレベルを示すベンダーは、購入者の欲求とニーズに耳を傾けて理解し、追加されたビジョンを使用してこれらを具体化または強化できます。
マーケティング戦略:組織全体にわたって一貫して伝えられ、Webサイト、広告、カスタマープログラム、ポジショニングステートメントを介して具体化された、差別化された明確な一連のメッセージ。
営業戦略:市場リーチ、スキル、専門知識、テクノロジ、サービス、顧客基盤の範囲と深さを拡張する直接的販売と間接的販売、マーケティング、サービス、コミュニケーション用の系列会社の適切なネットワークを使用する販売製品の戦略。
オファリング(製品)戦略:現在と将来の要件にマッピングされる差別化、機能、手法、機能セットを強調する製品の開発と提供に対するベンダーのアプローチ。
ビジネス・モデル:ベンダーの基礎となるビジネス上の提案の健全性とロジック。
垂直戦略/業界戦略:垂直市場を含む顧客の市場セグメントの特定のニーズを満たすためにリソース、スキル、オファリングを差配するベンダーの戦略。
イノベーション:投資、統合、防衛、先制を目的としたリソース、専門知識、または資本の直接的、関連、補完的、相乗効果的レイアウト。
地理的戦略:直接的に、または地域と市場に適したパートナー、チャネル、子会社を介して、「ホーム」またはネイティブの地域の外部で地域の特定のニーズを満たすためにリソース、スキル、オファリングを差配するベンダーの戦略。
Is this content helpful to you?
© 2021 Gartner, Inc. およびその関連会社。All rights reserved. Gartner は、Gartner, Inc. またはその関連会社の登録商標です。ガートナーの書面による事前承諾なく本書を複製、または配布することは禁じられています。本書の情報は、信頼できると思われる情報源から入手したものです。ガートナーは、当該情報の正確性、完全性、または妥当性については保証を行わず、本書に記載の情報、もしくはその解釈における誤り、抜け、または不備については一切の責任を負いません。本書は、ガートナーの研究機関の見解から構成されており、事実を述べたものではありません。本書に記載の見解は、予告なく変更される可能性があります。ガートナーの調査結果において、法的問題を論じることはありますが、ガートナーは法律上の助言やサービスは提供しておらず、調査結果はこれを踏まえて解釈、または使用することとします。ガートナーは公開会社であり、株主にはガートナーの調査対象組織と経済的利害関係にある企業および投資信託会社が含まれています。ガートナーの役員会には当該企業または投資信託会社の経営幹部が在籍する場合があります。ガートナーの調査は、当該企業、投資信託会社、またはそれぞれの経営者からの意見の提示や影響を受けずに、ガートナーの研究機関が独自に結果を出します。ガートナーの調査の独自性と整合性の詳細については、当社の Web サイト http://www.gartner.com/technology/about/ombudsman/omb_guide2.jsp に掲載されている『Guiding Principles on Independence and Objectivity (独立性と客観性に関する指針)』をご覧ください。
このドキュメントでのガートナーの調査結果は、英語で行われたものを日本語に翻訳したものです。ガートナーは、できる限り翻訳が正確かつ完全となるように、合理的なビジネス上のあらゆる努力を払っています。しかし、あらゆる翻訳と同様に、必然的にある程度の不一致が存在する可能性があります。不一致が存在する場合、内容または意図に関して、元の英語で説明された意味が常に優先されます