長年にわたり、私たちはオブザーバビリティを稼働時間、パフォーマンス、SREダッシュボードと同一視し、セキュリティは脅威、アラート、SIEM、そして「悪いこと」に関するものだという、人為的な線引きをしてきました。
その分離は常に都合の良いものでしたが、決して現実のものではありませんでした。
サービスが遅いことを示すログは、サービスが侵害されていることを示すログと同じです。私たちは単にそれらを異なるチーム、異なるツール、異なる予算に振り分け、どちらの側も全体像を把握していなかったことに驚いたふりをしてきただけでした。
データは最初から同じだった
ほぼどのログ行を選んでも、すぐに問題がわかります。例えば、このような感じです:
2026-04-10T12:03:21Z service=auth-service endpoint=/auth/refresh status=200
src_ip=10.12.4.23 request_count=1850 user_agent=python-requests/2.31
同じログです。全く異なる2つの反応。
可観測性はこれを見て、システムの問題だと認識します。なぜあるサービスがリフレッシュエンドポイントに1,800回以上もアクセスしているのでしょうか?誰かが不適切なリトライループをリリースしたのでしょうか?セッション処理に不具合がありますか?最近コードをプッシュしたのは誰ですか?
セキュリティは全く同じ行を見て、全く別の見方をします。なぜ単一のソースからこれほど多くの認証トラフィックが発生するのでしょうか?なぜスクリプト化されたユーザーエージェントを使用しているのですか?これはトークンリプレイ攻撃、クレデンシャルスタッフィング攻撃、それともアクセスを維持しようとする侵害されたサービスによる攻撃でしょうか?
同じシグナル。異なる解釈。
問題はデータではありません。それは、私たちがそれを理解するための責任をどのように分断してきたかという点にあります。私たちは2つの並行世界を構築しました。1つはシステムのデバッグに最適化された世界、もう1つは攻撃者を追跡することに最適化された世界です。両者とも同じテレメトリデータを見ており、どちらか一方だけでは不十分です。
AIは幻想を打ち破る
AIは組織図を気にしません。ログをどのチームが「担当」しているかは関係ありません。むしろ、あらゆるものにわたるパターンに着目します(これは素晴らしいことです):
- メトリクス
- ログ
- トレース
- セキュリティシグナル
そして、現代のシステムを理解する唯一の方法であるため、それらを関連付けるのです。
ここから多くのツールにとって厄介な状況になります。AIを可観測性データとセキュリティデータの両方に作用させると、厳しい現実が明らかになります。 ほとんどのプラットフォームは、そもそもそのようなデータを統合するように構築されていませんでした。
スキーマ、パイプライン、ストレージシステム、クエリ言語が異なるため、洞察を得る代わりに、遅延、変換エラー、部分的なコンテキストが生じます。
ギャップは縮まりつつあるが、それはアーキテクチャが持ちこたえる場合に限る
AIは基盤となるシステムが統一されていれば可観測性とセキュリティの橋渡しを行うことができます。
しかし、ログ、メトリクス、セキュリティデータが異なるデータレイク、ベンダー、正規化レイヤーに存在する場合、AIはそれらを「接続」するのではなく、推測するだけです。あるいは私がよく言うように、「嘘つき、嘘つき、メインフレームが燃えている」。
セキュリティにおいて推測に頼ると、誰も信用しない誤検知や、実際には重要なシグナルを見逃してしまうことになります。
ここで優位に立つプラットフォームは、最も派手なAIを備えたものではありません。データが既に正規化されており、クエリの実行速度が速く、コンテキストがユースケース間で共有されているプラットフォームです。
そうすれば、AI は完全な全体像に基づいて推論できます。
本質的な変化
今起きていることは、「セキュリティのための AI」でも「オブザーバビリティのための AI」でもありません。それは、それらの間の境界が崩れつつあるということです。そして、それによってスタックの捉え方を変えざるを得なくなります。
- ログは、もはや「単なるログ」ではありません。
- テレメトリは「単なるパフォーマンスデータ」ではありません。
- セキュリティシグナルは「単なるアラート」ではありません。
すべてが証拠です。そして、唯一重要な問いは、あなたのプラットフォームが、その証拠を意味のある答えへ十分な速さで変換できるかどうかです。
