データレイクを超えて：最先端のクロスドメイン運用インテリジェンス

RSACが終盤を迎える中、セキュリティリーダーとの会話である1つのテーマが繰り返し話題に上りました。それは、今日の企業が重大な転換点に直面している、すなわち、マシンによるテレメトリの生成スピードが従来のアーキテクチャの処理能力を上回ってしまったということです。この転換点を乗り越えるには、情報をただ保存するだけのアプローチから、アラートの大量発生を抑えながら情報を有効活用できるアプローチに切り替える必要があります。業界では、データレイクが履歴レポートの作成に欠かせない基盤である一方で、その性質上、セキュリティや運用に関するリアルタイムのインサイトを得るには向いていないことを多くの企業が認識し始めています。

必要なのは、セキュリティ運用を想定して構築されたデータファブリックと、マシンスピードでの検出と対応を可能にするエージェント機能を組み合わせることです。その核心は、未活用のマシンデータをAIで活用できるようにして、データの価値を引き出すことにあります。

AI自体が生み出す新たな脅威に対抗するには、データファブリックにAIを組み込むだけでなく、AIの処理を可視化して信頼性を高めることも重要です。さらに、実用性を維持するには、コストをできるだけ抑えながら、ほぼ無限の拡張性を確保する必要もあります。

Splunkは、シスコとの統合を通じて、その実現を支援するプラットフォームを開発し、提供しています。それがCisco Data Fabricです。Cisco Data Fabricは、セキュリティ運用とクロスドメイン運用を念頭に置いたソリューションで、汎用的なデータレイクとは異なります。私たちが掲げる「エージェンティックSOC」のビジョンにCisco Data Fabricを統合することで、生データを強力なアクションにつなげる妨げとなっている「レジリエンスのギャップ」を解消します。私たちのミッションは、大規模ストレージへのデータ集約や事後対応的なセキュリティ態勢によって生じる制約から企業を解放することです。ドメインをまたぐ統合的なコマンドセンターを提供して、脅威を予測し運用をリアルタイムで最適化できる態勢の構築を支援します。

以下では、Splunkが、3層構造のインテリジェンスシステムを通じて、エージェント時代のセキュリティ運用の基準をどのように再定義しているかをご紹介します。

1. 第1層：Cisco Data Fabricを介したインテリジェントなデータアクセス

従来のアプローチでは、大規模なストレージにデータを移動またはコピーして集約することが、データを一元管理する唯一の方法であるとされてきました。しかし、今日の企業にとって、この方法はコストがかかるばかりか、非現実的です。

Cisco Data Fabricでは、データをそれぞれの生成元に置いたままアクセスできるため、統一された方法でテレメトリにアクセスできます。融通の利かない単一パスのインフラに合わせて既存のシステムを全面的に刷新する必要はありません。この柔軟性により、既存の環境とシームレスに統合して、組織にとって最適なアーキテクチャを維持できます。この第1層の重要な働きにより、データへのシームレスなアクセスと、データの強制的集約に伴う遅延やコストの回避が可能になります。

2. 第2層：受動的なデータ分析とは異なるリアルタイムの実行層

データの分析とシステムのリアルタイム運用の間には根本的な違いがあります。汎用的なデータレイクはコールドストレージやバッチ処理向けに設計されています。しかし、サイバーセキュリティやミッションクリティカルな業務の運用には常時稼働の実行ループが求められます。

Splunkインデックスは、低遅延の専用インデックスと継続的な相関付けを念頭に設計されています。これらの機能をデータレイクで後付けすると、速度や信頼性が大きく損なわれます。Splunkであれば、複雑な統合環境であっても、Federated Analyticsによってこのリアルタイム性を維持できます。リモートクエリーの遅延に悩まされがちな従来の統合サーチとは異なり、Splunkの新しいアーキテクチャでは、Cisco Data Fabricを介して重要なテレメトリを高性能なデータレイクインデックスにオンデマンドでインテリジェントに転送できます。これにより、データレイク内のデータに対して、ローカルストレージと同等の1秒以内のパフォーマンスで、高頻度のアラート生成や複雑なセキュリティ検出を実行できます。

実行層をアーキテクチャの中核に据えることで、データベースクエリーの処理を待たず脅威の拡散と同じスピードで検出やワークフローを実行できます。

3. 第3層：エージェンティックSOCによるアクションの統制

多くのベンダーが「情報の蓄積」から「AIによる状況判断」への移行を試行錯誤している中、シスコはすでに、その判断を行動に移す「実行層」の段階に移行し、インサイトの獲得から修復までを自動的に実行するクローズドループを実現しています。

• エージェンティックSOC：単にアシスタントを追加するのではなく、データをより効果的に管理し、予測と予防というプロアクティブな態勢に転換できる最新のSOCを実現しています。
• 実行面での優位性：Splunkでは、検出、ワークフロー、修復の各層はすでに管理対象になっているため、AIエージェントによって統制の効いた一連のアクションを即座に実行できます。データレイクに対して単に「推論」を行うのではなく、事業を継続させるためのポリシーを発動します。
• 「Claw」エコシステム：シスコは、エージェントを取り巻く状況が急速に進化する中で、常に先手を打っています。その一例が、先日発表したDefenseClawです。DefenseClawは、OpenClawエコシステムに統合され、エコシステム全体を保護します。これにより、AIドリブンのセキュリティを実現して、統制とセキュリティを強化できます。

4. 経済効果：効率の大幅な向上

企業のセキュリティはあまりに複雑なため、「汎用製品の方が安い」という考え方は通用しません。私たちは、上記の3層アーキテクチャを取り入れることにより、データの経済性を根本から変えます。

汎用のデータレイク上でセキュリティデータの複雑な相関付けを実行するためには膨大な計算負荷が必要になります。シスコとSplunkが提供するソリューションは、そのような計算負荷を必要としないため、より高いパフォーマンスと効率を発揮します。さらに、データの移動や再処理のために追加コストが発生するような汎用プラットフォームと比べて、低いTCO (総所有コスト)で、より深いインサイトを導出できます。

5. 統合的なクロスドメインプラットフォーム

SIEMはパズルのピースの1つに過ぎません。真のレジリエンスを実現するには、組織全体を網羅するプラットフォームが必要です。シスコとSplunkは、セキュリティ運用、IT運用、ネットワーク運用、DevOpsをまたぐクロスドメインの統合的なエクスペリエンスを提供します。

• 相関付けに基づくインサイト：ポイントソリューションでは不可能な、ドメインをまたぐ可視化を実現します。
• ハイブリッド環境に対応する柔軟性：パブリッククラウド、プライベートクラウド、オンプレミスのいずれの環境でも、一貫したセキュリティ態勢を維持できます。
• 信頼性とガバナンス：セキュリティとオブザーバビリティの両分野におけるシスコとSplunkのリーダーシップは、業界アナリストの認めるところです。セキュリティに取り組む世界中の多くの組織が、シスコとSplunkのプラットフォームをセキュリティ基盤として導入していることは、その証と言えるでしょう。

デジタル運用の未来は、静的なデータレイクにはありません。それは、データアクセス(ファブリック)、リアルタイムの実行(インデックス)、統制されたアクション(エージェント)の3つの層を基盤とする、成熟した拡張性の高いエージェント型プラットフォームにあります。シスコとSplunkは、今日のビジネス環境で求められるレジリエンスとインテリジェンスを提供します。

このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。