Splunk Enterprise Security Premierの一般提供が開始：業界最高水準のアナリストエクスペリエンスを実現

セキュリティチームは、かつてない困難な状況の中で奮闘しています。AIの活用が進むことに起因するデータの爆発的増加、コストの上昇、運用の複雑さが相まって、カバレッジに重大なギャップが生じています。断片化したワークフローや不十分なツールのため、防御効果も低下しています。さらに、AIを使った攻撃が多くなってきており、その速度、規模、巧妙さが増しています。チームはこれに追随して対応するため、未検証のAIツールの導入を強いられています。

融通が利かないSIEM、分散したワークフロー、ニッチなポイントソリューションといった時代遅れのセキュリティアプローチは、この新しい時代に対応できるものではありません。セキュリティ運用には今まで以上に迅速な進化が求められているのです。その影響は明らかに出ています。セキュリティリーダーの50%以上は、今後12カ月以内に現在の職務を離れる可能性が高いと述べています¹ 。こうした燃え尽き症候群は、検出の遅れやビジネスリスクの増大に直結することになります。

Splunkは、AI時代に向けて構築された新たなセキュリティプラットフォームを切り開いてきました。本日、Splunk Enterprise Security (ES) Premierの一般提供をクラウドのお客様に向けて開始いたします。お客様が管理する環境については、2月18日に提供を開始いたします。これは極めて重要なマイルストーンとして、エージェンティックSOCを強化し、セキュリティ運用における可能性を再定義する当社の取り組みを示すものです。

Enterprise Security Premier (ES Premier)を早期に導入した企業は、統合されAIによって強化されたSecOpsプラットフォームによるアプローチの効果をすでに実感しています。WebsterBankでCISOを務めるPatty Voight氏は、.conf25のユーザーカンファレンスで次のように語っています。

新しい運用モデル：エージェンティックSOC

セキュリティの役割は、事後対応型から戦略的イネーブルメントへと変わりました。その要件を満たすには、新しい運用モデルが必要となります。それがエージェンティックSOCです。

自律型で展開されるエージェンティックSOCとは、データ、分析、ツール、AIを統合したシステムであり、進化する脅威の状況にアナリストが継続的に適応できるよう支援します。人間の持つ専門知識とAIドリブンのエージェントを組み合わせ、脅威の検出、調査、対応(TDIR)のライフサイクル全体にわたって支援、行動、学習を行います。このモデルにより、日常業務は自動化され、複雑な作業は合理化され、防御担当者は確信を持って迅速に行動することができます。

Splunk ES Premierは、このビジョンを実現するために開発されたものです。10年にわたりGartner、IDC、ForresterによってSIEM/セキュリティ分析のリーダーとして評価されてきた実績を基に、定型業務を自動化し、複雑なシナリオを合理化することで、アナリストを事後対応型のアラート処理者からプロアクティブな防御担当者へと引き上げます。

Splunk ESPremier Editionの差別化要因

ES Premierは単なるツールの寄せ集めではなく、統合セキュリティエンジンです。SIEM、SOAR、ユーザーとエンティティの行動分析(UEBA)、脅威インテリジェンス、検出エンジニアリングといった、市場をリードするテクノロジーを統合し、AIを活用したシームレスなセキュリティプラットフォームを実現しました。これは、脅威の検出、調査、対応の方法を根本的に変えるものです。

忠実度の高いデータ基盤上に構築

セキュリティの成果を出していくには、まずデータです。ES Premierは、高度なデータ管理と統合を通じて、クラウド、オンプレミス、ハイブリッド環境全体にわたり比類のない可視化を実現します。これらの機能は、競合他社と一線を画す強みです。他社の場合、同様の結果を得るためには、サードパーティーパートナーに依存せざるを得ないからです。Splunkのオープンデータファブリックは、事前構築済みの統合、コスト管理、強力なデータ管理、高度なパイプライン、柔軟性の高い統合を提供します。データがどこに保存されていても、どのようなかたちで必要な場合でも、作業することができます。

検出と可視性を拡大

適切な分析ができなかったら、未加工のシグナルは意味をなしません。ES Premierは、特別に構築された強力な機能を通じて、データを確かな行動へと結び付けます。       

• 統合検出エンジニアリング：検出エンジニアリングのライフサイクルを再構築し、エンジニアが高忠実度のルールを迅速に発見、テスト、導入できるようにしました。MITRE ATT&CKに対するカバレッジをマッピングし、攻撃者による悪用が発生する前にギャップを解消できます。
• ネイティブUEBA：行動分析はもはや、付加機能ではありません。内部脅威、侵害されたアカウント、さらには高度な国家レベルの攻撃を検出するために、UEBAをプラットフォームに直接組み込みました。これらのインサイトは、他の検出結果や調査結果と並んで表示されます。
• 脅威インテリジェンスの統合：TDIRワークフローに直接組み込まれたCisco Talosの全機能を活用できます。つまり、コンソールを離れることなく、豊富なコンテキストが得られ、より迅速な意思決定が可能となります。
• CiscoとSplunkのコラボレーション：Splunk脅威調査チーム(STRT)とCisco Talosが連携し、世界最高レベルの検出とインサイトを開発し提供することで、新たな脅威に対して確実に先手を打って対応できます。

ES Premierを使用するすべてのアナリストは、コアワークフローの一環として、高度な自動化と行動分析をすぐに利用することができます。これにより、検出と対応を隔てていた障壁が解消されます。

統合ワークフローでアナリストの業務を合理化

アラート疲れは、量だけの話ではありません。断片化も問題なのです。アナリストは、ツールを切り替えたり手動で調査をまとめたりすることで、時間を浪費し、コンテキストを見失っています。ES Premierなら、このような問題が解消されます。

• 1つの統合ワークフロー：検出、調査、対応、ケース管理が1カ所で行えます。アナリストはこのフローに沿って、最初のアラートから最終レポートまでコンテキストを維持できます。
• 誰もが使える包括的なSOAR：誰でも自動化を行うことができます。利用者数の制限はありません。すべてのアナリストが、組み込み済みの自動化を利用できます。チームは、コーディングの専門知識を問わず、プレイブックを標準化し、トリアージを加速し、定型的なタスクを処理するためのランブックを作成できます。
• 2つのエディションで自由な選択：Enterprise Security EssentialsまたはEnterprise Security Premierのどちらを選択しても、同一の統合SecOpsプラットフォームを使用できます。お客様がセキュリティジャーニーのどの段階にいらしても、サポートを提供いたします。

AIとエージェンティック機能でSOCを加速

Splunkは、組織のSOCの業務に即して動作するAIを提供します。このAIは専用に開発されたもので、運用の現実に根差したかたちでアナリストのワークフロー全体にわたって組み込まれており、測定可能な成果に焦点を当てています。主な機能をご紹介しましょう。        

• AI Assistant in Security：自然言語でデータと対話します。ワークフローに直接組み込まれたこのアシスタントにより、SPLサーチの生成、複雑な調査結果の要約、調査レポートの作成が瞬時に行えます。日常的な業務をスピードアップし、重要な作業に集中できるようにします。
• マルウェア脅威リバース解析エージェント：コードの難読化解除に何時間も費やす必要がなくなります。このエージェントは、悪質なスクリプトを1行ずつ分析し、回避動作を特定して、IOCを数秒で抽出します。
• エージェンティック機能の拡張：トリアージエージェント、AIプレイブックの作成エージェント、自律型レスポンスエージェント、Detection Personalizerなどの機能が、2026年中にリリースされる予定です。

すべてのアクションは透明性を備え、監査可能で、アナリストの制御下にあります。これは人間主導のAIであり、チームに取って代わるものではなく、チームを支援するために設計されたものです。

実世界の防御：ScatteredSpider阻止に向けたES Premierの活用例

ハイブリッド環境全体にわたり認証情報を迅速に悪用することで知られるグループ、「Scattered Spider」に対する防御策を取り上げてみます。従来の環境では、初期の兆候がサイロに埋もれてしまいます。ES Premierでは、一貫した防御で確実な対応をとることができます。

• 包括的な可視化と制御：EDR、ファイアウォール、クラウドソースからのテレメトリが即座に統合されます。統合サーチは、大量のログが保存される場所でクエリーを実行することでコストを制御し、データパイプラインはエッジでノイズをフィルタリングします。アナリストは「データ税」を心配することなく、運用状況の全体像を把握できます。
• 迅速な検出：攻撃者の行動にマッピングされたすぐに使用できる検出機能により、チームは即座に価値を実現できます。同時に、エンジニアは統合検出エンジニアリングワークフローを使用し、同じワークフロー内で独自の検出ルールを迅速に作成、テスト、導入することができます。
• UEBAによる異常検出：攻撃者が有効な認証情報を悪用して侵入すると、ネイティブUEBAは、静的ルールでは見逃される異常なラテラルムーブメントや「未知の未知」を表面化し、重要な早期のコンテキストを提供します。
• エージェントによるトリアージと自動対応：今後提供する予定のAIトリアージエージェント(2026年上半期にアルファ版リリース)は、リスクの相関付けを自動的に行い、インシデントを関連コンテキストで拡充し、マシン並みのスピードで対応計画を実行することで、平均対応時間(MTTR)を短縮します。アナリストによる制御を維持しながら、対応策を提案し、SOARプレイブックを調整して影響を受けた資産を封じ込め、悪質なインフラを遮断し、フォレンジック調査の証拠を収集します。

結果として、複雑で進化する脅威の検出が高速化され、手動によるツールの切り替えも削減されます。さらに、連携した対応の実現を、マシン並みの速度で確信を持って行えます。これが、いまSplunk ES Premier Editionで利用可能な、エージェンティックSOCの実践例です。

ES Premierのデモを見る

今後の見通し：新たな展開

エージェンティックSOCは、チームが消火活動から防火活動に移行できるよう支援します。SplunkはAIへの投資を継続的に進めており、これによって組織は、環境固有のデータ、インテリジェンス、資産コンテキストに基づくリスク分析を活用して、攻撃を予測できるようになります。Splunkコミュニティは新たなAIエージェントの構築と共有を進めていき、これにつれてイノベーションはさらに加速していくでしょう。 

成功を加速

価値実現の加速に向けて、お客様はSplunk Educationコースを活用して、ES Premierの重要な専門知識を習得し理解を深めることができます。さらに、Splunk Professional Servicesは、エキスパートによるガイダンスと実績あるセキュリティのベストプラクティスを提供し、迅速な導入を支援します。これにより、お客様は導入初日から価値を引き出すことができます。SOCのモダナイズを検討しているなら、今こそ行動すべきタイミングです。

エージェンティックSOCを強化する準備はできていますか？ES Premierの実際の動作をライブデモで紹介するDemo Dayにご登録ください。ご予約はこちらでどうぞ。

脚注：
1.           2025 IANS Cybersecurity Staff Compensation Benchmark Report

このブログはこちらの英語ブログの翻訳、大久保 かがりによるレビューです。