AI Navigate
インサイト最新記事AI大全カオスマップ

シンガポールの研究者、エージェント型ルール翻訳で多様なSIEMを“調和”させる

The Register / 2026/5/5

📰 ニュースDeveloper Stack & InfrastructureTools & Practical UsageIndustry & Market MovesModels & Research
原文を読む →
共有:

要点

  • この記事は、セキュリティ運用チームがSOCをよりスムーズに運用できるように、SIEMルールをベンダーごとの形式間で翻訳することを目的としたシンガポールの研究を伝えています。
  • SIEMベンダーが互換性のないルール構文やデータモデルを採用しているため、検知コンテンツの移行・統合・標準化の際に摩擦が生じる点が強調されています。
  • 提案手法では、エージェント型のルール翻訳により、あるSIEMの表現にある同等ロジックを別のSIEMが期待する形式へ対応付けます。
  • クロスSIEMで“調和”を実現することで、手作業での書き換え工数を減らし、変更時の検知漏れや不整合のリスクを抑えることを狙っています。

シンガポールの研究者たち、エージェント型ルール変換で多様なSIEMをハーモニーさせる

ベンダーはすべて異なる形式を使う。だが、この技術がそれらを全部変換するので、SOCをスムーズにできる

2026年5月5日(火) // 02:12 UTC

シンガポールと中国の研究者が、AIをサイバー防御側に役立てる方法を見つけました。さまざまなセキュリティ情報・イベント管理(SIEM)からのルールを翻訳する技術を作ることで、複数のシステムでより簡単に利用できるようにしたのです。

SIEMは多くのソースからログファイルを収集し、利用者がルールを設定してアラートを発報できるようにします。セキュリティ運用センター(SOC)は、それらがセキュリティインシデントを表している場合に備えて、アラートを考慮します。「不可能な移動(impossible travel)」のシナリオ――同じユーザーが1時間以内にニューヨークとロンドンからログインしており、資格情報の窃取やその他の不正を示唆している――をテストすることは、よくあるSIEMルールです。

多くの組織では結局、複数のSIEMを抱えることになり、その結果、SOCに複雑性が生じます。

登場したのは、シンガポール国立大学と中国の復旦大学の研究者たちです。彼らは最近、論文 [PDF]「ARuleCon: Agentic Security Rule Conversion」を発表し、その中で、複数のSIEMが利用できるようにルールを翻訳するために開発した技術を説明しています。

筆頭著者のMing Xu氏はThe Registerに対し、SIEMはルールに対して特定のスキーマを使うため、あるSIEMで作成したルールは別のSIEMでは機能しないことが原因で、同氏と同僚はARuleConを開発したと語りました。いくつかのベンダーは翻訳ツールを提供していますが、多くのSIEMに対するサポートまでは提供していません。著者らは、MicrosoftのツールはSplunkのルールをレドモンドのSentinel SIEMへ移せるものの、それ以外は扱えないと述べています。

論文では「ルール変換はセキュリティの専門家が手作業で行うこともできるが、その場合は遅くなり、重い作業負荷が課される」と指摘しています。

返却形式: {"translated": "翻訳されたHTML"}

Sigma のようなフレームワークは、複数のプラットフォームにまたがるルールを管理し共有するために役立てようとするものですが、Ming らの共著者は、それや他の既存の翻訳ツールでは、複雑で相互に関連したルールにうまく対応できないと考えています。

2026年なので、SIEM のルールをさまざまな形式に変換するために LLM を使ってみるのは自然な流れのように思えます。

著者らは、そのアプローチについて「通常、精度が低くなり、ベンダー固有の正しさが欠ける」と述べています。理由は、LLM を構築するために使われる学習データに、SIEM ルールのスキーマに関する十分なデータが含まれていないからです。

「これらの欠点は、既存ルールの価値を保持しつつ、SOC の作業負荷を軽減する、スケーラブルでベンダーニュートラルかつ信頼できる SIEM ルール変換フレームワークを必要とする」と論文では述べ、その後、ARuleCon が仕事をどう成し遂げるのかを説明します。説明の内容は、「権威ある公式ベンダー文書を取得して、慣習/スキーマの不一致に対処する“エージェント型 RAG[検索拡張生成]パイプライン”」と、「ソースルールとターゲットルールの双方を制御されたテスト環境で実行し、微妙な意味のズレを抑える Python ベースの整合性チェック」です。

要するに、研究者たちは、Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle、RSA NetWitness で作られた SIEM ルールを翻訳できるエージェント型の技術を開発しました。すべての変換が素晴らしい出来というわけではありませんが、ARuleCon は、各 SIEM ベンダーが採用している独自のルール形式を複数の競合プラットフォームへ変換でき、さらに汎用的な LLM よりも高い精度でそれを実現します。

そのため、ARuleCon により、ある SIEM からルールをエクスポートし、別の SIEM でそれを使うことが可能になります。

Ming は The Register に対し、このツールが組織による SIEM の統合や移行を検討・計画するのに役立つことを期待していると語りました。そして、複数のアラートから生じるノイズを気にし続けることなく、より容易にセキュリティ脅威の兆候を検知できる SOC を手に入れられるようになることを願っています。®

関連記事

関連おすすめサービス

※当サイトはアフィリエイト広告を利用しています
🎧

Notta搭載AI議事録イヤホン ZENCHORD1

AI時代の仕事術。Notta搭載で会議の議事録を自動生成するスマートイヤホン。

🎙️

AI搭載ボイスレコーダー Plaud

世界100万人が愛用。AIで文字起こし・要約を自動化するボイスレコーダー。

🖼️

画像高画質化AIツール Aiarty Image Enhancer

AIで画像を高画質化。写真・イラストを簡単にアップスケール。

シンガポールの研究者、エージェント型ルール翻訳で多様なSIEMを“調和”させる | AI Navigate