数十のスタートアップ企業が、脅威を自律的に検知、調査、対応できる次世代の「エージェント型SIEM」を構築するために競い合っています。彼らは資金もマーケティングも充実していますが、構造的には中身がありません。
通常の構成は次のとおりです。断片化された、または顧客がホストするデータレイクの上に薄いオーケストレーションエンジンがあり、その上にLLMレイヤーが載っています。デモでは印象的に見えますが、本番環境ではすぐに破綻します。
なぜ?それは強固な基盤の上に築かれているわけではありません。
データが完全であってこそインテリジェンスとなる
単なるスマートなプロンプトや高速な推論にとどまらず、エージェント型セキュリティには、複雑な質問に対して、スケールしながら深い履歴コンテキストにわたって瞬時に答えられるデータ基盤が必要です。その際、スキーママッピングが一晩中保たれていることを祈りながら、つなぎ合わせや再解析を行う必要があってはなりません。
この分野で事業を展開しているスタートアップのほとんどは、まさにそれを行っています。つまり、データをつなぎ合わせているのです。これらのアーキテクチャは、異なるストレージシステム間にレイテンシを生み出し、クエリ時の再解析を強制し、ソース間のスキーマ不整合に苦しみ、活用できる有意義な履歴情報を持ちません。AIは、不完全で、形式が統一されておらず、浅いデータに基づいて推論を行うしかありません。
その結果は、約束されたエージェント型セキュリティではなく、高価な「最善の推測」に過ぎません。
Sumo LogicのAIにおける優位性は構造的なものであり、表面的なものではない
Sumo Logicは15年以上にわたり、企業ログデータを収集、管理、分析する、エクサバイト規模の拡張性の高いプラットフォームを構築してきました。これにより、数百万行のログデータをリアルタイムで運用およびセキュリティに関する洞察に変換します。
構造化されたと非構造化ログを解析されたフィールドとともに単一のプラットフォームに統合し、共同トラブルシューティングと意思決定のための統一されたビューを提供します。正規化、保存、およびドメイン間相関は、クエリ時ではなく取り込み時に処理されるため、AIが必要とする時点でデータはすでにクリーンでクエリ可能な状態になっています。
当社はSIEM、SOAR、UEBA、およびログ分析を1つの統合SaaSプラットフォームに統合することで、AIが単一の情報源に基づいて動作できるようにしています。その情報源の下には、すでにインデックス化された長年分の履歴コンテキストが蓄積されています。
この深いコンテキストは、エージェント型ワークロードにとって極めて重要です。AIエージェントが異常を調査する際には、時間を遡り、現在の挙動を、数週間または数か月前に構築されたベースラインと比較する必要があります。断片化されたアーキテクチャでは、その処理には、レイク間の遅延、プロトコル変換、およびオンザフライでのスキーマ調整が含まれます。Sumo Logicでは、これは単純なクエリで済みます。
断片化されたデータが実際にどれだけのコストを生んでいるか
「つなぎ合わせる」というアプローチが実際には何を意味するのかを、具体的に説明しておく価値があります。
- クロスレイクレイテンシとは、AIが推論を行う前にデータを待っていることを意味します。セキュリティにおいて、遅延はリスクの増大を意味します。
- クエリ時に再解析するということは、すべての調査がデータ変換作業でもあるということです。それは遅く、エラーが発生しやすく、脆弱です。上流のスキーマ変更が、下流のすべてを壊してしまいます。
- 一貫性のない正規化は、AIがリンゴとオレンジを同時に扱いながら推論し、相関ロジックが成り立つことを期待していることを意味します(ネタバレ注意:多くの場合、成り立ちません)。
- 浅い歴史的背景は、AIが実際に作業するための基準を持たないことを意味します。それは、今日何かが異常に見えるかどうかは教えてくれますが、それが6か月前にも異常に見えたかどうかは教えてくれません。
Sumo Logicの顧客はこれらの問題に直面しません。当社の柔軟なデータ取り込みモデルとクラウドネイティブアーキテクチャにより、多くのソースでサイドカーやエージェントが不要になり、一般的なクラウドサービス向けに用意されたログ解析機能によって、フィールド抽出ルールで半構造化ログに構造を与え、初日からシステム間の相関付けを行うことができます。
誰も語らないマルチテナントマイクロサービスアーキテクチャ
当社プラットフォームの過小評価されがちな側面の1つが、マルチテナントマイクロサービスアーキテクチャであり、これにより大規模なAIを安定的に提供できます。
このアーキテクチャにより、プラットフォームはワークロードを分離し、取り込みとは独立して推論をスケーリングし、モノリシックまたは寄せ集めのアーキテクチャを悩ませる脆弱な結合なしに、テナント間でパフォーマンスの一貫性を維持できます。AIはデータパイプラインとリソースを取り合いません。AIの負荷が急増してもパイプラインは壊れません。
汎用データレイクの上に構築しているベンダーには、これはありません。取り込み処理は一つのシステムで行われ、保存は別のシステムで行われ、その上にLLM(大規模言語モデル)が後付けされています。すべての継ぎ目が潜在的な故障箇所となり、セキュリティチームが信頼性を必要とする部分にアーキテクチャ上のリスクを持ち込みます。
エージェント型セキュリティの未来
SOC AIエージェントの自律性が高まるにつれて、アラートのトリアージ、調査の開始、対応の推奨や実行まで行えるようになり、その意思決定の質は、エージェントが動作するデータレイヤーに直接依存するようになります。
長年にわたる正規化され、詳細にインデックス化されたクロスドメインテレメトリに基づいて動作するエージェントは、防御可能なベースラインを確立し、コンテキストに基づいて行動することができます。断片化され、一貫性のない解析が行われた浅いデータ上で動作するエージェントは、推測に頼らざるを得なくなります。
セキュリティリーダーにとって、これは評価の観点を変えることになります。かつては、ベンダーがエージェント型AIを利用しているかどうかだけが問いだったかもしれませんが、今日では、運用リスクを生じさせることなく自律的な意思決定をサポートできるアーキテクチャかどうかを問うべきです。
- エージェントの高度さを評価する前に、まずテレメトリの一貫性を評価してください。
- 自動応答を信頼する前に、それが依拠するデータの深さと正規化を検証してください。
- 意思決定を委任する前に、その意思決定がどこでどのように計算されているのかを理解してください。
インテリジェンスの背後にあるアーキテクチャをご覧ください
実際に動作しているところを見てみませんか?デモをご依頼ください。当社の統合プラットフォームが大規模なテレメトリをどのように取り込み、正規化し、相関付けるか、そして当社のAIエージェントがその基盤上で直接動作し、より迅速で防御可能なセキュリティ成果をどのように実現しているかをご覧ください。
