SOCの進化：Splunk Enterprise Securityによるリアクティブからエージェンティックへの転換(RSAC 2026)

今日のSOC (セキュリティオペレーションセンター)は限界に達しています。ツールの乱立によって負担が増大し、専門的なスキルを持つメンバーは慢性的に疲弊し、シャドーITが増加して、従来のリアクティブな業務モデルはもはや持続不可能になっています。AIを悪用する脅威の拡大やAPTのさらなる巧妙化に対抗するには、縦割りで手作業が多いワークフローから「エージェンティックSOC」へと転換する必要があります。

RSAC 2026において、Splunkは、これらの課題を解消することを目的とした、Splunk Enterprise Security (ES)の重要な機能強化を発表しました。このアップデートにより、AIを活用したセキュリティ運用プラットフォームとしてSplunk ESがさらに強化されます。

忠実度の高い可視化で運用を拡張

セキュアな環境を実現するには、守るべき資産を把握し、効果的な検出プロセスを確立することが重要です。Detection Studioと最新版の統合サーチを使えば、環境全体にわたって検出と可視化を統制できます。

• Detection Studio (一部地域で一般提供開始)：多くのセキュリティチームが今日抱えている検出ライフサイクルの分断の問題を解消します。Detection Studioは、検出エンジニアが検出ルールの計画から、開発、テスト、展開、監視までを統合的に行えるワークスペースを提供します。カバー範囲をMITRE ATT&CKフレームワークとマッピングすることで、データのギャップを特定し、検出の品質をリアルタイムで検証できるため、MTTD (平均検出時間)を大幅に短縮できます。

• 統合サーチ(近日一般提供開始)：統合サーチの最新版は、クラウドレイクやSaaSを含め、分散するデータソースを包括的に可視化して、セキュリティ運用チームをさらに強力に支援します。データを事前に取り込む必要がないため、追加コストがかからず、複雑さが増すこともありません。Splunkにデータを取り込むことなく、S3やIcebergなどのデータストアを横断してサーチと調査を実行できます。これにより、パフォーマンスとの兼ね合いを柔軟に調整してコンプライアンスを維持しながら、コストを削減し、インサイトをよりすばやく獲得できます。

^{Detection Studioダッシュボード}

エクスポージャー分析で検出と対応を効率化して重要な問題に集中

多くの組織が攻撃対象領域を正確に把握できていないのが現状です。見えないものを守ることはできません。Splunk ESの新機能であるエクスポージャー分析 (近日一般提供開始)は、環境全体を高い信頼性で可視化するために役立ちます。

• 継続的な検出：環境全体で資産とユーザーを自動的に検出します。エージェントやツールを新たに導入しなくても、すでに取り込まれているデータを活用して、セキュリティ態勢を可視化するための「Security Truth Layer」を構築できます。

• コンテキストに基づく優先順位付け：資産とIDの関係をマッピングして、コンテキスト豊富なエンティティリスクスコアを生成します。これにより、エンティティの透明性が高まり、ほぼリアルタイムのインサイトを獲得できます。アナリストは、手作業の調査から解放され、攻撃対象領域に実際に影響を及ぼす優先度の高い調査に集中できます。

^{エクスポージャー分析でのエンティティ分析}

AIエージェントの活用：マシンスピードで業務を処理

「エージェンティックSOC」を目指すには、人間主体の手作業から、AIとのコラボレーションへと移行する必要があります。AIを活用したSplunkのセキュリティ運用プラットフォームでは、新しい専門AIエージェントによってTDIRプロセスを効率化できます。これらのエージェントが負担の大きい作業を担うことで、人間のエキスパートは、付加価値の高いセキュリティ対策や戦略的イニシアチブに注力できます。これらのエージェントはSplunk ESでまもなく提供が開始される予定です。

• Detection Builder Agent (近日アルファ版の提供開始)：このエージェントは、仮説の構築から本番運用まで、検出ルールの作成を支援します。これにより、精度の高い検出ルールを数分で作成し、すばやくインポート、調整、タグ付けできます。

• SOP Agent (近日クラウドで提供開始)：このエージェントは、組織のセキュリティ業務のSOP (標準作業手順)を、マルチモーダルLLMを通じてSplunk ESの対応計画にインポートします。他のエージェントは、SOCが定義したとおりに、これらのSOPを実行します。これにより、定型的な作業にかかる時間を大幅に短縮できます。

• Triage Agent (近日アルファ版の提供開始)：このエージェントは、アラートの補強、優先順位付け、説明の追加を自律的に実行します。これにより、アナリストの負担を大幅に軽減できます。

• Malware Threat Reversing Agent (現在Splunk Attack Analyzerで利用可能)：このエージェントは、悪質なスクリプトの要約を提供し、ステップごとに解析します。これにより、アナリストはマルウェアの脅威に関するインサイトを迅速に得ることができます。

• Guided Response Agent (近日アルファ版の提供開始)：このエージェントは、SOCが定義するSOPに基づいて対応アクション(隔離など)を自動的に実行します。

• Automation Builder Agent (アルファ版)：このエージェントは、自然言語での指示に基づいて、組織固有のプロセスやユースケースに合わせた機能的でテスト済みのSOARプレイブックを生成します。これにより、SOCチーム全体で自動化を大幅に加速させ、新しいワークフローの開発を促進できます。

^{Automation Builder AgentのUI (アルファ版)}

リアクティブなSOCからエージェンティックSOCに転換

エージェンティックSOCへの転換は、多くのセキュリティリーダーが今日直面している課題の解決につながります。

• 検出の信頼性向上：Detection Studioを使えば、データのギャップを解消し、検出品質を自動的に検証することで、進化する脅威に対するセキュリティ対策の効果を維持できます。

• コストゼロの可視化：エクスポージャー分析を使って、既存のデータから攻撃対象領域のインベントリを作成することで、手作業が多く費用の高い資産管理ソリューションを置き換えることができます。

• マシンスピードでの調査による時間短縮：時間のかかるタスクやプロセスを新しいAIエージェントに任せることで、MTTRを大幅に短縮できます。節約された時間を使って、人間のアナリストの知識を必要とする高度な脅威への対策や、SOCを強化するための取り組みに専念できます。

エージェンティックSOCへの転換は、新しいツールを導入するだけで果たせるわけではありません。セキュリティチームの運用モデルを根本から見直す必要があります。Splunk ESのエクスポージャー分析で得られる明確なデータと、AIエージェントが自動的に生成するインテリジェンスを統合すれば、SOCが現在直面している脅威と同じスピードで対応できるようになります。

SplunkでリアクティブからエージェンティックにSOCを進化させる方法について詳しくは、Splunk ES Premier製品ツアーをご覧ください。

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。