脅威ハンティングツールに関する検索結果の上位に表示されるページの多くは、ベンダー別のリスト記事――つまり、ブランドをランク付けしただけで、裏付けとなる証拠が乏しいものです。本ガイドでは、その代わりに購入者の視点に立ち、サイバー脅威ハンティングツールの4つのカテゴリーを比較し、2026年の最低基準を満たす7つの評価基準を適用し、「自社開発・購入・オープンソース」の各選択肢について検討を重ね、すべての推奨事項を最新の一次情報に基づいて提示しています。 AIに関しては、正直さが何よりも重要です。世界経済フォーラムの『Global Cybersecurity Outlook 2026』によれば、AIの導入はほぼ普遍的ですが、脅威ハンティングに関する代表的な調査では、「脅威アクターの特定におけるAIベースの手法の影響は依然として限定的である」と結論づけられています(SANS 2025 Threat Hunting Survey)。 EDRを中心としたスタックに何を追加するかを検討している場合、重要なのはテレメトリのカバー範囲——つまり、現在把握できていない攻撃者の行動がどのカテゴリに現れるか——であり、どのブランドがランキングのトップに立っているかではありません。
脅威ハンティングツールとは、セキュリティチームが自動化されたアラートを回避する攻撃者を、自社の環境内で能動的に検索できるようにするソフトウェアプラットフォームやデータソースのことです。これらは、SIEMおよび分析プラットフォーム、エンドポイント検知・対応(EDR)、ネットワーク検知・対応(NDR)、脅威インテリジェンスの4つのカテゴリーに分類され、テレメトリのカバー範囲、クエリ機能の強力さ、および検知結果の信頼性に基づいて評価されます。
ハンティングツールと単なるアラート通知ツールを区別する3つの機能があります。それは、任意のクエリとピボット機能、過去を振り返るためのテレメトリデータの保持、そして既知のシグネチャに基づいて動作するルールエンジンではなく、仮説主導型の調査をサポートする機能です。このページでは、読者がすでに脅威ハンティングという分野そのものについて理解していること(脅威ハンティングの柱では、そのプロセス、フレームワーク、およびメリットについて解説しています)、また、プロアクティブなハンティングがアラート主導型の脅威検出をどのように補完するかを理解していることを前提としています。以下では、あくまでツールの選定についてのみ説明します。
最もよく混乱が生じる点は、これらのツールが、すでに運用しているツールとどのように異なるかということです。SIEMはログを一元管理し、ユーザーが作成したルールに基づいてアラートを発します。つまり、ユーザーが事前に想定していた疑問に答えてくれるのです。一方、エンドポイント検出・対応(EDR)は、管理対象のホストを詳細に監視しますが、その範囲外の状況についてはほとんど把握できません。 脅威ハンティングツールとは、アナリストにテレメトリデータとクエリ機能を提供し、攻撃者の行動に関する新たな仮説を検証できるプラットフォームのことです。そのため、本ガイドで紹介する4つのカテゴリーはすべて、その基準を満たせば脅威ハンティングツールとして適格となりますが、単独では適格となるものはありません。
この視点の転換こそが、購入者にとっての最初の気づきとなります。真の決定要因はブランドではなく、テレメトリのカバー範囲であるため、本格的な評価においては「カテゴリーファースト」の考え方が主流となります。ネットワーク上、ID管理システム内、クラウドのコントロールプレーンにおいて、現在把握できていない攻撃者の行動は何かを自問すれば、脅威ハンティング用のツールの候補リストは自然と絞り込まれていきます。このガイドの残りの部分では、その候補リストを正当化するための根拠、基準、および意思決定の枠組みについて解説します。
まず、現在すべてのベンダーが前面に打ち出している「AI」という主張から始めよう。その導入は事実上ほぼ普遍的であり、77%の組織がサイバーセキュリティにAIを導入しており、94%がAIを2026年の変化の最大の原動力と位置付けている(WEF『Global Cybersecurity Outlook 2026』)。しかし、導入と実証された脅威ハンティングの有効性は別物であり、この分野ではこれらを混同することが常態化している。SANSの「2025年脅威ハンティング調査」は率直だ。そのエグゼクティブサマリーには、「脅威アクターの発見におけるAIベースの手法の影響は依然として限定的である」と記されており、AIに関する唯一の具体的な統計値は、2024年の47%から2025年には48%へと、統計的には横ばいとなっている。AIがトリアージや手作業を明らかに短縮することは確かだ。しかし、新たな攻撃者の自律的な発見については、現時点ではその有効性を裏付ける証拠がまだ示されていない。
2026年の証拠の残りの部分も、同様に具体的である:
T1055)は30%で3年連続1位となり、攻撃者は「攻撃手法の80%をステルス性、回避、持続性にシフトさせた」ほか、ランサムウェアによる暗号化(T1486)は、相対的に38%下落した(Picus Red レポート 2026).これらの数値を総合すると、侵入ポイントで素早く動き、その後数週間にわたって活動を潜伏させる攻撃者の姿が浮かび上がります。これは、現代の高度持続的脅威(APT)の特徴そのものです。この潜伏段階では、「リビング・オフ・ザ・ランド(LOTL)」の手法が用いられています。これは、正当な組み込みツールや管理者権限機能を悪用するもので、シグネチャベースの警告システムでは検知できない仕組みとなっています。保持されているテレメトリデータを基に能動的なハンティングを行うことが、この脅威を検知するための有効な対策となります。
最も最近の例としては、CISAが2026年7月に発表したルーターのセキュリティ管理に関する勧告が挙げられます。2026年7月13日、CISA、NSA、FBI、DC3は、国際的なパートナー機関と共同で勧告を発表しました。 AA26-194A, 「ルーターのセキュリティ管理を強化し、ロシア政府が支援する標的型攻撃から身を守る」。この勧告では、このキャンペーンの背後に、Berserk BearおよびStatic Tundra(Dragonfly系グループ)として追跡されているロシア連邦保安庁(FSB)第16センターの攻撃者がいると指摘している。彼らはネットワーク機器の正当なデバイス管理機能を悪用しており、勧告ではシスコ製品が攻撃対象として具体的に挙げられている(Nextgov/FCW). その手口は、まさに「現地資源を活用する」手法そのものです。脆弱なSNMPコミュニティ文字列、実行中の設定をコピーするSNMP Setリクエスト、それらの設定のTFTP転送、そして標準から外れたアカウントからのログインなどが挙げられます。これらのデバイスではエンドポイントエージェントを実行できないため、このアドバイザリの指針はテレメトリに基づくものとなっています。具体的には、SNMPのセキュリティ強化、TFTPによる外部へのデータ送信の監視、および以下のような設定ダンプの痕跡に対するアラート設定などです。 config.bkp そして output.txt、および通常とは異なるアカウントによるログインを検知します。攻撃者をエミュレートするソリューションを提供するAttackIQ社は、すでに このアドバイザリに関する検証可能な検知シナリオ. 購入者にとっての教訓は構造的なものです。つまり、このキャンペーンはエンドポイントのみのスタックからは認識されないのです。
この検索語句で上位表示されているページのほとんどは、出典を明記した統計データを一切引用していないため、古くなった数値が疑問視されることなく広まっています。以下の表は、2026年半ば時点の一次資料に基づいて、最もよく見られる4つの数値を修正したものです。
表1. 広く引用されている脅威ハンティングに関する統計と一次資料との比較(2026年)。
信頼できる脅威ハンティングツールのリストは、いずれも次の4つのカテゴリーに分類されます。SIEMおよびセキュリティ分析プラットフォーム、XDR機能を備えたエンドポイント検出・対応(EDR)、ネットワーク検出・対応、そして情報強化機能を備えた脅威インテリジェンスです。AIを活用した脅威ハンティングは、これら4つすべてにまたがる機能レイヤーとして捉えるべきであり、第5の製品カテゴリーとして扱うべきではありません。自律的な脅威発見が実現しているという証拠はまだ存在しないからです。構造上の注意点として、広く読まれている比較記事のいくつかは、ネットワークのカテゴリーを完全に省略しています。 SANSの調査によると、LOTL(ローカル・オン・ザ・ロー)手法が国家主体の攻撃において最も多く観察される戦術であり、回答者の76%がこれを挙げている(SANS 2025)。これが、ネットワークテレメトリがオプションではあり得ない理由である。

表2. テレメトリ、強み、弱点、および最適な導入対象者という観点から比較した、脅威ハンティングツールの4つのカテゴリー。
SIEMおよびセキュリティ分析プラットフォームは、複数の情報源を一元的にクエリ実行できる環境を必要とするチームにとって、脅威ハンティングの中核となります。SIEMは環境全体のログを集約・相関分析し、ユーザーおよびエンティティの行動分析(UEBA)レイヤーを追加することで、生の検索機能に加え、ベースラインからの逸脱を検知するハンティング機能を実現します。その強みは、一元化されたログ保持と単一のクエリインターフェースにあります。構造的な盲点となるのは、ログが生成されないあらゆる事象であり、コストは取り込み量に比例して増加します。まさにこのため、ログ保持期間の決定が、ハンティングの深さを左右することになるのです。
エンドポイント検出・対応(EDR)は、プロセス、ファイル、レジストリ、メモリといったホストのテレメトリデータを最も詳細に把握しており、拡張型検出・対応(XDR)は、その相関分析をアイデンティティやクラウドにまで拡大します。エンドポイントが戦場である以上、これに匹敵するものはありません。 しかし、EDRクラスのツールでは、管理対象外または管理不可能なデバイス(ルーター、エッジアプライアンス、IoT、OT)を検知できません。これは、攻撃対象領域管理プログラムが繰り返し指摘しているギャップであり、AA26-194Aキャンペーンが示すように、攻撃者が意図的に悪用している点でもあります。「リビング・オフ・ザ・ランド(LOL)」型の脅威ハンティングには、エンドポイントの詳細なデータだけでは不十分です。
ネットワーク検知・対応( NDR )は、トラフィックやメタデータを行動ベースで分析します。これにより、防御担当者は、エンドポイント上に痕跡を残さないコマンド&コントロール、ラテラルムーブメント、LOTLの悪用などを検知することができます。NDRでは、検知が安定するまでにセンサーの設置とベースライン期間が必要となりますが(その両方を計画に組み込む必要があります)、これはルーターのセキュリティ対策に関するアドバイザリで指摘されている課題をまさに解消するカテゴリーであり、バランスの取れた可視化アーキテクチャにおける自然なネットワーク層を構成するものです。
脅威インテリジェンスと情報充実化により、観測結果は仮説へと昇華されます。つまり、攻撃者のTTP(戦術・技術・手順)、インジケーター、およびオープンソースのシグナルといった情報が、ハンターに次にどこを調べるべきかを示すのです。これは、それ自体がハンティングの対象となるのではなく、他の3つのカテゴリーへの入力情報となります。専用の脅威インテリジェンスツールに関するガイドでは、プラットフォーム、フィード、価格設定について詳しく解説しています。
これら4つの分野すべてにおいて、AIを活用した機能(アシスト付きトリアージ、複数ソース間の相関分析、自然言語クエリなど)は、アナリストの業務を明らかに加速させるのであれば、その費用を支払う価値があります。これらを「カテゴリー」そのものとしてではなく、各カテゴリーの「機能」の一つとして評価してください。以下の評価基準には、具体的にどのような質問をすべきかが明記されています。
カテゴリーが何であれ、パイプラインは同じ5つの段階で構成されています。ツールは、到達可能な限り多くのソースからテレメトリデータを取り込み、アセットID、地理位置情報、インテリジェンスとの照合といったコンテキスト情報を付加した上で、パターン分析を適用してベースラインからの逸脱を抽出します。相関分析により、関連するイベントが人間が評価できるストーリーとしてまとめられ、調査によって仮説が検証されるか、あるいは棄却されます。 このパイプラインが購入者にとって重要なのは、各段階においてツール間の真の違いが現れるからです。ツールが取り込むデータの範囲によって発見できる内容が決まり、相関分析の精度によって、アナリストが手作業で行う統合作業の量が左右されるからです。
このパイプラインは、行動分析が中核的な役割を担うようになった理由も説明しています。 シグネチャやルールベースの検知は、事前に想定されたものに対してのみ作動しますが、「リビング・オフ・ザ・ランド(LOL)」型の活動は、その設計上、シグネチャレベルでは管理業務と見分けがつきません。ネットワークとアイデンティティを横断した行動のベースライン設定こそが、「正当なアカウントが正当なツールを実行した」という情報を脅威ハンティングの手がかりへと変えるのです。これが、プロアクティブな脅威ハンティングの手法とツールが、蓄積・強化されたテレメトリデータに基づく仮説駆動型の作業へと収束していく理由です。

「最適な脅威ハンティングツールとは何か?」――これはあらゆる評価の過程で最終的に突きつけられる問いですが、トップ脅威ハンティングツールのランキングリストではこの問いに答えることはできません。答えを出せるのは評価基準です。貴社の環境にとって最適な脅威ハンティングツールとは、テレメトリ、チーム、脅威モデルに対する7つのテストに合格したツールです。 以下の評価基準は、商用・オープンソースを問わず、あらゆる候補ツールに適用可能であり、提案依頼書(RFP)の骨子としても活用できます。ベンダーが自社製品を「脅威ハンティングプラットフォーム」「分析スイート」、あるいは「ハンティング機能を備えた検知ツール」として販売しているかに関わらず、以下の7つの基準が適用されます:
表3. 脅威ハンティングツールを評価するための7つのベンダー中立的な基準(2026年の最低基準値を含む)。
基準1は、評価の成否を左右する最も重要な要素です。なぜなら、テレメトリによって、ハンティングで何が可視化されるかが決まるからです。AA26-194Aで報告されている「リビング・オフ・ザ・ランド」やエッジデバイスの悪用は、エンドポイントのみを対象としたスタックでは検出できません(ルーター上にはエージェントが実行されていないため)。また、現在の調査のほとんどにおいて、アイデンティティ・サーフェスが関与しています。 各候補のネイティブテレメトリを自社の環境と照らし合わせ、ネットワークの検知および対応のカバレッジを単なる追加機能ではなく、最優先要件として扱う必要があります。2026年の最低基準は、ネイティブなエンドポイント、ネットワーク、およびアイデンティティの可視性をすべて兼ね備えていることです。
基準2と3はセットとなっています。なぜなら、もはや手元にないテレメトリデータに対しては、クエリ機能も無意味だからです。アドホックなクエリ言語とクロスソースのピボット機能を必須条件とし、試用期間中に実際のハンティングを通じて両方をテストしてください。その際、ベンダーのセールスエンジニアではなく、自社のSOCアナリストが主導して実施することが重要です。その後、顧客維持率を正直に評価してください。 14日間のデータ保持期間の中央値(M-Trends 2026)は下限であり、計画値ではありません。Volt Typhoon 米国の重要インフラに少なくとも5年間Volt Typhoon (CISA AA24-038A、2024年)。90日間、即座に検索可能なテレメトリデータが、2026年における信頼できる最低基準です。
基準4は、市場で最も不正操作されやすい数値について取り上げています: MITRE ATT&CK 網羅性。パーセンテージだけでは、その深さについては何も示しません――あるサブテクニックを網羅しているとしても、 T1059 (コマンドおよびスクリプトインタープリタ、バージョン2.7、13のサブテクニックを含む)では、そのテクニックはカバーされていません。テクニックレベルのマッピング、その背後にある検知ロジック、および自社の環境のテストデータを用いて検証可能な証拠について尋ねてください。自社の主張を検証する方法を教えてくれるベンダーは、あることを伝えているのです。それを拒むベンダーは、さらに多くのことを伝えているのです。
基準5は、ランキングページではほとんど言及されていない点です。行動分析ツールは、導入初日から価値をもたらすものではありません。SecurityWeekの「Cyber Insights 2026」でPermiso社のジェイソン・マーティン氏が指摘した専門家の見解によると、異常検知が信頼できるレベルになるには、行動のベースライン確立に60~90日かかります。そして、このベースライン期間について説明しようとしないベンダーは、その仕組みを運用段階まで確立できていないと言えます。 検出が信頼できるようになる時期を尋ね、学習期間中にツールが何ができるかを確認し、その所要期間を予算に組み込んで購入を検討してください。
基準6と7は、誠実性に関する議論を締めくくるものです。人間のハンターの作業を加速させるAI支援ツールと、自律的な発見を謳う「AIネイティブ」な主張とを区別する必要があります。SANSが「AIのハンティングへの影響は依然として限定的である」と結論づけたことは、重大度の高いアクションに対して「ヒューマン・イン・ザ・ループ」による管理を求め、ガードレールを明確に開示すべき理由となります。 コストに関しては、実際のデータ量に基づいてライセンス体系(エンドポイント単位または取り込み量単位)を試算した上で、さらに一歩踏み込んで検討してください。ハンティングの有効性を正式に測定しているチームは51%にとどまり、64%から減少しています(SANS 2025)。したがって、ハンティングの有効性指標をネイティブに生成するツールを優先すべきです。測定できないツールは、契約更新時にその価値を正当化できないツールなのです。
この市場における「自社開発か商用製品か」という議論には、情報開示上の問題があります。オープンソースでは不十分だと主張する公開情報源の多くは、商用製品を販売しているからです。正直な判断は、他社の製品カタログではなく、自社の制約条件から始めるべきです。オープンソースのツールは優れたものになり得ます。その真のコストは、熟練したアナリストの作業時間と、自社での運用管理に必要な規律です。商用プラットフォームは、価値実現までの時間とサポートを購入するものです。その真のコストは、システム環境の規模に応じて増加するライセンス費用です。SOC運用の成熟度と照らし合わせて、以下の5つの要素を勘案することで、それぞれのトレードオフにおいてどちらの選択肢を取るべきかが決まります。
表4. 5つの決定要因が、オープンソース、商用、およびハイブリッド型の脅威ハンティング・スタックにどのように対応するか。
ライセンス不要の各カテゴリには、実用的なスタータースタックが存在します。トラフィックの可視化のためのオープンソースのネットワークメタデータ分析、大規模なホスト調査のためのオープンソースのエンドポイントクエリ、情報補完のためのコミュニティによる脅威インテリジェンスフィード、そして構築したカバレッジをマッピングするためのMITREのATT&CK Navigatorなどです。これらを、すでに運用しているEDRツールと組み合わせれば、今すぐ脅威ハンティングを開始できます。 ただし、現実的なトレードオフは依然として存在します。無料のツールを利用すると、コストがライセンス料から熟練したアナリストの人件費へと移行し、自社でホストするコンポーネントはすべて、チームがパッチ適用や運用を行わなければならない対象となります。
アップグレードすべき時期が来たことを示す2つの兆候があります。第一に、仮説を検証するために必要なタイミングで、蓄積されたテレメトリデータを十分に迅速に検索できていないことです。第二に、ハンティングが機能しているかどうかを測定できないことです。つまり、調査結果が堅牢な検知ルールや、より円滑なインシデント対応の引き継ぎに結びついていないのです。これらの兆候のいずれかが確認されれば、制約要因はチームではなくツールそのものに移行しており、商用ソリューション(通常は、自社で不足しているネットワークやID関連のテレメトリデータ)を導入する価値が生まれてきます。
主要なフレームワークのいずれも、特定の製品名を挙げてはいません。そこが重要な点なのです。成果ベースのフレームワークでは、収集すべきテレメトリと達成すべき成果が明確に規定されています。これにより、ブランド主導ではなくカテゴリー主導の購買が促進され、バイヤーは予算交渉において説得力のある根拠を示すことができるようになります。
NIST CSF 2.0は、「検知(Detect)」機能の下でハンティングを位置づけており、具体的にはDE.CM(継続的監視)およびDE.AE(有害事象分析)に分類されます。NIST CSF 2.0のサブカテゴリDE.CM-01には、次のように明記されています。「ネットワークおよびネットワークサービスは、潜在的な有害事象を発見するために監視される。」脅威ハンティングツールは、この成果を運用面で具現化したものであり、このフレームワークでは意図的に特定の製品を指定していません。
最も実用的なガイダンスも無料で入手可能です。CISAが発行した「リビング・オフ・ザ・ランド(LOTL)手法の特定と緩和に関する共同ガイド」は、設計上ベンダー中立となっています。このガイドでは、防御担当者が把握すべきログソースや挙動を具体的に示しており、挙動分析やプロアクティブなハンティングをそもそも可能にするため、アウト・オブ・バンド方式による集中ログ記録を優先しています。 これに伴うアドバイザリ「AA24-038A」では、なぜその基準が設定されたのかが説明されています。Volt Typhoon 、シグネチャベースのツールをトリガーすることなく、13の戦術にわたる79のATT&CKテクニックIDを実行し、米国の重要インフラに少なくとも5年間Volt Typhoon 。2026年のルーター衛生管理に関するアドバイザリでは、この「テレメトリ優先」という論理がネットワークエッジデバイスにも拡張されています。
アーキテクチャに関する議論においては、SOC可視化の「三本柱」が依然として有用な参照モデルとなっています。ログ管理にはSIEM、エンドポイントにはEDR、ネットワークにはNDRがそれぞれ用いられ、互いの死角を補完し合っています。このモデルはXDRが登場する以前から存在していたものであるため、単なる購入リストとしてではなく、相互に補完し合うテレメトリを捉えるための視点として捉えるべきですが、本ガイドで取り上げる4つのカテゴリーには明確に当てはまります。
表5. 成果ベースのフレームワークおよびガイダンスと脅威ハンティング・ツールの対応関係。
「エージェント型SOC」というコンセプト――自律的に脅威を追い求めるAIエージェント――は市場で最も注目を集めているが、現実にはその適用範囲はより限定的だ。AIを活用した優先順位付け、複数ソース間の相関分析、自然言語による調査は、生産性を確実に高めるものであり、人員の少ないチームにとってはその効果が相乗的に発揮される。しかし、現時点の証拠では、新たな攻撃者の自律的な発見については裏付けられていない。データに変化が見られるまでは、SANSの調査による「依然として限定的」という評価が有効である。SecurityWeekの『Cyber Insights 2026』に掲載されたある実務家の見解は、これ以上ないほど的確だ。「人間のアナリストが持つ予測不可能性と、何気ない好奇心に取って代わるものは存在しない」。その好奇心を廃れさせることを約束するのではなく、むしろそれを倍増させるようなAI脅威検知機能を購入すべきである。
「Volt Typhoon 」から2026年のルーターVolt Typhoon 一貫している点は、最も深刻な攻撃者は正当な活動に溶け込んでいるということです。それは、国家が支援する忍耐強い侵入から、現在では暗号化よりもステルス性を重視する高速ランサムウェア集団に至るまで多岐にわたります。 シグネチャベースのツールでは検知対象が見つからないため、ネットワーク全体やアイデンティティ・サーフェスにわたる行動ベースの脅威検知は、すでに運用しているエンドポイントやログ分析ツールにとって、運用上不可欠なパートナーとなっている。これがこの分野全体が進むべき方向性であり、アラートの数を減らし、検証済みの攻撃シナリオを増やすことにある。
Vectra AIは、「すでに侵害されている」という前提に基づいて脅威ハンティングに取り組みます。つまり、手腕のある攻撃者はシステムに侵入しており、中でも最も危険な攻撃者は、その設計上、シグネチャやアラートに基づくツールを回避するようになっているのです。Attack Signal Intelligence 、アラートを増やすのではなく、ネットワーク、ID、クラウド全体にAI駆動型の行動検知Attack Signal Intelligence 、攻撃の経緯をつなぎ合わせたストーリーを明らかにします。これにより、リソースの限られたチームでも持続可能な、5分で完了する迅速かつ再現性のある脅威ハンティングを実現します。
目指すべきは、ノイズを増やすことではなく、システムの動作速度に合わせた適切なシグナルです。IDCの「2025年ビジネス価値分析」では、MITRE ATT&CK 以上を網羅し、ROIが391%、投資回収期間が6ヶ月という結果から、このアプローチの有効性が裏付けられています。Vectra AIプラットフォームの詳細をご覧になるか、最新の脅威ブリーフィングからご確認ください。
これは、アナリストのスキルや、すでに保有しているテレメトリデータ次第です。熟練したチームであればオープンソースのツールも十分に活用できますが、人員が限られているチームの場合は、商用ツールやマネージドサービスの方がより大きな成果を得られます。 なお、利益相反に留意してください。オープンソースでは不十分だと主張する情報源の多くは、自社製品を販売しているからです。市場のトレンドはハイブリッド化が進んでおり、社内ツールの利用率は33%から48%に上昇した一方で、商用ツールへの依存度は70%から58%に低下しました(SANS 2025)。
定価ではなく、価格帯を見込んでおく必要があります。オープンソースのツールでは、コストがライセンス料から熟練アナリストの作業時間へと移行します。商用プラットフォームは通常、エンドポイント数またはデータ取り込み量に応じて課金され、マネージド・ハンティングにはサービス料が追加されます。ライセンス料だけでなく、60~90日間の行動ベースライン期間の費用や、ツールを運用するためのアナリストの作業時間にかかる費用も予算に組み込んでおく必要があります。
現時点の証拠からはそうは言えない。AIの導入はほぼ普遍的であり、組織の77%がサイバーセキュリティのためにAIを導入している(WEF『Global Cybersecurity Outlook 2026』)が、代表的な調査では「脅威アクターの特定におけるAIベースの手法の影響は依然として限定的である」と結論づけられている(SANS 2025)。AIは大規模なトリアージや手作業を効率化するが、新たな攻撃者を発見するのは依然として人間の好奇心である。
カバー率だけで納得してはいけません。技術レベルの証拠――具体的には、どの手法が、どのようなデータに対して、どのような検知ロジックを用いて検証されたか――を求め、自社の環境でサンプルを検証してください。議論は、次のような具体的な手法に焦点を当てて進めてください。 T1059 (コマンドおよびスクリプトインタープリタ、13のサブテクニック)。テクニックレベルの証明がない数値は、単なるマーケティングに過ぎない。
あらゆる分野に、無料かつオープンソースのソリューションが存在します。たとえば、オープンソースのネットワーク・メタデータ分析ツール、オープンソースのエンドポイントクエリツール、コミュニティによる脅威インテリジェンスフィード、そしてカバレッジマッピング用のMITREのATT&CK Navigatorなどです。ブランドではなく、機能に基づいて評価してください。トレードオフは確かに存在します。無料のツールを利用する場合、コストは熟練したアナリストの作業時間や、自社でのホスティング管理に必要な労力へと移行することになります。
まず、テレメトリにおける最大のギャップを埋めてください。すでにSIEMやEDRを導入している場合、最も大きな付加価値をもたらすのは、通常、不足しているネットワークおよびアイデンティティの可視性です。これは、エンドポイントのみのスタックでは検知できない「リビング・オフ・ザ・ランド(LoL)」攻撃やエッジデバイスの悪用を捕捉するレイヤーです。