脅威が日々増大する中、セキュリティ運用の課題も深刻になっている。こうした状況下、異なる特徴を持つセキュリティベンダー2社が合併した。この合併で進められる「AI主導型」のセキュリティビジョンはセキュリティ運用にどのような“改善”をもたらすのだろうか。
ユーザー企業のニーズが常に変化していくIT業界において、企業の買収、統合はつきものだ。多く見られるのは、比較的大手ベンダーが自社のポートフォリオを拡張するために、新たな領域で成長してきたスタートアップを買収するパターンだろう。
しかし、2024年7月に完了した米国のセキュリティ企業、Exabeam(エクサビーム)とLogRhythm (ログリズム) の合併は少々毛色が異なる。「SIEM」(Security Information and Event Management)やセキュリティ運用領域にフォーカスしてきた企業同士が1つになるからだ。この合併によってどのようなシナジー(相乗効果)が生まれるのか、Exabeamのチーフプロダクトオフィサー(CPO)を務めるスティーブ・ウィルソン氏に尋ねた。
Exabeamは、さまざまなセキュリティ製品が生成するアラートやイベント情報を1つの共通情報モデル(Common Information Model:CIM)に集約した上で、AI(人工知能)技術を使って分析し誤検知を排除。セキュリティ担当者がリスクの高いイベントに注力してインシデントの調査、対応を迅速にできるように支援するセキュリティ運用プラットフォーム「Exabeam Security Operations Platform」を提供してきた。
一方、LogRhythmは、約20年にわたる歴史を持つSIEM市場のパイオニア的企業だ。大量のログファイルを収集、管理して、一元的に検索できる「LogRhythm SIEM」を提供している。
一見すると似たような「SIEM企業」としてひとくくりにされそうな2社だが、ウィルソン氏によると実はさまざまな違いがある。
「LogRhythmは大量のログファイルを収集、管理し、検索することにフォーカスしてきました。一方、ExabeamはSIEMベンダーとしてではなく、アナリティクス(分析)カンパニーとしてスタートしました。ですので、当初は他社製のSIEMと組み合わせてユーザーの挙動を分析し、脅威を検知する『UEBA』(User and Entity Behavior Analytics)のみを提供していました。現にお客さまの約半数は今も他社製SIEMと組み合わせてExabeamを利用しています」(ウィルソン氏)
提供する製品以外にも、2社にはさまざまな違いが存在するとウィルソン氏は説明する。例えば、主な顧客層で見るとLogRhythmの導入企業は中堅・中小企業が多い。日本市場ではあまりプレゼンスがないが、中東などでは広く採用されている。動作環境はオンプレミスシステムでの導入が大半だ。一方、Exabeamは大規模な企業での採用が多く、導入形態もクラウドベースとなっている。
「この2社が一緒になることで、より多くの地域、より多くのお客さまやユースケースをカバーできると考えています」(ウィルソン氏)
合併によって企業規模が拡大し、営業力が強化されてより多くの地域をカバーできるようになる。それだけではなく、財務体質も強化されて開発投資もより積極的にできるという。ウィルソン氏は「この先、より大手の競合と競争していく上でも力になるでしょう」と述べ、まずビジネス的なシナジーが得られるとした。
Exabeamの公式なプレスリリースによると、2社の合併後はExabeamの名前を維持し、LogRhythmブランドの伝統を取り入れた新たなブランドを立ち上げる。だが、今の時点でもユーザー企業はすでに合併のメリットを享受できるとウィルソン氏は説明する。
例えば、Exabeam Security Operations Platformは2つの形態で導入できる。1つは、Exabeamが提供するSIEMの上でアナリティクス機能を活用する「フルスタック」方式。もう1つは、さまざまなサードパーティーベンダーが提供するSIEMと、UEBAなどのアナリティクス機能を組み合わせる「オーギュメンテーション」方式だ。LogRhythmのSIEM製品ももちろん活用できる。
何より両者の合併は、今到来しつつあるAI技術主導型のセキュリティ製品を強化するものになるという。
Exabeamは、大量アラートに疲弊するセキュリティ運用上の課題を解決し、安全な環境を提供するには、AI技術を駆使して自動化を進めていくことが不可欠だという。2024年2月に生成AI技術を活用したツール「Exabeam Copilot」を発表した。独自に開発したプライベートLLM(大規模言語モデル)を用い、自然言語を用いてExabeamの分析機能とやりとりできるようにして、さまざまな「インサイト」(洞察)をより容易に得られるようにするものだ。
「既存のLogRhythm SIEMのお客さまは、オーギュメンテーション方式により、ExabeamのUEBAやExabeam Copilotをすぐに使えるといったメリットが得られます」(ウィルソン氏)
セキュリティ業界でも多くのベンダーが「AI活用」をうたうようになっている。しかし、「その多くは流行に乗っているだけにすぎません」とウィルソン氏は述べる。「Exabeamはセキュリティ運用にフォーカスし、全ての製品を“AI駆動型”にしていくという戦略で10年以上にわたって継続的に投資してきました。それが競合他社との差別化につながると考えています」(ウィルソン氏)
ウィルソン氏はAI技術や機械学習(ML)技術のセキュリティに関する専門家でもある。OWASP(Open Worldwide Application Security Project)の「OWASP Top 10 for LLM」プロジェクトのリードを務める他、O'Reilly Mediaの書籍『The Developer's Playbook for Large Language Model Security』の筆者でもある。
その立場からウィルソン氏は、生成AIのコアであるLLMには幾つかセキュリティ上の課題もあると指摘。それ故に「LLMを使う際には、ゼロトラストアプローチを採ることを推奨しています。ユーザーが信頼できないのと同じように、LLMから出てくるどんなデータも、無条件に信頼すべきではありません」とアドバイスする。
Exabeamの製品にも、LLMをモニタリングし、AI技術をより安全に使えるようにする仕組みを組み込んでいくロードマップがあるという。「UEBAなどのアナリティクス機能を用いて、ユーザーがどのようにソフトウェアを使っているのか監視する必要があるのと同じように、LLMがソフトウェアの中でどのように振る舞っていくかを把握する必要があります」とウィルソン氏は述べる。
ウィルソン氏は、こうした課題はありつつも、「われわれの未来はAIとML、自動化にあることは明白です」と語る。引き続きAI技術の活用や自動化を推進してセキュリティの現場が抱える課題を解決していくことをあらためて強調した。
ウィルソン氏によると、Exabeamの戦略には“3つの柱”がある。
1つ目の柱は、日々のセキュリティ運用を回しているあらゆるセキュリティアナリストやSOC(Security Operation Center)のメンバーに力を与え、業務をより効率的にしていくことだ。
2つ目の柱は、セキュリティ運用を継続的に改善していくために、各ユースケースやMITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)に対しての対応状況を可視化し、必要な対策を推奨する機能だ。これによりユーザーは現在のセキュリティ対策を俯瞰(ふかん)的に把握し、セキュリティ対策の次の一手を講じられるようになる。これまで現場では新たなセキュリティ投資の必要性を理解していても、マネジメントの理解を得られなかった状況をこれらの機能を活用することで、投資の妥当性を説得する材料としても有効だという。
そして3つ目の柱は、SOCが果たす価値をExabeamのAI、自動化、SIEM、セキュリティ分析、UEBAを統合するソリューションで定量的に示していくことだ。「残念ながらCISO(最高情報セキュリティ責任者)はSOCを、お金を費やすばかりのコストセンターと見なすこともあります。Exabeamは、自分たちの立ち位置や成熟度のカーブを示し、セキュリティ運用がどのように改善しているかを可視化して、SOCの価値を示していけるように支援していきます」(ウィルソン氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:Exabeam Japan株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2024年10月24日