セキュリティチームがSIEM選定を行うと、必ず同じ分岐点にたどり着きます:Splunkに高額な費用を払うか、インフラコストだけでWazuhを動かすか。
率直に言えば、どちらも「間違い」ではありません。しかし多くの場合、問われるべき質問自体が違います。本記事では、Wazuhが実際に得意なこと、商用SIEMがコストを正当化できる場面、そしてベンダーのポジショニングではなく、実際の制約に基づいた意思決定方法を解説します。
SOCとはそもそも何か、SIEMがなぜ必要かについては、SOC(セキュリティオペレーションセンター)とは何か:ASEAN IT管理者向けガイドをご参照ください。
SIEMとは何か
SIEM(Security Information and Event Management)は、社内の全システム(サーバー、ファイアウォール、エンドポイント、クラウドサービス)からログを収集し、リアルタイムに相関分析を行い、攻撃パターンを検出した際にアラートを生成するプラットフォームです。
| 機能 | 役割 |
|---|---|
| ログ集約 | 全ソースのログを一カ所に集める |
| 正規化 | 異なるログ形式を共通スキーマに変換 |
| 相関分析 | ソースをまたいだパターン照合で攻撃を検出 |
| アラート | 脅威パターン検出時にアナリストに通知 |
| ログ保全 | コンプライアンスと forensic 調査のためにログを保存 |
| レポーティング | ダッシュボードとコンプライアンスレポートを生成 |
Wazuhとは何か
Wazuhはオープンソースセキュリティプラットフォームであり、SIEM・HIDS(ホスト型侵入検知)・FIM(ファイル整合性モニタリング)・脆弱性検出を一つのエージェントベースのスタックに統合しています。
OSSECのフォークをベースに、現在はWazuh社がオープンソースコミュニティとともにメンテナンスしています。コアプラットフォームはGPL v2ライセンスで無償提供。Wazuh CloudおよびCommercial Supportは有償です。
Wazuhのアーキテクチャ:
flowchart TD
A["エンドポイント (Linux / Windows / macOS)"] --> B["Wazuh Agent"]
C["ネットワーク機器 / ファイアウォール"] --> D["Syslog / API取り込み"]
E["クラウドサービス (AWS, Azure, GCP)"] --> F["クラウドセキュリティモジュール"]
B --> G["Wazuh Manager"]
D --> G
F --> G
G --> H["OpenSearch / Wazuh Indexer"]
H --> I["Wazuh Dashboard"]
I --> J["アナリスト端末"]Wazuhのすぐに使える機能:
- Linux・Windows・macOS・Docker・KubernetesへのAgent型ログ収集
- 3,000以上の組み込み検出ルール(MITRE ATT&CKにマッピング済み)
- 重要パスに対するFIM(ファイル整合性モニタリング)
- CVEデータベース連携による脆弱性検出
- アクティブレスポンス(自動ブロック、隔離、プロセス停止)
- PCI DSS・HIPAA・GDPR・NISTコンプライアンスダッシュボード
- VirusTotal・YARA・ClamAV・TheHive・Shuffleとの連携
主要な商用SIEMプラットフォーム
| プラットフォーム | ベンダー | 価格モデル | 適した環境 |
|---|---|---|---|
| Splunk Enterprise | Splunk(Cisco) | 日次データ取り込み量(GB/day) | 大規模エンタープライズ、成熟したSOCチーム |
| Microsoft Sentinel | Microsoft | 取り込みGB単位+分析ルール | Microsoft 365 / Azure 中心の環境 |
| IBM QRadar | IBM | EPS(イベント/秒)ライセンス | 官公庁、規制業種 |
| Elastic SIEM | Elastic | マネージドまたはセルフホスト(段階制) | 開発者フレンドリー、ハイブリッドクラウド |
| LogRhythm | LogRhythm | ユーザー/ホスト+モジュールライセンス | コンプライアンス重視の中堅企業 |
コスト比較:実際にいくらかかるか
ユーザー200名・サーバー50台・ログ約20GB/日の環境での現実的な試算:
| プラットフォーム | 年間コスト概算 | 備考 |
|---|---|---|
| Wazuh(セルフホスト) | $0〜$8,000 | インフラ+運用人件費のみ、ライセンス料なし |
| Wazuh Cloud | $15,000〜$25,000 | マネージドインデキシング+SLAサポート |
| Microsoft Sentinel | $35,000〜$70,000 | データ取り込み量とM365ライセンスによって大きく変動 |
| Splunk Cloud | $80,000〜$150,000 | 20GB/day;コミットメント割引あり |
| IBM QRadar | $60,000〜$120,000 | ベースEPS+モジュール込み |
注:上記はすべて2026年時点の公開価格帯と市場実績に基づく概算です。実際のコストは交渉済み契約・既存ライセンス・デプロイ複雑度によって異なります。
Wazuhの「無料」という表現は単独で見ると誤解を招きます。セルフホスティングには以下が必要です:
- OpenSearchのチューニングを理解するエンジニア
- ルールの継続的メンテナンスと誤検知の低減
- インフラ(この規模では通常VM3〜5台相当)
- インシデント対応ツール(TheHive・Shuffle等)
現実的な人件費を含めると、200ユーザー規模のセルフホストWazuhの総保有コストは適切に運用した場合年間$25,000〜$45,000程度になります。Splunkより安い——ただし無料ではありません。
機能比較
Wazuhが勝る点
1. エンドポイントの可視化深度 WazuhエージェントはSyscallレベルのデータ、実行中プロセス一覧、オープンポート、ファイル変更を収集します。プレミアムアドオンなしの商用SIEMより詳細です。
2. ルールのカスタマイズ性 WazuhのXMLベースのルールシステムはオープンです。自社のアプリスタック固有の検出ロジック——Webアプリのエラーパターン、社内APIの不正利用、ERP(勘定奉行・弥生等)固有のイベント——をベンダーサポートを待たずに実装できます。
3. 小〜中規模でのコスト競争力 サーバー50台以内で維持できるチームがあれば、Wazuhは本質的にコスト効率が高いです。
4. データの国内保管 日本の個人情報保護法(APPI)対応や経済安全保障推進法における重要インフラのデータ管理要件、さらにタイ拠点のPDPA対応において、セルフホストWazuhはすべてのログをオンプレミスに留め、サードパーティクラウドへのデータ転送を回避できます。NISCのガイドラインに沿ったログ保全体制の構築にも有効です。
商用SIEMが勝る点
1. Microsoft 365 / Azureカバレッジ SentinelのTeams・Exchange・Azure AD・Defenderへのネイティブコネクタは、Microsoft中心の組織ではWazuhのAPI連携では補えない優位性があります。
2. ML型異常検知 Wazuhの検出はルールベースです。SentinelとSplunkはUEBA(ユーザー行動分析)を内蔵しており、Impossible Travel・異常なデータアクセスパターン・内部不正の兆候をルールを書かずに検出できます。
3. Tier-1ベンダーSLA 金融・医療・重要インフラ等の規制業種では、正式なサポートエスカレーションを伴うベンダーバックのSLAが法令要件(J-SOXの内部統制など)となる場合があります。
4. ケース管理とオートメーション エンタープライズSIEMにはSOAR機能が内蔵されています。WazuhはShuffleやTheHiveなどの外部ツールを連携しなければ同等のワークフロー自動化を実現できません。
5. 大規模環境でのアナリストUX サーバー500台以上の複雑なマルチクラウド環境では、SplunkのSPLクエリ言語と調査インターフェースはWazuhのOpenSearch Dashboardsより成熟しています。
意思決定フレームワーク
flowchart TD
A["スタート:環境はどのようなものか"] --> B{"Microsoft 365 / Azureが主要プラットフォームか?"}
B --> |"はい"| C["まずMicrosoft Sentinelを検討"]
B --> |"いいえ"| D{"社内にSIEMを維持できるチームがあるか?"}
D --> |"チームなし / 少人数"| E["WazuhベースのManaged SOCを利用 (MDR)"]
D --> |"エンジニア1〜2名"| F{"エンドポイントとサーバーは何台?"}
F --> |"100台未満"| G["セルフホストWazuhが現実的"]
F --> |"100〜500台"| H["Wazuh CloudまたはLogRhythm中堅向け"]
F --> |"500台超"| I["SplunkまたはQRadarでスケールとSLAを評価"]
C --> J["M365ライセンス担当者からSentinel見積を取得"]
G --> K["Wazuhから始め、Managed SOCへの移行を計画"]
H --> L["工数込みのTCOで比較"]
I --> M["RFPで3年間TCO比較を実施"]simpliSOCが採用するスタックとその理由
simpliSOCはWazuhをコアとするスタックでクライアント環境のManaged Detectionを提供しており、以下を追加しています:
- OT/ICS環境・タイ語アプリケーションログ・日系工場で一般的なERPシステム向けのカスタム検出ルール
- Shuffle SOARによる自動アラートトリアージ
- SLAトラッキングされたレスポンスワークフローを持つTheHiveでのケース管理
- 規制対象クライアント向けのPDPA準拠ログ取り扱いとオンプレミスオプション
- タイ語・日本語・英語でのエスカレーション対応24時間365日アナリストカバレッジ
御社の環境でsimpliSOCが検出できるものをご覧になりたい場合は、
無料セキュリティアセスメントのご予約 → hello@simplico.net
よくある質問
Wazuhは本当に無料ですか?
ソフトウェアはオープンソースで無償です。ただし、効果的に運用するにはインフラ・エンジニアのチューニング時間・連携ツールが必要です。200ユーザー規模の総保有コストは適切に運用した場合、年間$25,000〜$45,000程度になります。
WazuhでSplunkを代替できますか?
エンドポイント検出とルールベースの脅威検知については、Wazuhははるかに低コストでSplunk Security Premiumの主要機能をカバーします。MLベースの異常検知と大規模マルチクラウド相関分析については、Splunkが依然として優位です。
WazuhはNISCガイドラインやJ-SOXに対応できますか?
WazuhのFIM・アクセスログ監視・脆弱性管理機能は、NISCのサイバーセキュリティガイドラインが求めるログ取得・保全要件に直接対応します。J-SOXの内部統制における製造・IT統制の証跡としても活用できます。ただし監査報告書の形式はカスタマイズが必要な場合があります。
Microsoft Sentinelはどのような用途に最適ですか?
Microsoft 365・Azure AD・Defenderが主要プラットフォームである組織に最適です。ネイティブコネクタとCopilot for Securityの統合が、Microsoft中心環境でWazuhのAPI連携では得られない優位性を提供します。
Wazuhのデプロイにはどれくらいかかりますか?
20〜50エージェントへの基本デプロイは1〜2日で可能です。チューニング済みルールとSOARオートメーションを含む本番デプロイは2〜4週間、その後4〜6週間の誤検知低減チューニングが必要です。
→ SOC(セキュリティオペレーションセンター)とは何か:ASEAN IT管理者向けガイド
SIEM選定やManaged Detectionについてご相談がある場合は、
simpliSOCチームに問い合わせる → hello@simplico.net
最新の記事
- OEEの計算方法——なぜ工場は生産能力の20%を失っているのか May 31, 2026
- 製造実行システム(MES)とは?工場管理者のためのわかりやすい解説 May 31, 2026
- クラゲ型コンピュータ:コンピューティングの未来は水の中に浮かぶのか May 28, 2026
- なぜあなたの工場のERPプロジェクトは失敗したのか — そして次に何をすべきか May 24, 2026
- あなたの ERP に「天井」があってはならない ―― Frappe による業務特化型 ERP 開発 May 23, 2026
- リーンスタック ―― なぜ私たちは大きなフレームワークではなく、「退屈で」目的特化のツールを選ぶのか May 23, 2026