エクサフォース Agentic SOC 2025年振り返り

2025年は、従来どおりのセキュリティ運用が一段と困難になった年でした。クラウドの拡大は続き、非人間IDは増加し、攻撃は高速化し、サードパーティ依存は日常的なリスクと切り離せないものになりました。SOCチームは、調査すべき対象が増えただけでなく、把握すべき範囲も大きく広がりました。

Verizonの2025年DBIRによると、ランサムウェアは侵害全体の44%に関与し、前年から37%増加しました。また、サードパーティの関与も15%から30%へと倍増しています。

こうした状況の中、2025年はエクサフォースにとって基盤を築く年となりました。当社は、Agentic SOCプラットフォームと、LLMにセマンティックモデルおよびビヘイビアモデルを組み合わせたマルチモデルAIアプローチを加速するため、7,500万ドルのシリーズA資金調達を発表しました。さらに、検知、トリアージ、調査、対応までをカバーするフルライフサイクル型SOC向けAIプラットフォームをリリースし、Agentic AIによる自動化と専門アナリストを組み合わせたエクサフォースMDRの提供も開始しました。従業員数も50名から110名へと倍以上に増加しました（現在も採用中です）。

2025年は当社にとって基盤を築く重要な年でした。防御側にとって特に重要だったテーマに入る前に、顧客環境における集計データと主要なマイルストーンを振り返ります。

エクサフォース顧客環境における定量サマリー

顧客環境全体（当社の自社運用環境を含む）において、エクサフォースは790億件のイベントと129万件以上のアラートを処理しました。各イベントの処理は、プラットフォームの学習と改善に活用されています。

特に顕著だったのは、人手対応を必要とするアラートの削減です。

• アラートの97%はアナリストによる調査不要：129万件中わずか3%（約4.1万件）のみが手動調査対象で、残りは自動判定・クローズされました
• 人手レビュー後、98%のアラートは無害または誤検知であり、業界におけるノイズの多さを示しています
• エクサボットは98%の一致率を達成：これは、人手レビューで確定した結果とAIの推奨結果が一致した割合として定義されます

この期間において、エクサボットによる推奨および調査結果への信頼性は大きく向上し、人間と同等以上の精度が確認されたことで、顧客環境におけるMTTI（初動対応時間）が大幅に改善されました。

プラットフォームが分類した主要な脅威カテゴリ

データセットにおける上位3つの脅威カテゴリは以下の通りです：

1. 初期アクセス
2. 認証情報アクセス
3. 実行

これは多くのSOCにおける運用上の傾向と一致しており、調査は通常、アイデンティティの不正利用や初期アクセスの兆候、相関が必要な断片的なアクティビティから開始されます。

検知ソース別の誤検知傾向

誤検知率は検知ソースや環境によって大きく異なります。低件数ソースを除くと、誤検知率が高かったのは以下です：

1. CWPP
2. SIEM
3. クラウドネイティブ検知ツール

一方、誤検知率が低かったのは：

1. メールセキュリティ
2. EDR
3. アイデンティティツール

全体として、CWPPやSIEM、クラウドネイティブ検知ツールのように広範囲をカバーするソースは、テレメトリの範囲が広く検知ロジックも汎用的であるため、誤検知が多くなる傾向があります。一方、メールやEDR、アイデンティティツールは、よりコンテキストを伴う、または制御ポイントに近いシグナルを扱うため、誤検知が少ない傾向があります。特にメール領域では、ユーザー報告（例：フィッシング報告）を含むことで誤検知率の低減に寄与しますが、完全に排除できるわけではありません。

クラウドテレメトリの支配的な割合

AWSを利用する環境では、平均でイベントの67%、多くの環境で90%以上をAWSテレメトリが占めています。これは重要です。従来のSIEMやログ集約基盤は、「取り込んだデータの大半をインデックス化・保持できる」という前提で設計されています。しかしAWSはその前提を崩します。クラウドログは高ボリュームかつ高カーディナリティで、短命リソースに紐づくため、「すべて取り込む」という戦略はすぐに「ノイズを高コストで保存する」状態に陥ります。仮にコストを許容できたとしても、プラットフォームはデータの転送やインデックス処理にリソースを消費するため、調査に活用できるコンテキストの生成が遅れ、分析の投資対効果が低下する傾向があります。

アイデンティティの増加と非人間アイデンティティの増幅効果

データセット全体では、1人のユーザーに対して平均14.5の非人間アイデンティティが存在していました。これは一部で言われる50:1の比率よりは低いものの、相関分析やトリアージのワークフローに実質的な影響を与える規模です。

この比率になると、調査の前提そのものが変わります。アラートのコンテキストが「ユーザーX」で止まっている場合、クラウド環境で実際に実行されるアイデンティティベースの大半の経路を見逃すことになります。

SOCワークフローの再アーキテクチャ化

2025年は、検知エンジニアリング、アラートトリアージ、調査、脅威ハンティング、対応を個別の工程として扱うのではなく、エンドツーエンドで連携する単一のシステムとして捉える方向へと移行しました。これは、工程間の引き継ぎがボトルネックとなっているためです。

従来のワークフロー中心のツールでは、クラウド規模のテレメトリやアイデンティティの拡大に対応しきれません。コンテキスト不足や相関遅延は、プロセスだけでは補えないためです。エクサフォースは、Tier 1トリアージにとどまらず、SOCライフサイクル全体にAgentic AIによる自動化を適用することで、このシステムレベルの変化を具体化しました。

この変化の背景にある考え方については、検知、トリアージ、調査に関する記事で解説しています。検知から調査、対応に至るまでコンテキストが引き継がれなければ、ツールが最新であっても処理速度の改善は停滞します。

フルライフサイクルの実運用効果

顧客成果は、SOCチームが日常業務の変化を実感したときに使う言葉で最も端的に表現されます。

ある顧客は、Agentic SOCプラットフォームへの移行について、「率直に言って非常に良い変化だった」と評価しています。別の顧客は、「1日に100回は使っている」「自分のツール群の中で最も重要な存在だ」と述べています。

フルライフサイクルの価値は、実際の業務に現れて初めて意味を持ちます。すなわち、無駄に終わる調査が減り、実際のインシデントに対してより迅速かつ確信を持った判断ができるようになることです。

この点は顧客事例にも表れています。LottieFiles社は、30日あたり6日と4時間の工数削減と調査時間80%削減を達成しました。またFuze社では、AWS GuardDutyアラートの75%を誤検知として自動トリアージし、MTTIを94%削減することができました。

これらは定量的な成果ですが、当社が最も重視しているのはその裏側にある価値です。すなわち、実際の攻撃を早期に検知し、深刻な被害に発展する前に防ぐことです。これこそが、私たちがこのプロダクトを開発し続ける理由です。

防御力向上に向けた継続的な調査と分析

本年は、サプライチェーンおよびクラウドアイデンティティの攻撃パスに関する調査およびインシデント分析を公開しました。主な内容は以下の通りです：

• tj-actions分析
• s1ngularityサプライチェーン攻撃
• npmウォレットハイジャックの手法
• Google Apps Scriptの悪用（Ghost in the Script）
• 攻撃手段としてのAWS CloudControl API
• 過去ログを用いた列挙手法（log rings）

これらは、現在のSOCにおいて日常的に対応が求められる攻撃パターンを示しています。具体的には、サードパーティの挙動の調査、アイデンティティ操作の正当性検証、クラウドおよびコード資産における影響範囲（blast radius）の迅速な特定が含まれます。

これは業界動向とも一致しています。VerizonのDBIRでは、侵害におけるサードパーティ関与が15%から30%に増加したことが明示されています。現在では、自組織の資産だけに調査対象を限定することはできません。SOCは、インテグレーション、オートメーション、依存関係を一体として捉え、分析する必要があります。

外部評価と信頼性

‍

2025年は、エクサフォースの技術とアプローチが外部から高く評価された年となりました。

GigaOmによる「GigaOm Radar for SecOps Automation 2025」では、19のベンダー比較の中で、エクサフォースはLeaderおよびOutperformerに選出されました。特に、脅威相関、マルチモデル検知、そして分析前にデータを正規化・拡張する「pre-LLMデータレイヤー」が強みとして評価されています。

このレポートに加え、製品の成長性と市場での存在感を示す複数の業界リストやプログラムでも評価を受けました：

• AWS Generative AI Accelerator
• Latio AI Security Market Report リーダー選出
• 2025年ソフトウェア企業トップ50
• 2025 Intellyx Digital Innovator Award
• AIサイバーセキュリティ注目スタートアップ4社
• 2026年注目ソフトウェア企業10社
• 8 Gartnerによる言及

また、コンプライアンス体制の強化を進め、HITRUST認証を含む主要なマイルストーンを公開しました。これに加え、SOC 2 Type 2、ISO 27001、GDPR準拠、PCI DSS、HIPAA対応を含む包括的なコンプライアンスプログラムを整備しています。

私たちが目指す方向

2025年は、セキュリティ運用における厳しい現実を改めて浮き彫りにしました。この運用を制約する要因は今後も解消されることはありません。クラウドテレメトリは増加し続け、アイデンティティは拡大し、サードパーティ依存によってSOCが把握すべき範囲はさらに広がっています。

このような環境において重要なのは、同じ量のノイズをより速く処理させることではありません。アラート処理の前提結果そのものを変えることです。すなわち、大多数のアラートを根拠ある自動化によって自動判定・クローズし、残りのアラートには調査に即利用可能なコンテキストを備えた状態にすることです。

2026年に向けても、この方針は変わりません。私たちは、無駄な調査時間を削減し、高い確度での意思決定を加速し、検知から対応までをより少ない脆弱なハンドオフで連携するフルライフサイクル機能への投資を継続します。また、実環境での制約と実運用に基づくフィードバックを提供してくださる顧客の皆様に感謝するとともに、テレメトリの増加に比例して人員を拡大することなく、SOCチームが先行性を維持できるよう支援する技術とサービスの提供に引き続き取り組みます。