Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
SIEMとNDRのどちらを選ぶかは、どちらのツールが「優れているか」という問題ではありません。重要なのは、現時点で組織にとって最も深刻なセキュリティ上の課題が何であるかということです。両ツールは現代のSOCにおいてそれぞれ異なる役割を果たしていますが、予算に制約のあるチームが両方を同時に導入する余裕があることはめったにありません。 エンタープライズ向けSIEMは、導入直後の MITRE ATT&CK %を検知できておらず、44%の組織が2025年までにSIEMを完全に置き換える計画を立てています。 一方、ガートナーは2025年5月に初の「NDRマジック・クアドラント」を発表しました。これは、ネットワーク検知が独立したカテゴリーとしての地位を確立したことを明確に示すものです。本ガイドでは、適切な判断を下すために必要な比較基準、コストモデル、コンプライアンス対応状況のマッピング、および意思決定フレームワークを提供します。
検出、コスト、導入に関する主要な基準に基づく、SIEMとNDRの比較。
SIEMとNDRは、互いに補完し合う2つのセキュリティツールの比較です。SIEM(セキュリティ情報イベント管理)は、企業全体のログデータを集約・相関分析し、事前定義されたルールに基づいて脅威を検知するとともに、コンプライアンスに関するレポートを一元的に提供します。一方、NDR(ネットワーク検知・対応)は、振る舞い 機械学習を用いてネットワークトラフィックを分析し、ログベースのツールでは常に見逃されがちな脅威(暗号化された攻撃やラテラルムーブメント攻撃など)を特定します。
SIEMは、10年以上にわたり企業セキュリティ運用の基盤となってきました。エンドポイント、アプリケーション、ファイアウォール、クラウドサービスからログを取り込み、相関ルールを適用して不審な活動を検知します。その強みは、一元化された可視性、コンプライアンス報告、および過去のフォレンジック分析であり、広く認められています。
NDRは根本的に異なるアプローチを採用しています。ログの到着を待つのではなく、振る舞い と機械学習を用いて、ノースサウス(境界)およびイーストウエスト(内部)の両方の生ネットワークトラフィックを分析します。これにより、ログエントリを生成しない脅威、すなわち横方向の移動、暗号化されたコマンド&コントロール通信、および管理対象外のデバイスを標的とした攻撃の検出において、特に高い効果を発揮します。
この比較は、今まさにこれまで以上に重要となっています。SIEM市場の成長率は、2024年の20%から2025年にはわずか4%へと鈍化した一方で、NDR市場は前年比で約23%の成長を続けています。2024年に発生した3件の大型買収によりSIEM業界の構図は一変しましたが、エンタープライズ向けSIEMでは依然として79%の MITRE ATT&CK の手法の79%を検知できていないことが判明した。さらに、SIEMルールの13%は全く機能していない。
上記の比較表は、全体的な構造の概要を示しています。以下では、ご判断の際に最も重要な基準について詳しく解説します。
SIEMによる検知はルール駆動型です。アナリストは、ログデータ全体にわたって既知の脅威シグネチャや振る舞い 照合する相関ルールを記述します。これは既知の脅威に対しては有効ですが、2つの問題を引き起こします。すなわち、検知を行うにはあらかじめルールが存在していなければならないこと、そして高度な攻撃者は、ログを生成するようなイベントを引き起こさずに活動することがますます増えていることです。
NDRは、ネットワークトラフィック全体にわたって振る舞い 確立することで、異常を検知します。デバイスが通常とは異なる外部エンドポイントとの通信を開始したり、内部ホストが隣接するネットワークセグメントのスキャンを開始したりした場合、たとえその活動が有効な認証情報や暗号化された通信経路を介して行われている場合でも、NDRはその逸脱を検知します。業界の脅威インテリジェンス調査(2026年)によると、現在、攻撃の79%が マルウェアを使用せず、有効な認証情報や「リビング・オフ・ザ・ランド(LoTL)」の手法に依存しており、シグネチャベースの検知を完全に回避しています。
組織の90%が経験した 横方向の動き (0008業界の脅威インテリジェンス調査(2026年)によると、最新の侵害事件において、攻撃者は内部ホスト間のイースト・ウエスト・トラフィックを標的とした。NDRがこの点で優れているのは、内部ホスト間のイースト・ウエスト・トラフィックを監視するためであり、これはまさに、リモートサービスなどの手法において攻撃者が利用する通信パターンそのものである。T1021), ハッシュの転送 (T1550.002)、および「Pass the Ticket」(T1550.003). SIEMは、関連するエンドポイントまたは認証ログが取り込まれ、適切なルールが設定されている場合にのみ、ラテラルムーブメントを検出できます。
アラートの品質に関しては、その格差は顕著です。セキュリティチームの73%が、検知における最大の課題として誤検知を挙げています(SANS 2025)。また、セキュリティアラートの42%から63%は、まったく調査されないまま放置されています。この「アラート疲労」は、ログデータの膨大な量と相関ルールの脆弱性に起因する、SIEM特有の問題です。 NDRは、個々のイベントではなくセッションを横断して振る舞い 相関させることでノイズを低減し、脅威の深刻度とホストの重要度に基づいてアラートの優先順位を決定します。
あるアフリカのエネルギー企業におけるNDR評価の過程で、ネットワーク検知により、213の資産を標的とした20件のアクティブな脅威キャンペーンにまたがる234件の侵害検知(Declarations of Compromise)が発見されました。これらは、同社の既存のIDS、EDR、SOARツールでは一切検出されていませんでした。これらの脅威には、暗号化されたコマンド&コントロール通信経路を用いた高度な持続的脅威(APT)活動も含まれており、ログベースおよびエンドポイントベースのツールに共通する検知の死角が浮き彫りとなりました。
検索結果の上位に表示される競合他社は、SIEMとNDRの実際のコスト比較モデルを提供していません。このセクションでは、その不足を補います。
SIEMの価格は、主にログの取り込み量によって決まります。 業界のベンチマーク(2025年)によると、取り込みコストは1GBあたり月額50~200ドルとされており、エンタープライズ規模の導入(1日あたり500GB)では、総所有コスト(TCO)が年間35万~43万ドルに達します。隠れたコストは急速に膨れ上がります。具体的には、ルールの開発とチューニング、ストレージインフラ、誤検知の調査に費やすアナリストの時間、そして環境の拡大に伴う継続的なメンテナンスなどが挙げられます。
クラウドSIEMプラットフォームでは、ログ取り込み量に応じた課金モデルが導入されたものの、根本的なスケーラビリティの問題は依然として残っています。新しいアプリケーション、クラウドワークロード、IoTデバイスが追加されるたびに、ログが増加し、それに伴いコストも増加します。MSP(マネージドサービスプロバイダー)を通じて提供されるマネージドSIEMサービスの利用は2025年に88%減少しており、これは企業がセルフマネージド型や次世代の代替ソリューションへと移行しつつあることを示唆しています。
NDRの料金体系は通常、データ量ではなくネットワークのスループットに基づいて一律に設定されます。デバイス単位やログ単位の課金はありません。NDRは、すべてのセッションのパケットキャプチャを丸ごと保存するのではなく、ネットワークのメタデータを分析するため、必要なストレージ容量が大幅に少なくて済みます。導入コストも抑えられます。エージェントレスセンサーであれば、SIEM導入に通常かかる3~12ヶ月ではなく、数日から数週間で運用を開始できます。
エンタープライズ向けSIEMとNDRの導入における、3年間の推定TCOの比較。範囲は組織の規模と導入の複雑さを反映しています。
費用対効果の検討。1日あたり200GB以上のログデータを収集している組織の場合、新しいデータソースを追加する際のSIEMの追加コストは、ネットワークレベルの可視性を得るためにNDRを導入する総コストを上回ることがよくあります。NDRを導入してもSIEMの収集コストは増加しません。NDRは、情報強化された高精度のアラートをSIEMに提供できるため、ログのノイズを増やすどころか、むしろ削減することになります。
一般的に、SIEMは「コンプライアンス対応」を行うものと考えられています。しかし実際には、現代の規制では、ログ管理と継続的なネットワーク監視の両方を網羅する機能が求められています。以下のマトリックスでは、具体的な規制やセキュリティフレームワークの要件と、各ツールの強みを対比させています。
規制遵守 SIEMとNDRがそれぞれどの要件に対応し、どちらが必要とされるかを示したマッピング。
NIS2は大きな推進力となっています。2025年のEUの中堅市場(501~1,000ユーザー)におけるSIEMの成長率(前年比288%)は、NIS2のログ保存義務に直接起因するものでした。しかし、NIS2では継続的な監視機能も求められており、このギャップをNDRが埋めています。 DORAやSECのサイバー開示規則の対象となる組織も、同様の二重の要件に直面しています。すなわち、厳格なインシデント報告期限を満たすために、監査証跡(SIEM)と検知速度(NDR)の両方が求められているのです。
継続的な脅威への曝露管理戦略を推進する組織にとって、これら2つのツールは互いに補完し合う証拠を提供します。SIEMは過去のコンプライアンス記録を提供し、NDRは継続的な監視体制がリアルタイムで機能していることを検証します。
現在、サイバー脅威の87%が暗号化された通信経路を利用しており、この割合は上昇し続けています。暗号化されたトラフィックは、復号化後に生成されるログデータやTLS終端プロキシに依存するSIEMにとって、根本的な死角となります。復号化インフラがなければ、SIEMは暗号化されたセッション内で何が起きているかを把握することができません。
NDRは、脅威を検知するために暗号化を解除する必要はありません。その代わりに、暗号化されたセッションからメタデータや振る舞い 分析します。これには以下が含まれます:
ネットワークトラフィック分析におけるこのアプローチは極めて重要である。なぜなら、現在、攻撃の79%が マルウェアを含まず、有効な認証情報と「リビング・オフ・ザ・ランド」の手法を利用している。これらの攻撃はログへの記録は最小限に留まるが、検知可能なネットワーク上の挙動を生み出す。
SKテレコムの侵害事件で使用されたステルス型バックドア「BPFDoor」は、ログベースの検知を完全に回避する脅威の典型例です。BPFDoorはBerkeley Packet Filtersを利用してカーネルレベルで動作し、従来のログエントリを一切生成しない一方で、持続的なコマンド&コントロールアクセスを維持します。NDRの振る舞い 、トラフィックの内容が確認できない場合でも、異常なセッションのタイミング、非標準的なポートの使用、不規則なトラフィック量といった異常な接続パターンを検知します。
同様に、CVE-2026-20056では、アーカイブ形式の回避手法によって、シグネチャベースの検査ツールが完全に迂回される実態が明らかになりました。振る舞い 分析は、従来の検知手法では見逃されがちな、異常なファイル転送パターンや配信後のネットワーク活動を捕捉します。
横方向の移動リスクが著しい組織、特にデータセンター、クラウド環境、およびオペレーショナルテクノロジー(OT)ネットワーク間で東西方向のトラフィックが発生している組織にとって、暗号化トラフィックの分析は必須です。これは、最も急速に拡大している攻撃経路において、可視性を確保できるか、あるいは見通しが立たないかの分かれ目となるものです。
SIEMとNDRの比較記事の多くは「両方導入すべき」という結論で終わりますが、予算がどちらか一方しか賄えない場合、それはあまり参考になりません。ここでは、優先順位をつけなければならないセキュリティチームのための具体的な意思決定の指針をご紹介します。
フェーズ1(1~6ヶ月目)。最大の課題を解決するツールを導入します。リソース不足のSOC運用チームにとって、NDRはしばしば戦力の倍増要因となります。AIを活用した自動検知機能により、SOCの人員が十分に揃っていなくても、アナリストの業務負荷を軽減できるからです。
フェーズ2(6~18か月目)。2つ目のツールを導入する。NDRのアラートをSIEMに取り込んで相関分析を行うか、SIEMの履歴情報をNDRの振る舞い に重ね合わせる。
フェーズ3(18ヶ月以降)。EDRを活用し、これら両方をSOCの可視化トリアドに統合することで、ネットワーク、エンドポイント、ログを網羅する包括的なカバー範囲を実現します。さらに、脅威ハンティング機能を追加し、隠れた攻撃者を積極的に検知します。
SIEMとNDRは、検知・対応ツールのより広範なエコシステムの中に位置づけられています。以下の表は、関連する各技術について、対象範囲、データソース、および最適な適用シナリオの観点から比較したものです。
データソース、手法、および最適なシナリオ別のセキュリティ検知・対応ツールの比較。
NDRツールはIDSから発展したもので、シグネチャ照合に加え、振る舞い 自動対応機能を備えています。XDRは、NDR、EDR、およびクラウド型検知機能を単一のプラットフォームに統合したものです。SOARは、これらのツールによる検知をトリガーとして、対応ワークフローを自動化します。成熟したSOCの多くは、特定のカテゴリのツールだけに依存するのではなく、これらのツールを組み合わせて導入しています。
SOCの可視化トリアド(SIEM、NDR、EDRの連携)は、単一のツールでは実現できない包括的な検知範囲を提供します。ガートナーは2019年にこのフレームワークを提唱し、現在も企業の検知戦略における基準アーキテクチャとして定着しています。 実際には、NDRがネットワーク上の振る舞い 検知し、SIEMがそれらのシグナルをエンドポイントやアプリケーションからのログデータと相関分析し、EDRが詳細なエンドポイントフォレンジックを提供します。XDRの統合機能と組み合わせることで、組織はアラートの調査時間が40分から3~11分に短縮されたと報告しています。
この双方向の連携により、各ツールは相互に連携することでその性能を向上させます。NDRセンサーは詳細なアラートをSIEMに転送して相関分析を行い、SIEMはNDRが振る舞い 調整するのに役立つ過去のコンテキストを提供します。アーキテクチャのパターンや導入に関する考慮事項の詳細については、SOC可視化トライアドの完全ガイドをご覧ください。
AIが両分野を変革する中、SIEMとNDRをめぐる議論は急速に進化しています。今後12~24カ月の間に、いくつかの動向が、セキュリティチームによるこれらのツールの評価や導入方法に影響を与えるでしょう。
AIを活用したSIEMの進化。次世代SIEMは、業界アナリストが「SIEM++」と呼ぶものへと変貌しつつあります。これは、クラウドデータレイクを基盤としたAI駆動型のインサイトエンジンです。これらのプラットフォームは、人間が作成した相関ルールだけに依存するのではなく、機械学習を活用してログデータ全体から異常を検知します。これにより、SIEMとNDRの間の検知能力の差は縮小しますが、根本的なデータソースの違いは依然として残っています。つまり、SIEMは依然としてログに依存しており、ログには依然として死角が存在するのです。
SOCにおけるエージェント型AI。RSAC 2026カンファレンスでは、連携したAIエージェントが複数のツールにまたがってトリアージ、相関分析、証拠の収集、および対応を処理するメッシュ型エージェントアーキテクチャが紹介されました。AIを活用した脅威検知は、従来の方法に比べて精度を60%向上させており、76%の組織が検知および対応のためのAI/ML機能の拡充を計画しています(SANS 2026)。 AIと自動化を導入している組織は、導入していない組織に比べて、インシデント対応において侵害の封じ込めを108日早く達成している(Ponemon Institute 2024)。
市場の再編。2024年には、総額320億ドルを超える3件の大型買収がSIEM市場に大きな変革をもたらした。中堅のNDRベンダーは市場から撤退するか、より大規模なプラットフォームに吸収されている。NDR市場は2026年に41億3000万ドルに達し、年平均成長率(CAGR)6.24%で成長した。主要ベンダーがNDR機能を統合型検知プラットフォームに組み込むにつれ、さらなる統合が進むと予想される。
規制の加速。NIS2の完全施行、DORAの導入、およびSECのサイバー開示規則により、ログ管理と継続的監視の両方を必要とするコンプライアンス要件が生じています。いずれかのツールの導入を遅らせている組織は、規制上のリスクが高まる事態に直面しています。
最も効果的なセキュリティチームは、SIEMとNDRを競合する代替手段ではなく、統合された検知アーキテクチャを構成する別個のレイヤーとして扱っています。SIEMは、コンプライアンス対応の基盤と、過去のログを分析するフォレンジック機能を提供します。一方、NDRは、SIEMの相関ルールでは検知できない脅威――特に暗号化されたトラフィックやイースト・ウエスト方向の横方向の移動(Lateral Movement)のシナリオにおいて――を捕捉する、リアルタイムの振る舞い を提供します。
この融合の傾向は確かに存在しますが、まだ不完全なものです。AIによって検知のギャップは縮小しつつあるものの、その基盤となるデータソースは根本的に異なるままです。ログとネットワークトラフィックはそれぞれ異なる情報を伝えており、包括的な検知には両方の視点が必要です。
Vectra AI AIはこの課題に対し、以下の方法でVectra AI Attack Signal Intelligence — AI駆動型の振る舞い により、アラートのノイズを低減し、SIEMの相関ルールでは見逃されてしまう実際の攻撃を浮き彫りにします。MITRE D3FEND 12件の参照MITRE D3FEND 他社を圧倒する数)と、MITRE ATT&CK 網羅率をVectra AI、アラートを増やすことではなく、重要な攻撃を特定することに重点を置いています。既存のSIEMへの投資効果を最大化したい組織にとって、NDR統合によるSIEMの最適化は、ログ取り込みコストを増やすことなく、ノイズを低減し、シグナルの品質を向上させ、SIEMの価値を拡大します。
SIEMとNDRは競合関係にあるわけではありません。これらは、脅威検知の異なる側面に対応する、互いに補完し合うツールです。SIEMは、規制対象組織が必要とするログ管理、コンプライアンス報告、および過去のフォレンジック分析を提供します。一方、NDRは、ログでは完全に見逃されてしまう暗号化された脅威、ラテラルムーブメント、および管理対象外のデバイスに対する攻撃を検知する、振る舞い 分析を実現します。
予算に制約のあるチームは、まず最大の課題を解決できるツールから導入しましょう。コンプライアンス要件にはSIEMを、ネットワークの可視化とリアルタイム検知にはNDRを活用します。その後、リソースが許す範囲で、SOCの可視化を網羅する3つの要素を順次整備していきます。重要なのは、特定のツールを「永久に」使い続けることではなく、まず適切なツールを導入し、次に別のツールを統合することで、個々のツールを単独で使用するよりも強力な検知アーキテクチャを構築することです。
NDRとSIEMを自社のセキュリティアーキテクチャにどのように組み込むか検討してみませんか?Vectra AI 「Attack Signal Intelligence」を通じてSIEMの最適化にどのようにVectra AI 、ぜひご覧ください。
NDRは、厳格なコンプライアンス要件のない組織において、単独の検知ツールとして機能します。NDRは、SIEMでは実現が難しいリアルタイムの振る舞い 検知、暗号化トラフィックの分析、およびラテラルムーブメントの可視化を提供します。しかし、コンプライアンスで義務付けられたログの保存、一元化された監査証跡、および過去のフォレンジック調査においては、依然としてSIEMが不可欠です。NIS2、HIPAA、DORA、またはSECのサイバー開示規則の対象となる業界では、SIEMのロギング機能は必須です。 多くの企業にとって、NDRはログ管理の必要性を完全に排除するのではなく、ログでは捕捉できない脅威を検知することでSIEMを補完するものです。重要なのは「どちらを廃止できるか」ではなく、「どちらを先に導入すべきか」という問いです。
これは、貴社の規制環境によって異なります。貴社が、ログの保存、監査証跡、インシデント報告の文書化を義務付けるコンプライアンス要件(NIS2、HIPAA、DORA、SECサイバー規則など)に直面している場合、その答えは「はい」です。SIEMは、NDRにはない機能を提供します。 コンプライアンスの負担を最小限に抑えつつ脅威の検知を最優先とする場合、特に小規模な組織や、厳格なログ管理要件のない業界の組織においては、NDRのみで十分である可能性があります。NIS2を契機としてEUの中堅市場でSIEMが前年比288%の成長を遂げた事実は、たとえNDRが検知業務を担っている場合でも、規制圧力により多くの組織にとってSIEMが不可欠となっていることを示しています。
NDRは、ネットワークトラフィックの分析に特化しており、イースト・ウエストおよびノース・サウスのトラフィックにおけるパケットやメタデータを監視し、振る舞い 検知します。一方、XDR(拡張型検知・対応)は、ネットワーク、エンドポイント、クラウド、アイデンティティといった複数のドメインにわたる検知機能を統合しています。 NDRは、XDRのより広範な範囲における一つのレイヤーと捉えることができます。XDRは、これらすべてのドメインにわたるシグナルを相関分析し、統一された攻撃の全体像を構築します。そのトレードオフとして、NDRはネットワークに特化したより詳細な分析を提供する一方、XDRはより広範なクロスドメインの相関分析を提供します。多くのXDRプラットフォームは、NDRを中核コンポーネントとして組み込んでいます。
EDR(エンドポイント検出・対応)は、インストールされたエージェントを通じて個々のエンドポイントを監視するのに対し、NDRはエンドポイント間のネットワークトラフィックを監視します。これらは互いに補完し合う攻撃対象領域をカバーしており、EDRはエンドポイント固有の脅威を検知し、NDRはネットワークレベルの活動や、エージェントが到達できない管理対象外のデバイスを検知します。
NDRは、いくつかの手法を用いて、復号化を行わずに暗号化されたトラフィックを分析します。JA3/JA4 TLSフィンガープリンティングは、アプリケーションを識別し、 マルウェア ファミリーを特定します。証明書分析では、自己署名証明書、不審な認証局、および正規のサービスを装った証明書を検出します。セッション時間、パケットサイズ、タイミングパターン、接続頻度といったメタデータに基づく振る舞い 、コンテンツが暗号化されている場合でも異常な通信を明らかにします。このアプローチにより、TLS復号化に伴うパフォーマンスやコンプライアンス上のリスクを回避しつつ、暗号化チャネルを使用するトラフィックの87%にわたって、有意義な脅威の可視性を提供します。
SIEMのコストは、ログの取り込み量、導入モデル、および組織の複雑さによって大きく異なります。業界のベンチマーク(2025年)によると、取り込み量ベースの価格設定は、1GBあたり月額50~200ドルとなっています。 1日あたり500GBのログを取り込むエンタープライズ環境の場合、ライセンス、ストレージ、導入、管理、およびアナリストの作業時間を考慮すると、年間コストは通常35万~43万ドルとなります。クラウドSIEMプラットフォームは、初期費用を抑えられる「取り込み量に応じた課金モデル」を採用していますが、データ量に応じてコストが比例して増加します。ルール開発、チューニング、ストレージインフラ、および誤検知の調査にかかるアナリストの作業時間といった隠れたコストは、ライセンス料を上回ることも少なくありません。
「SOC可視化トライアド」とは、SIEM、NDR、EDRを組み合わせた検知アーキテクチャのフレームワークであり、ログ、ネットワークトラフィック、エンドポイントのすべてを包括的にカバーします。アーキテクチャのパターンや導入時の考慮事項については、「SOC可視化トライアド」ガイドの全文をご覧ください。
はい、しかしこの分野は変革の途上にあります。2025年までに44%の組織がSIEMの入れ替えを計画していましたが、その大半は、この分野を廃止するのではなく、AIを活用した分析機能を備えた次世代の「SIEM++」プラットフォームへのアップグレードを進めています。コンプライアンス報告、一元化されたログ管理、および履歴フォレンジックにおけるSIEMの中核的な価値提案は、規制産業にとって依然として不可欠です。 この変化は、静的でルール依存型のSIEMから、シグナルの相関分析を強化し、誤検知を低減するAI拡張型プラットフォームへの移行です。SIEMの代替手段を検討している組織にとって、NDRはログベースの検知では対応できないネットワーク可視性のギャップを補うものであり、SIEMを置き換えるのではなく、補完する役割を果たします。
ネットワーク検知・対応(NDR)は、振る舞い と機械学習を用いて、ノースサウス(境界)およびイーストウエスト(内部)の両方のネットワークトラフィックを監視し、脅威を検知・対応するセキュリティ技術です。 侵入検知システム(IDS)などのシグネチャベースのツールとは異なり、NDRは振る舞い 確立し、暗号化された脅威、ラテラルムーブメント、コマンド&コントロール活動など、攻撃を示す逸脱を特定します。NDRはエージェントレスで動作するため、IoTやOT機器などの管理対象外のデバイスの監視に有効です。このカテゴリーは、2025年5月にガートナーが発表した初の「NDRマジック・クアドラント」において正式に認定されました。
SIEMは、企業全体からセキュリティイベントを収集・相関分析し、脅威を検知します。SOAR(セキュリティ・オーケストレーション、自動化、および対応)は、その検知によってトリガーされた対応ワークフローを自動化します。具体的には、プレイブックの実行、アラートへのコンテキスト情報の追加、およびセキュリティツール間のアクションの調整を行います。これらは相互に補完し合う関係にあります。つまり、SIEMが問題を特定し、SOARがその解決を支援するのです。 SOARはSIEMの検知およびロギング機能を置き換えるものではなく、同様にSIEMもSOARの自動化およびオーケストレーション機能を置き換えるものではありません。多くの組織では両方を導入しており、SIEMがSOARにアラートを送信することで、自動化された調査と対応が行われています。