サイバーセキュリティのCardinalOps、企業SIEMがサイバー攻撃手法の79％を見逃していると最新レポートで指摘

脅威管理の統合プラットフォームを提供するCardinalOpsは、企業向けSIEM（セキュリティ情報イベント管理）ソリューションにおける脅威検知能力の実態を調査した『第5回年次SIEM検知リスクレポート』を公開しました。今回のレポートは、さまざまな業界と地域の企業が実際に運用しているSplunk、Microsoft Sentinel、IBM QRadar、CrowdStrike Logscale、Google SecOpsなどのSIEM環境から収集した過去最大規模のデータを分析しています。レポートでは、MITRE ATT&CKフレームワークを基準として企業SIEMが実際のサイバー攻撃をどの程度検知できているかを評価しました。その結果、多くの企業が依然として十分な検知範囲を確保できていないことや、SIEM運用における構造的な課題が明らかになっています。

2025年版レポートの主なポイントによると、企業SIEMがMITRE ATT&CKに定義されている攻撃手法のうち検知可能なのは平均わずか21％にとどまり、前年より2％改善したものの、依然として79％の手法が未検知のままであることが分かりました。また、設定ミスやログ項目の欠落により機能していない検知ルールも平均13％存在し、実際の脅威を見逃す可能性があることも指摘されています。さらに、企業のSIEMは平均259種類、約24,000のログソースを処理しており、理論上はMITRE ATT&CKの90%以上の手法を検知できるはずですが、手作業中心の検知ルール作成や検証作業が追いついておらず、実際の検知能力が制限されています。

CardinalOpsのCEO兼共同創業者であるMichael Mumcuogluは、「企業は大量のデータを保持しているにもかかわらず、最も重要な脅威を検知するための可視性が依然として不足しています。従来型の検知ルールの作成手法はもはや限界であり、AIや自動化、継続的な評価を活用しなければ、最新のSIEM環境を導入しても十分な保護はできないでしょう」と述べています。

本レポートは、セキュリティ運用センター（SOC）の責任者やCISO、検知エンジニアに対し、実際の攻撃行動に即した脅威検知能力を評価し、改善するための重要な指標とされています。CardinalOpsはまた、レポートの結果を踏まえたベストプラクティスを解説するウェビナーとワークショップ『Bird’s Eye View』を6月17日に開催予定であり、Google Cloudの上級セキュリティアドバイザーで元ガートナーアナリストのAnton Chuvakin博士と、CardinalOpsのセキュリティ研究者であるDaniel Koifman氏が登壇します。

CardinalOpsについて
CardinalOpsは、AIを活用した脅威管理統合プラットフォームを通じ、組織が脅威にさらされるリスクを排除する支援を行っています。同社のプラットフォームは業界唯一の予防および検知制御を統合し、複数の領域にわたるリスクを統一的に可視化し、文脈に基づいた優先順位付けと安全な自動修復を実現しています。企業はリスクの明確な可視化により、具体的な対策を迅速に特定し、効果的かつ継続的な改善サイクルを実施することで、脅威に対する防御力と検知能力を強化できます。