多くの組織にとって、セキュリティオペレーションセンター(SOC)の構築と運用は、非常に難しい選択を伴います。プログラムを立ち上げようとしている小規模で機動力のあるセキュリティチームであれば、ツールに多額の投資を行うか、検出エンジニアやアナリストを採用するか、あるいはMSSP/MDRに全面的にアウトソースするかを選ぶことになります。どちらの選択肢にもトレードオフがあります。一方は、確保できない可能性のある人員やツールを必要とし、もう一方は、結果が不透明なままコントロールを手放すことになります。
すでにSOCを運用している場合、課題は異なりますが、同じように差し迫っています。新しいサービスやクラウドワークロードを導入するたびに、監視すべきソース、維持すべき検出、調査すべきアラートが増えますが、その増加に見合う人員予算を確保できるとは限りません。その結果、可視性の欠如、アラートの見逃し、アナリストの疲弊が生じます。
私たちは、より良い方法があると考えています。エクサフォースの創業後、私たちはフルライフサイクルのAI SOCプラットフォームの構築に取り組みました。脅威検出、アラートトリアージ、調査と脅威ハンティング、対応を含むセキュリティ運用のあらゆる段階にAgentic AIを導入するためです。SaaSプラットフォームまたはフルマネージドMDRサービスとして提供されるエクサフォースは、従来のSOCツールやサービスと比べて、チームがより迅速に、より正確に、より確信を持って作業できるようにし、TCOを大幅に削減できるよう設計されています。
フルライフサイクルAI SOCが重要な理由
現在のセキュリティ運用ツールは、AI機能を後付けしようとしているものも含め、今日のIaaS、SaaS、アイデンティティ、AIワークロードの攻撃対象領域を前提に構築されていません。モダンなアプリケーションスタックからのシグナルをつなぎ合わせるには、多くのSOCが割けない時間と専門知識が必要です。特に、これから立ち上げる小規模チームや、すでに逼迫している成熟したSOCではなおさらです。
エクサフォースは、タスク特化型AIエージェントであるエクサボットとAdvanced Data Explorerにより、この課題を解決します。エクサボットはオートパイロットモードまたはコパイロットモードで動作し、重要なSOCタスク全体を支援します。Advanced Data Explorerにより、SOCチームは従来のSIEMイベントデータを超えて、ログ、アイデンティティ、構成、コードコンテキスト、脅威インテリジェンスデータを組み合わせ、容易にクエリや調査を行うことができます。また、自然言語クエリ、またはフィルターやチャートを備えたビジネスインテリジェンス風のインターフェースを通じて利用できます。
このモダンなアーキテクチャは、当社が進めているデータエンジニアリングおよび変換の取り組みと組み合わさることで、モダン環境におけるログ量の大半を占めるIaaSおよびSaaSログのストレージコストを大幅に削減します。これらの機能はいずれも、ディープラーニング、機械学習、ナレッジグラフ、LLMを組み合わせて包括的な推論を行う、専用設計のマルチモデルAIエンジンによって支えられています。
その結果、高精度な検出、コンテキスト豊富なトリアージ、迅速な調査が実現します。小規模チームは数時間で実用的なSOCを立ち上げることができ、成熟したSOCはより迅速かつ正確に運用できるようになります。同時に、総所有コスト(TCO)も削減できます。
より多くのクラウド脅威を検出して阻止
エクサフォースは、重要なIaaS、SaaS、アイデンティティ環境全体にわたり、すぐに利用できる脅威検出を提供します。AWS、GCP、Google Workspace、GitHub、Atlassian、OpenAIなどをカバーし、UEBA手法を超える検出を実現します。
レガシーツールを使用して効果的なUEBAや異常検出を構築することは、決して簡単ではありません。正確な検出をモデル化するには、保護対象のサービスと関連エンティティを深く理解する必要があります。これを十分に実現しようとする多くの大企業では、検出エンジニアやデータサイエンティストのチーム全体を配置しています。それでも、既存の異常検出やUEBAのアプローチは、クラウドアイデンティティやリソースを前提に構築されておらず、過剰な誤検知を生み出しがちです。
これに対し、エクサフォースは高度な異常検出とLLMの推論機能を組み合わせています。異常は、LLMが顧客環境固有のビジネスコンテキストや推論とつなぎ合わせる「注目すべきシグナル」になります。エクサボットは、イベントデータだけでなく、構成データ、コードリポジトリ、アイデンティティ、脅威インテリジェンスを基に推論できます。
その結果、非常に高精度で実行可能な脅威検出が実現し、最小規模のSOCチームにもカバレッジを提供できます。また、監視すべき新しいサービスが増え続ける中で課題に直面している成熟したSOCチームの可視性の欠如も補完します。
Tier 1分析を超える自動トリアージ
エクサフォースの検出、クラウドネイティブツール、またはSIEMからアラートが届くと、エクサボットトリアージが一般的なTier 1分析を大きく超える調査を実行します。特定時点のイベントに依存する従来のトリアージとは異なり、エクサボットは環境に関する深い知識と当社の異常検出エンジンを活用し、時間の経過に伴う振る舞いを推論します。
エクサボットは、複数の検出ソースにまたがる脅威を相関します。本来であれば個別のアラートに見えるものを、完全な攻撃ナラティブとして構築します。各調査では、明確な判定として「誤検知」または「要調査」を出す前に、アイデンティティコンテキスト、ピアベースライン、過去の結果によってアラートをエンリッチします。
ユーザーが最も正確なコンテキストを持っている場合、エクサボットは直接確認します。これにより、多くのSOCチームを悩ませる手動確認に費やす膨大な時間を削減できます。自然言語のビジネスコンテキストルールは、ビジネス上の優先事項を取り込み、環境固有の知識によってAI分析を微調整し、その環境では正常と見なされるアクティビティに対する誤検知を削減します。
これらのアクションを実行する際、エクサボットはオートパイロットモードまたはコパイロットモードで動作します。アナリストは、同じプラットフォーム内でフォローアップ質問をしながら分析を確認できます。調査に役立つ追加情報を取得するために、SIEMへコンテキストを切り替える必要はありません。
調査と脅威ハンティングの高速化
多くのSOCでは、調査が根本的なデータの問題に直面します。SIEMがない場合、セキュリティチームは保持ポリシーの異なる複数のデータソースを検索する必要があり、調査に必要なデータが不足したり、データが利用可能な場合でも情報をつなぎ合わせるという困難な作業が発生したりします。SIEMがある場合でも、利用できるのはイベントデータに限られます。そのため、「どのエンティティがどのアクションを実行したのか」「その影響は何だったのか」といった基本的な問いに答えるにも、複雑なクエリを書く必要があります。
エクサフォースのAdvanced Data Explorerは、従来のSIEMを超える機能を提供します。専用設計のユーザー体験の中で、イベント、アイデンティティ、構成、コードコンテキスト、脅威インテリジェンスを豊富な関係性とともに統合します。データは自然言語検索、または真のデータ探索と視覚的なクエリを可能にするビジネスインテリジェンス風のインターフェースからクエリできます。データは高速なインメモリデータベースに保存され、リアルタイム調査を可能にします。一方で、データウェアハウスが長期的な分析を支えます。
同様に、Data ExplorerとExabot Search(エクサボット検索)を使用することで、脅威ハンティングも容易になります。たとえば、エクサボット検索にWeb上の既知のエクスプロイト情報を取得させ、侵害の痕跡を抽出するようシステムに指示し、その指標を環境全体で検索できます。これらはすべて自然言語で実行できます。
Advanced Data Explorerとエクサボット検索を組み合わせることで、チームは従来の調査上の障壁を克服し、SIEMだけでは得られない可視性を獲得できます。
エンドツーエンドの対応ワークフロー
エクサフォースはチケット作成にとどまらず、SlackやTeamsと連携してユーザーやマネージャーにアクティビティを確認し、Entra IDなどのアイデンティティプロバイダーと連携して、パスワードリセット、MFAリセット、セッション終了を自動化します。アナリストは手動で対応することも、エクサボットに自律的に対応させることもでき、貴重なアナリストの時間を節約できます。
すべてのケースには、関連する検出結果、リソース、セッションが自動的に入力されるため、検出からアクションまでコンテキストがシームレスに引き継がれます。組み込みのケース管理と、Jiraなどのチケットシステムとの双方向同期により、コラボレーションを円滑にし、引き継ぎの遅延を減らし、封じ込めと修復を加速します。
プロアクティブなリスク管理
セキュリティは脅威を防ぐことでもあり、資産のポスチャはアラート調査にも役立ちます。エクサフォースは、アイデンティティ、クラウドリソース、SaaSアプリケーション全体にわたり、構成ミスのリスクや未使用権限などのポスチャリスクを継続的に評価します。これらのインサイトは、影響の大きいリスクを明らかにし、攻撃者に悪用される前にチームが対処できるようにします。同じコンテキストは脅威検出にも追加され、エクサボットによるアラートトリアージと調査を強化し、精度と優先順位付けを向上させます。
エクサフォースを始める
私たちのミッションは、AIによってSOCの生産性と精度を10倍に高めることです。小規模チームがスムーズに世界水準のSOCを立ち上げられるよう支援し、既存チームが人員を増やすことなく、検出と対応のカバレッジ、速度、品質を拡張できるようにします。
既存のSOCを強化する場合でも、ゼロからSOCを構築する場合でも、MDRで運用を委託する場合でも、エクサフォースはTier 1ワークフローにとどまらず、セキュリティ運用ライフサイクル全体にAgentic AIを導入します。どれだけ迅速に本番運用を開始し、検出から対応までを完結できるか、デモをリクエストしてご確認ください。
