Agentic SIEMとは？XDR、SOAR、一般的なSIEMとの違いも含めて解説

Gartner社が2005年に提唱したSIEM（シーム、Security Information and Event Management）。直訳では「セキュリティ情報とイベント管理」という意味です。言葉の登場から20年を経た今でも、データの可視化というセキュリティ監視における基本的にして実践的な製品分野・ソリューションとして、存在感を示しています。

2025年8月には、トレンドマイクロは「Agentic SIEM」の提供を発表しました。そもそもSIEMとは何か、そしてAgentic SIEMとは何か、本稿で解説します。

SIEMとは？

SIEMは、サイバーセキュリティの監視・検出・調査を行うためのソリューションです。SIEMはネットワークやシステムにおいて発生するイベントログを収集し、一元管理・分析をすることで、セキュリティインシデントの早期発見や、迅速な対応に寄与します。

一般的なSIEMが提供する主な機能は下表のとおりです。

機能	主な内容
ログの収集・統合	各種ネットワーク機器、サーバ、クラウド、エンドポイント、アプリケーションなどからログを収集
ログの正規化	異なる形式のログを統一フォーマットに変換し、分析
ログの保管・管理	保管期間や保存形式などを設定
ログの相関分析	複数のイベントや異なるログ間の関連性を分析し、異常なパターンや攻撃の兆候を検出
アラート通知	事前に設定されたルールに基づき、異常なアクティビティやセキュリティインシデントを検出し、優先度を付けたうえでアラートを通知
可視化・ダッシュボード	自社のIT環境全体やセキュリティポリシーの違反状況、KPIなどを可視化、運用状況を把握
レポート出力	セキュリティインシデントに対して迅速な対応を行うための情報や手順を提供し、インシデント管理のためのワークフローやレポートを生成。
コンプライアンス対応	GDPR、PCI DSS、ISO 27001などの規制に沿ったログ保持・レポート機能。監査証跡の提供。
インシデント対応支援	SOAR（Security Orchestration, Automation and Response。後述）連携により、隔離やブロックなどの自動対応を実行。プレイブックを使った標準化された対応プロセス。
脅威インテリジェンス連携	外部の脅威情報（IOC、YARA、STIX/TAXII）を取り込み、検知精度を向上。最新の攻撃手法に迅速に対応。

このように、SOCをはじめとするセキュリティ担当者にとって、SIEMは重要なツールであることがお分かりいただけると思います。

SIEMを導入する主なメリットとしては、ログの一元管理とリアルタイムの相関分析が可能である点や、業務効率化が挙げられるでしょう。

一方、SIEMの課題としては、導入や設定が複雑である点や、誤検知やアラート過多を改善するために継続的な対応が必要な点が挙げられます。他ルールとの重複、最新脅威への対応、一方で陳腐化・属人化したルールの見直しなど、運用を踏まえた実効性のあるルールの維持、そうしたルールのメンテナンスを行う人材の維持も難点と言えます。

SIEM、XDR、SOARの違い

機能的にSIEMに近いものとしてXDRがあります。XDRはExtended Detection and Responseの略で、各種センサーのテレメトリデータを収集・相関分析するシステムです。

XDRでは、サイバーセキュリティ企業が培ったサイバー脅威インテジェンス（実際のサイバー攻撃に使用されやすいシステム設定変更やアクセス経路など）を活用し、迅速かつノイズアラートを抑制しながら、インシデント検知やセキュリティ状況を効率的に把握できます。SIEMとの違いは、分析に必要な情報を各レイヤのネイティブセンサーが収集してくる点と言えるでしょう。また、基本的に相関ルールは提供ベンダー側で作成しており、利用企業によるカスタマイズがあまり必要とされない点も強みとして挙げられます。

また、XDRに対してSIEMは、監査対応などに必要なログの一元管理・長期保管に強みがあります。

さらに、SOAR（ソアー、Security Orchestration, Automation and Response）というソリューションもあります。SOARは、インシデント対応、オーケストレーション、自動化、脅威インテリジェンス管理機能を単一のプラットフォームに統合するシステムです。インシデントの検知に重きを置くSIEMやXDRと比較して、SOARはインシデント検知後の対応の自動化機能に重きが置かれていることが多いです。特定の状況やタスクに対して、あらかじめ定めた手順をまとめたPlaybook機能などを提供することで、都度人間による判断・作業を介さずに対処の自動化が可能です。

これらの技術は、独立した製品カテゴリの名称とは限りません。複数の技術要素にまたがった機能を提供しているセキュリティツールも多く存在します。それぞれの強みや、組織のサイバーセキュリティ戦略で実現したいことなどを勘案して、組織に合ったツールを選ぶとよいでしょう。次の図も参考にしてください。

Agentic SIEMとは？一般のSIEMとの違い

2025年8月にトレンドマイクロは「Agentic SIEM」の提供を発表しました。これは、AIを活用したエンタープライズサイバーセキュリティプラットフォーム「Trend Vision One™」で利用できます。一般的なSIEMとしても利用可能で、特長のひとつにサードパーティ製品との豊富な連携が挙げられます。MicrosoftやAWSを含むサードパーティ製品のログ収集に対応しており、将来的には900以上の製品のデータを取り込めるようになる見込みです。

＜参考記事＞トレンドマイクロ、プロアクティブセキュリティを推進するAgentic SIEMを提供

2021年の調査によれば、セキュリティ運用部門内では平均40ものツールを使用しているとのこと。Trend Vision Oneは統合型のセキュリティプラットフォームのため、アラート疲れ、ソリューションの重複、サイロ化などの課題に直面している組織にとっても解決策となるでしょう。

では、「Agentic」という形容詞が示すのはどのような特長でしょうか？
Agenticとは自律的という意味です。Agentic SIEMは自律的に考え、行動するSIEMです。データを収集して保管するだけではなく、通常のSIEMの機能から拡大して脅威ハンティングまで行い、XDRと連携します。

また、Trend Vision One上でAIサイバーアシスタント「Trend Companion™^」がアラートの内容を分析・解説してくれるうえに、とるべきアクションの候補を示してくれます。Trend Companionは、トレンドマイクロの20年間のAI投資と35年間の業界最先端の脅威インテリジェンスに基づいて開発されたAIブレイン、「Trend Cybertron™」を知識基盤としています。

Agentic SIEM	比較項目	一般的なSIEM
Agentic AI＋UEBA^※（未知の攻撃や内部不正にも対応可能）	脅威の検知方法	事前定義された相関ルール（未知の攻撃には弱い）
AIによるアラート分類・優先度付けで省力化	運用負荷	大量アラートを手動で精査
低い（相関ルールをベンダーが自動アップデート）	相関ロジックのアップデートの難易度	高い（運用者がルール更新を行う必要あり）
自動で対処（プレイブック機能を利用）	脅威への対処	運用者が事前に設定したルールにより対処
可能	脅威ハンティング	難しい
可能	サードパーティ連携	可能
運用者の専門性が高くなくともAIを活用したサポート機能で運用可能	運用者の専門性	SIEMに関する高い専門知識が必要

表：Agentic SIEMと一般的なSIEMの比較
※UEBA：User and entity behavior analytics。ユーザーとエンティティの行動分析

Agentic SIEMの未来

将来的には「プロアクティブな自律型SIEM」として、トレンドマイクロでは次の機能を構想しています。こちらは2025年10月現在の構想で、今後変更になる可能性があります。

①AIによるログ分析とアラート：NVIDIA Morpheusを活用し、機械学習による検出強化と早期検出の実現

②AIによるログの取り込みと正規化：多様なログ形式もAIが構造分析し、データの正規化を行う

③サードパーティのSIEM設定をインポート：サードパーティのSIEMの検知ロジックや設定をインポートし、Trend Vision Oneでも同等の検知を迅速に対応可能（他社からの乗り換え時が必要な場合など）

さらにその先の未来においては、利用企業に合わせたTrend Companionの成長、各業界で必要な知見を把握している業界特化型のサイバーセキュリティAIモデル、「組織を守る」という理念に基づく自律的行動などを目指しています。

OpenAIが2024年に発表した、AGI（汎用人工知能）に至る５段階のロードマップによれば、自律型AIは3段階目のレベル3に該当します。