SIEMを導入しても意味がない？ログ収集も分析もできないなら

PLURA 2025-05-16

📉 多くの企業が 統合ログ管理、SIEM の導入を検討しています。
しかし、重要な問いがあります：本当にログは収集できていますか？ そして 収集されたログをきちんと分析できていますか？

結論から言えば、ほとんどの企業はログを正しく収集できておらず、
分析する能力も備わっていません。

このような状況では、SIEMは結局のところ 高価な可視化ダッシュボード 以上の意味を持ちません。

SIEM: Security Information and Event Management

SIEM導入の幻想

1. ログ収集すらできない現実 🛑

(1) ウェブサーバーログ収集の限界

ほとんどの ウェブサーバー は、単純な アクセスログ しか残しません。
- このログには主に IPアドレス、URL、ステータスコード、簡易なリクエストヘッダー などしか記録されません。
リクエストボディ（Request Body）や レスポンスボディ（Response Body）はログに残らないことが多いです。
- 👉 SQLインジェクションはリクエストボディに含まれる悪意あるクエリで動作します。
- 👉 個人情報漏洩はレスポンスボディを通じて外部に流出します。
そのため、重要な攻撃情報がログに全く存在しない可能性があり、攻撃やインシデントが発生しても、ログだけでは把握が困難な状況が起こります。

一部のソリューション（WAFなど）や高機能なロギング機能を通じて ボディ（Request/Response）をキャプチャすることは可能ですが、
パフォーマンス低下や追加コストの問題により、ほとんどの企業では十分に導入できていないのが現実です。

👉 ウェブを通じたデータ漏洩ハッキングへの対応
👉 ウェブ全体のログ分析がなぜ重要なのか？

(2) 監査ポリシーのないOSログ収集の限界

WindowsやLinuxなどの オペレーティングシステムの監査（Auditing）ポリシーが無効化されている場合、
- ユーザーログイン、プロセス実行、権限変更などの重要なイベントが まったく記録されません。
監査ポリシーを有効にしても、数十万〜数百万件のログが蓄積される環境では、
- 正常 vs. 異常 イベントを分類するための ルール や 分析基準 がなければ意味がありません。
- 結局「ログはあるけれど、解釈や分類ができない」という問題に行き着きます。

(3) 情報セキュリティ製品におけるログ収集の限界

ウェブサーバーやオペレーティングシステムのログだけでは 十分な攻撃情報 を得るのが難しいように、
IPS、NDR、WAF、EDR などの主要なセキュリティソリューションも、それぞれに ログ収集の制約 を抱えています。

[1] 侵入防止システム（IPS）ログ収集の限界

HTTPS復号の問題
- IPSがHTTPSトラフィック全体を復号してSIEMに転送する機能は、一般的に制限されています。
- 大規模環境で完全な復号を試みるとパフォーマンスの負担が大きく、
  実際にサポートされているかも慎重に確認する必要があります。
SSH、RDPなど暗号化プロトコルの復号不可
- SSH、RDPはセッションキーを用いたエンドツーエンドの暗号化方式であり、
  中間（IPS）での復号は事実上不可能です。
- IPSではヘッダーや接続情報程度しか分析できず、
  内部のセッションデータ（コマンドやファイル転送内容）はSIEMに提供できません。
結論
- IPSのログは主にTCP/IPレベルの情報に限定されます。
- HTTPS復号は通常、WAFやTLSプロキシが担当し、
  SSH/RDPは中間での復号ができないため、本文分析は困難です。
- つまり、IPSだけで暗号化トラフィックの詳細情報をSIEMに提供するのは現実的に困難です。

👉 IPSの進化とセキュリティ環境の変化
👉 侵入防止システム（IPS）を理解する

[2] ネットワーク検知および対応（NDR）ログ収集の限界

NDR（Network Detection & Response）はネットワークトラフィックを振る舞いベースで分析・対応しますが、以下のような限界があります。

HTTPS復号の問題（IPSと同様）
- 一部のNDRは証明書やプロキシを利用してHTTPSを部分的に復号できますが、
  Webアプリケーションファイアウォール（WAF）のようにHTTP本文まで深く分析する機能は一般的に備わっていません。
SSH、RDPなど暗号化プロトコルの復号不可（IPSと同様）
- SSH、RDPのようなエンドツーエンド暗号化プロトコルは、NDRによる中間復号ができません。
- その結果、プロトコル内部のコマンドやファイル転送などはSIEMログとして記録できません。
結論
- NDRもまた、暗号化プロトコル（SSH、RDP）の本文をSIEMに送信できません。
- HTTPSについては部分的に復号可能ですが、完全な本文分析に対応している製品は稀です。
- よって、IPSと同様に、NDRだけでは暗号化されたトラフィックの詳細をSIEMに提供するのは困難です。

👉 NDRの限界：解決不可能なミッション

[3] Webアプリケーションファイアウォール（WAF）ログ収集の限界

検知・遮断されなかった元データ全体の転送に関する限界
- WAFは攻撃と判断されたリクエストについてはイベント形式で詳細なログを残せますが、
  正常トラフィックと判定された元データ全体をSIEMに転送する機能には制限があります。
- 全件キャプチャを試みるとパフォーマンスやストレージの負担が大きいため、
  製品ごとに実際のサポート状況や構成方法を事前に確認する必要があります。

👉 Webアプリケーションファイアウォール（WAF）の理解

[4] エンドポイントセキュリティ（EDR）ログ収集の限界

監査（Auditing）ポリシーが有効であって初めて有意義なログが確保可能
- EDRはエンドポイントでのプロセス実行、ファイル変更、レジストリの変更などを追跡しますが、
  WindowsやLinuxの監査ポリシーがオフになっていると、重要なイベントがまったく記録されません。
- 監査ポリシーが無効な環境では、
  SIEMへ意味のあるデータを送信するのが難しくなります。

最終まとめ

Webサーバーでは基本的なアクセスログだけでは、SQLインジェクションや個人情報漏洩といった本文攻撃を把握するのは困難です。
OSの監査ポリシーがオフになっていると、ログがまったく記録されないという問題が発生します。
IPSおよびNDRの両方とも、HTTPS以外の暗号化プロトコル（SSH、RDPなど）の本文を復号できず、
HTTPSでさえ完全な復号や本文分析は容易ではありません。
WAFはWebトラフィックを復号・分析して攻撃を遮断できますが、正常トラフィック全体の送信には制限があります。
EDRは監査ポリシーがオフになっていると、プロセスやファイルアクセスなどの重要なエンドポイント活動のログが一切残りません。

結局のところ、暗号化トラフィックやエンドポイント内部の挙動を完全にログ化するためには、

各ソリューションがどの範囲・レベルのデータ収集をサポートしているのかを事前に確認し、
ポリシー設定（監査ポリシーの有効化、TLSプロキシ構成など）および追加機能（高度なロギング、全件キャプチャなど）を運用環境に応じて適用する必要があります。

そうしなければ、SIEMに送られてくるログだけでは重大な攻撃や侵害の痕跡を正確に把握するのは困難となるでしょう。

2. ログ分析？できません 🤔

(1) SIEMでWebログから攻撃クエリを検索できるでしょうか？

SIEMを使って「SQLインジェクション、XSS、Webシェル」のようなWeb攻撃を見つけたいなら、

まずは悪意あるペイロードが含まれるフィールド（主にRequest/Post Body）を
収集してインデックス化できなければなりません。

なぜRequest Bodyなのか？

一般的なWebサーバーのアクセスログには、IPアドレス、URL、ステータスコード、リクエストヘッダー程度しか記録されません。
SQLインジェクションは通常、POSTやPUTリクエストの本文（Request Body）に
SELECT * FROM ...のような悪意あるクエリが含まれて実行されます。
しかし、一般的なWebサーバーやSIEMの設定だけでは、
Request Bodyそのものが記録されない場合が多く、
攻撃シグネチャ（select * from）をログ上で確認することができません。

「それならRequest Bodyまで収集すればいいのでは？」

確かに、WAF（Web Application Firewall）や特別なエージェントを使えば、
Request BodyをキャプチャしてSIEMに送ることができます。
しかし、たとえ収集できたとしても、SIEMが自動的に
「これはSQLインジェクションだ！」と判断してくれるわけではありません。
- select * fromという文字列が含まれているからといって、
  必ずしも攻撃であるとは限りません（正当なクエリの可能性もあります）。
- 実際にはユーザー自身が検知ルールやクエリ（「この文字列＋特定条件が入っていれば攻撃の疑い」など）を
  細かく設定し、例外ケースを除外する必要があります。

結局は、「攻撃クエリを自分で定義」する必要がある

WHERE request_body CONTAINS 'select * from'のような検索が可能だとしても、
- 正当なSQLリクエストと悪意あるリクエストを区別するには、ユーザー自身が高度なルールを作成しなければなりません。
- 例：「正当なクエリは社内APIから発生するので、特定のUser-Agentは除外しよう」など。
したがって、「SIEMが勝手にSQLインジェクションを検知してくれるだろう」と期待するのではなく、
- Request Bodyまで収集 → 攻撃パターン定義 → ルール設定
  この一連の流れを運用担当者が自ら行う必要があるという限界があります。

👉 なぜ私たちはGET/POSTログを分析するのか？

(2) BPFDoorのような高度な脅威の識別？

BPFDoorはLinuxカーネルレベルで隠蔽される高度なバックドアであり、

通常のユーザーモードプロセスやイベントログでは検出が非常に困難です。
2025年4月のSKテレコムのハッキング事件で使用され、甚大な被害をもたらしたマルウェアです。💀

なぜ通常のログでは検出できないのか？

カーネルレベルで動作するマルウェア（バックドア）は、
- オペレーティングシステムの通常のイベント（例：プロセスの開始/停止、ネットワーク接続）を見るだけでは痕跡を把握しにくいのです。
BPFDoorのようにeBPFやカーネルフックを悪用する攻撃は、
- ユーザー空間に見える痕跡（プロセス、ファイル、ネットワークセッションなど）を巧妙に隠蔽または改ざんします。

「フォレンジックツールが『BPFDoorの疑いあり』イベントを送ってくれたら？」

仮に、ある専門のフォレンジックツールがカーネルメモリやeBPFプログラムを調査して
「BPFDoorの疑いがあるイベント」をSIEMに送信したとしましょう。
しかしながら、SIEMが「これは100％BPFDoorだ！」と自動認識するためには、
- 該当ログのフィールド（“bpfd”、“特定のハッシュ値”、“特定の呼び出しパターン”など）を悪性と分類する
- ルールをあらかじめ設定しておく必要があります。
言い換えれば、ユーザーが「これはBPFDoorの兆候だ」と定義して、
- それに基づいた検索クエリやアラートポリシーを作成しておくことで、
- SIEMが「BPFDoorの疑いありイベント！」と通知できるようになるのです。

高度な脅威にはユーザーの知識とルールがより重要

つまり、フォレンジックツールがログを収集することは可能でも、
- 「このログが実際に脅威かどうか」を最終的に判断するのはSIEMではなくユーザーなのです。
ユーザーが攻撃手法を十分に理解し、SIEMに「これはBPFDoorの疑いあり」というルールを設定しておかなければ、
- 最終的にSIEMは「ただのログが届いたな…」程度にしか認識せずスルーしてしまいます。

(3) DLLインジェクションの検知？

DLLインジェクションとは、特定のDLL（動的ライブラリ）を悪意のある形で他のプロセスに挿入し、
権限昇格または任意コードの実行を狙う技術です。

単純なプロセスログでは検知できない

一般的に「プロセス実行ログ」には、「プロセスがどのDLLをロードしたか」が
詳細に記録されません（もしくは非常に限定的です）。
DLLインジェクションを正確に検出するには、
- 「誰が、いつ、どのDLLを呼び出したのか」を、
- ETW（Event Tracing for Windows）やSysmonの特殊なイベントで詳細に収集する必要があります。

データがあっても「そのDLLが悪性かどうか」は別の問題

例えば、“WHERE dll_name = 'malicious.dll'”のようなルールを作成したとしましょう。
- 攻撃者が malicious.dll ではない別のファイル名を使ったり、
- 正規署名付きのDLLを悪用すると、
- SIEMは「名前が一致しない。スルー。」と処理してしまう可能性があります。
結局はユーザー側で、「どのDLLが『異常なパス』からロードされたら異常とみなす」や
「署名がないDLLは警告する」などの
具体的なルールを設定しておかないと、
- SIEMは「DLLインジェクションの可能性あり！」と判断できません。

まとめると

DLLインジェクションのログを取得していても、自動分類は簡単ではありません。
「このDLLは正常」「あのDLLは悪性」といった分類基準を継続的に更新する必要があり、
その作業は最終的にユーザーの責任となるため、運用負荷が大きいのです。

(4) クレデンシャル・スタッフィング（Credential Stuffing）への対応？

クレデンシャル・スタッフィングとは、攻撃者が流出したユーザーアカウント（ID・パスワード）情報を入手し、
他のサービスやシステムで再利用して侵入を試みる手法です。

例：Aサービスから流出したアカウント情報を使って、Bサービスに大量ログインを試行。
2025年1月のGSリテールのハッキング事件では、顧客情報の流出に使用された攻撃です。💀

なぜSIEMだけでは対応が難しいのか？

単なるログイン失敗だけでは攻撃かどうか判断しづらい
- ログインの成功・失敗、IPアドレスなどは基本的に記録されますが、
- クレデンシャル・スタッフィングを正確に検出するには「あるIPが何件のユーザーIDを試行したか」まで把握する必要があります。
ユーザー情報（ID）は通常、リクエストボディ（POST Body）に記録される
- 一般的なアクセスログには「ログインページのURL」「ステータスコード（200、401など）」程度しか残らないケースが多いです。
- IDやパスワードが含まれるRequest Bodyを収集・分析しないと、「IP Aから user1, user2, user3…」というようなアカウント試行パターンを把握するのが困難です。
繰り返し・広範な試行を検知するには、ユーザーが正確な条件を定義しなければならない
- 例：「同一IPから短時間に複数アカウントの試行」→ 異常兆候
- 「同一アカウントに対して10回以上のログイン失敗」→ アカウントロックまたは追加認証
- こうしたルールをSIEMに手動で設定しない限り、SIEMは単なる失敗ログを記録するだけです。

例：「Credential Stuffing」検出ルールの作成

WHERE action='login' AND result='fail' AND ip_count > 5 IN 10min
WHERE request_body.user_id_count > 3 AND ip=’xxx.xxx.xxx.xxx’ IN 5min
このようにIPごとの試行ユーザー数や時間間隔などを精密に設定することで、
SIEMが「クレデンシャル・スタッフィングの疑いあり」とアラートを出せます。

結論

クレデンシャル・スタッフィングへの対策にはリクエストボディのログ（POST Body情報）が不可欠であり、
- リクエストボディのログ収集がなければ、
- 「どのIPが何件のユーザーIDを試したか」を分析するルールがなければ、
- SIEMは単に「ログイン失敗が繰り返されたな…」としか認識しません。
高度な自動対応（アカウントロック、追加認証）まで実現するには、
- SOARやWAFなどと連携し、
- ユーザー行動分析（UEBA）などを適用する必要があります。
結局、ユーザー自身がルールや検知ロジックを設計しない限り、
「クレデンシャル・スタッフィング」もSIEMだけでは自動認識が難しいのです。

✅ まとめ：「最終的にすべての攻撃をユーザーが定義しなければならないSIEMの限界」

上記4つの例（Web攻撃、BPFDoor、DLLインジェクション、クレデンシャル・スタッフィング）に共通する問題点は：

ログを収集できたとしても、
「そのログが実際に攻撃を意味しているか」という判断は、
- 結局SIEMが自動では行ってくれないという点です。
- ユーザーが攻撃パターン（シグネチャ、ルール）を事前に定義し、例外ケースを区別しない限り、
  SIEMが「異常兆候」として認識することはありません。

つまり、

「SIEM = 攻撃の自動分析」という期待は過剰な幻想であり、
適切なログ収集環境 + 攻撃ルール + 専門知識が揃っていないと、
実際には**「クエリを作って、ログを一つ一つ調べる」**状況が続く可能性があります。

最も重要な教訓：SIEMは収集されたデータを整形・検索するだけであり、
「どのログが悪性か」を主体的に判断してくれることはありません。
これは本質的に、人的リソースと組織の運用能力が問われる問題なのです。

3. SIEMの本質はダッシュボードではない 📊

(1) 美しいチャート ≠ ログ分析

SIEMベンダーはよく「AIダッシュボード」や「リスクスコアに基づく可視化」を強調します。
しかし、美しいビジュアルが脅威を自動で検出してくれるわけではありません。
ログの質（どんなデータがどれだけ詳細に収集されたか）と
分析能力（そのログを解釈し、攻撃の兆候を見つける能力）がなければ、
- ダッシュボードは単なる派手なグラフに過ぎません。

(2) SIEM ≠ 万能なセキュリティソリューション

SIEMはあくまで収集されたログを保存・分析することに特化したツールです。
何を収集するか、どう分析するかを決めなければ
- 👎 SIEMは空虚な統計画面に過ぎません。
特に多くの企業がオーバーエンジニアリングによって、
- 「SIEMさえ構築すれば、すべての攻撃を自動で防げる」と誤解しています。
- 実際にはログの収集範囲や分析ルールの設計が伴わなければ、
  - どんなに高価なSIEMを導入しても無意味です。

(3) SIEM + AI ≠ 万能なセキュリティソリューション

一部では「SIEMに蓄積されたすべてのログをAIエンジンに渡せば、
自動で全ての攻撃を見つけてくれる」と期待されています。
しかし、AIといえども、分析対象、優先順位、評価基準は
人間が設定する必要があります。
- 無条件にすべてのログを入力すると、コストパフォーマンスが著しく低下します。
- 意味のないログや正常なトラフィックが大量に混ざっていると、
  AIも「どのイベントが実際に脅威なのか」を正確に判断するのが難しくなります。
結局、AIモデルにもドメイン知識（どんな攻撃パターンが重要か、どんなデータが意味を持つか）と
体系的なルール設計が必要です。
- 「ゴミを入れればゴミが出る（Garbage In, Garbage Out）」という言葉通り、
  データが不適切なら、AIもまともな結果を出すことができません。
SIEMにAI機能を組み込んだとしても、
- ログ収集の質、分析基準、運用者のモニタリングが伴わなければ、
- 最終的には人間が定義し、解釈しなければならない問題が残ります。
したがって、「AIさえあればセキュリティは解決する」という期待もまた、
- 過度な楽観に過ぎず、
- 人間中心の運用体制が前提とならなければ、
- SIEM+AIも無用の長物になりかねません。

4. 結論：SIEM導入、その前にやるべきこと ✅

ログ収集環境をまず整えましょう。
- Web本文ログ（Request/Response Body）、OS監査ログ、DB監査ログなどを
  必要な範囲で収集できる体制を最初に構築すべきです。
- 収集すべきログが増えるほど、ストレージやネットワーク帯域の負担が増すため、
  優先順位を明確にして、段階的に拡張する戦略が望ましいです。
分析基準と検知ルールを自ら設計しましょう。
- 攻撃シナリオを具体化し、OWASP TOP 10、MITRE ATT&CK、社内ポリシーなどを参考にルールを作成します。
- 「どのイベントを異常とみなすのか？」「どのログを優先的に保管・分析するのか？」といった
  明確な基準がなければ、SIEMは正常に機能しません。
実務担当者の理解と教育が不可欠です。
- どれだけ優れたSIEMでも、運用者がログとルールを理解していなければ意味がありません。
- 人材育成、教育、そしてセキュリティチームと開発チーム間の連携体制を整え、
  実際に運用可能な組織を構築する必要があります。
現実的な運用コストの増加
- SIEM導入後は、ログストレージ、分析人員、クエリチューニングなどに多大な運用コストが必要です。
- たとえば、本文（Body）やOS監査ログのようにデータ範囲が拡張されると、
  ストレージ要件が急増し、ログ量の増加によりライセンス費用も上昇する可能性があります。
  フォレンジック・分析ツールとの連携によってログ量がさらに増えれば、追加ライセンス費用も発生します。
- また、ログ解釈を適切に行うにはセキュリティ専門人材（アナリスト、エンジニア）が必要であり、
  彼らはルールの更新や誤検知・正検知の判断といった高度な業務を行うため、人件費負担も無視できません。
- 結局、ソリューションの購入費用だけでなく、長期的な運用コスト（ストレージ、人員、保守、ライセンスなど）まで考慮して
  実際のTCO（Total Cost of Ownership）を把握する必要があります。
FAQ

Q1.「ログが膨大すぎる場合、どう管理すれば良いですか？」

A1. ログ収集範囲を業務・セキュリティの優先順位に応じて選別し、
必要であればアーカイブ用（長期保管）とオンライン分析用に分けて保存してください。
インデックス方針や圧縮機能を活用すれば、ストレージコストを効率化できます。

Q2.「自社向けの攻撃シナリオはどう作れば良いですか？」

A2. OWASP TOP 10やMITRE ATT&CKといった公開フレームワークを参考にしつつ、
自社サービスや内部業務プロセスを反映したカスタムルールの作成が重要です。
定期的にテストと検証を行い、実際の攻撃可能性を評価し、ルールを高度化してください。

Q3.「AIモデルを使えばセキュリティ人員は減らせますか？」

A3. AIベースの分析は、繰り返し作業や誤検知のフィルタリングなどの自動化には役立ちますが、
最終的な判断（「このイベントは本当に悪性か」）やルール設計は依然として人間が担う必要があります。
データ品質の管理やシナリオの更新などは専門人材が担当すべきです。

Q4.「SIEMを構築すればSOAR（自動対応）も可能ですか？」

A4. 理論上、SOAR（Security Orchestration, Automation, and Response）は
SIEMで発生したイベントやアラートを自動処理できる高度なソリューションです。
しかしSOARを正しく導入するには、SIEMが正確なイベント（正検知）を安定して提供する必要があり、
自動化ルール（ワークフロー）も緻密に構築する必要があります。
もしSIEMの運用が未熟で誤検知が多い場合、SOARの段階で誤った遮断など
重大なリスクが発生する可能性があるため、まずSIEMを安定化させてからSOAR拡張を検討するのが安全です。

したがって

(1) SIEM導入後は、ログ収集体制と検知ルールを安定化させ、
(2) 正常と誤検知を識別できる分析力を備えた上で、
(3) SIEMがある程度正確な結果を出せるようになった段階で
SOARを検討するのが現実的です。

「完璧なSIEMを構築した後にSOARへ拡張しても遅くはない」という言葉があるほど、
SIEMの運用能力が先に整ってこそ、SOARの効果も最大化できます。
可能であれば PLURA-SIEM レベルを目指すべきです。

まとめると、SIEMは導入よりも運用の方がはるかに重要な領域です。
ログの収集と分析体制を整えなければ、SIEMは単なる高価なダッシュボードに過ぎません。

ログがなければ検知もありません。
ルールがなければ分析もありません。
結局、ダッシュボードはただの絵に過ぎないのです。🎨

5. SIEM導入前チェックリスト 📋

SIEM導入前に必ず確認すべき項目を簡潔にまとめました。

項目	重要な確認事項	チェック
ログ収集範囲	- Request Body/Response Bodyなどの重要な攻撃情報が記録されるか？ - OS/DB監査ログは正しく有効化されているか？	□
監査ポリシー(Windows/Linux)	- ユーザーのログイン、プロセス実行、権限変更などのイベントがすべて記録されているか？ - 収集された監査ログが多すぎて分析困難ではないか？	□
攻撃検知ルール	- OWASP TOP 10やMITRE ATT&CK、社内シナリオなどを参考にしたルールを整備しているか？ - 新たな攻撃手法（例：BPFDoor、DLLインジェクション）に対応可能か？	□
運用人員 & 組織体制	- SIEMを扱う専門人材は十分か？ - セキュリティ・開発・運用各チーム間に連携プロセスがあるか？	□
自動化・インフラ対応	- 大量のログ転送・保存に対応するネットワーク/ストレージインフラが整備されているか？ - SIEMシステムの保守と性能問題にどう対応するか？	□

この表の各項目を十分に検討し、実行計画を立てたうえでSIEMを導入することで、
高額なダッシュボードで終わらず、実質的なセキュリティ効果を得ることができます。

✍️ 最終まとめ

SIEMは導入自体が目的ではなく、運用が核心です。
ログを収集できなければ、SIEMは全く意味を持ちません。
ログを分析する力がなければ、SIEMはさらに無用の長物となります。
したがってSIEM導入前に、ログ収集体制、分析ルール、人材整備などの必要要素をまず備える必要があります。

「現在構築されているSIEMの99.999%はこのような理由で正常に動作していないでしょう。」🤫

📖 関連リンク

📖 SIEM & SOARの失敗事例

🌟 PLURA-XDRの特徴

🌟 PLURA-XDRのサービス

実運用においてSIEMは予想以上に非常に複雑です。
しかしログ収集と分析体制を適切に準備すれば、
SIEMは強力なセキュリティインテリジェンスを提供する頼れるツールとなります。

とはいえ、「SIEMを自力で構築・運用するには上記のような（コスト・運用・専門性など）負担が大きいため、
PLURA-XDR のような自動化された統合ソリューションの活用を推奨します。」