1年前、当社はステルスモードを解除し、 7,500万ドルのシリーズA資金調達 とある理念を掲げました。SOCは、アナリストやエンジニアを増やすだけでは規模を拡大できません。SIEMルールを増やしても規模を拡大できません。規模を拡大するには、人間と、実際のコンテキストを持つタスク特化型AIエージェントを組み合わせる必要があります。私たちはその結果を「Agentic SOC」と名付けました。
本日、私たちはそのミッションを加速させるため、Mayfield、Khosla Ventures、HarbourVest、Peak XV、Seligman Venturesといった素晴らしい投資家の方々から、シリーズBで1億2,500万ドルの資金調達を発表します。当社の総資金調達額は2億ドルになりました。1年間で企業価値を3倍に高め、従業員数は130名を超え、顧客ベース全体で数百万件の調査を処理しました。
しかし、より重要なのは、お客様が日々実感している数字です。調査にかかる中央値時間は、数時間から数分に短縮されています。お客様が検知エンジニアリングを必要とすることなく、検知範囲が拡大しており、潜在的な脅威や異常を示す800以上の条件の組み合わせに対応しています。かつてキューに滞留していたアラートは、アナリストが目にする前に解決されるようになりました。お客様は、Vibe Hunting(自然言語による脅威検索)を通じて、この四半期に2,500件以上の質問を実行しました。これは、以前であれば広範なクエリを作成して回答を得る必要があったものです。
攻撃者の動きの速さと、ほとんどのSOCの対応速度との間のギャップは拡大しています。この資金調達により、Exaforceはそのギャップを埋め、防御側に優位性をもたらす準備が整いました。
{Embed the commercial}
脅威モデルはすでに変化している
防御側は、18ヶ月前と同じ敵に直面しているわけではありません。AIはまず攻撃側の経済性を変えました。
フィッシングキットは、数秒でサイト固有の誘い文句を生成し、ターゲットが自社のベンダーから受け取るマーケティングメールよりも洗練された文章を作成します。かつて人間のオペレーターが1週間かけて慎重に列挙していた偵察は、今ではたった1日の午後にIaaS API表面に対して実行されるスクリプトになりました。初期アクセスブローカーは、LLMを使用して盗まれた認証情報を大規模にトリアージし、かつて未整理のまま放置されていたダンプの中から、最も価値の高いターゲットを選び出しています。一度侵入すると、攻撃者はIDプロバイダー、コードリポジトリ、ストレージにわたるクラウドおよびSaaSの誤設定を連鎖させ、その全シーケンスを追跡するまで通常の管理者アクティビティのように見える方法で攻撃を行います。
これらすべてに共通する特性は、スピードと高度化です。滞留時間は短縮され、シグナルはこれまで以上にノイズのように見えます。
イベントのみのSIEMデータ、ポイントインタイムのアラート、手動で調整された異常ベースライン、手書きの相関ルールに基づいて構築されたSOCでは、これに追いつくことはできません。
セマンティックコンテキストがLLMラッパーに勝る理由
今日の市場にあるほとんどのソリューションは、フロンティアモデルのラッパーであり、アラートペイロードを英語の要約に変換するプロンプトを使用しています。これにより、自信に満ちたトリアージノートが生成されますが、それらのツールが想定する範囲を超えたコンテキストを必要とする質問をすると、すぐに破綻してしまいます。
問題はそれよりも根深いものです。事後的にクエリを実行し、相関させ、推論することは、大量のトークンを使用し、一貫性がなく、対応するには遅すぎます。これが、LLMラッパーがトリアージでさえ失敗する理由です。
当社のExabotは、生のイベントログではなく、セマンティックナレッジモデル上で動作します。このモデルは、お客様の環境を関連エンティティのグラフとして表現します。IDと、現在それらに有効な権限。クラウドリソースと、それらに付随する構成。エンドポイントと、それらを所有するユーザー。コードリポジトリと、そこからデプロイするサービスアカウント。ネットワークパスと、それらの間のセグメンテーション。SaaSアプリと、そこから流出するデータ。
当社が取り込むすべてのイベントとアラートは、そのグラフに対して解決されます。このモデルにおけるアラートは、それをトリガーしたID、それが触れたリソース、イベント発生時のそのリソースの構成、そのIDのピア、および同様のアクティビティの履歴パターンに接続されたノードです。Exabotがそのアラートについて推論する際、そのすべてのコンテキストが構造化された入力として読み込まれています。
お客様が実感していること
私たちが最も重視する数字は、お客様が日々実感しているものです。あるお客様では、平均調査時間が94%削減され、3時間から10分に短縮されました。別のお客様では、月間6人分のフルタイム従業員(FTE)のキャパシティが回復しました。レガシーMDRを置き換えるチームでは、オンボーディングから30日以内に初回応答までの時間が短縮されました。
これらの数字の背後にあるパターンは一貫しています。複数のツールやクエリ言語を組み合わせてイベントの全体像を把握していたチームは、今では単一のツールでそれを実現しています。Invisible Technologiesのセキュリティ担当VPであるパトリック・マッキニー氏は、いくつかの選択肢を評価した後、こう明言しました。Exaforceを際立たせたのは、「強化されたイベント取り込みから検知、対応、自動化まで、すべてのデータを単一プラットフォーム内で最大限に活用できる能力」だと彼は述べました。
より厳格なデータ制約を持つ組織にも同様のプレッシャーがかかります。Guardant Healthのようなバイオテクノロジー企業のセキュリティチームにとって、データの機密性とAI駆動型攻撃の速度は、ほとんど余裕を与えません。彼らのCISOであるスティーブ・マンシーニ氏は、アナリストが「異なるインターフェースやクエリ言語をやりくりする代わりに、単一のツールで自然言語検索を使用してセキュリティイベントやセキュリティ態勢に関する実用的な回答を得る」という変化について述べています。人員を増やすことなく、カバレッジが拡大しました。
それこそが、私たちが目指したトレードオフです。コンテキスト切り替えのためのツールを減らす。何が起こったかを再構築する時間を減らす。それに対応する時間を増やす。
資金の使途
私たちはこの資金を3つの分野に投入します。プラットフォーム、地理的範囲、そしてその両方を取り巻くエクスペリエンスです。
当社は、マルチモーダルAIへのさらなる投資と、それを支えるセマンティックナレッジグラフの拡張を進めています。次のフェーズでは、構造化グラフと並行して非構造化データ全体でのより豊富な推論、より深いコードとIDのコンテキスト、そしてより高速なナレッジグラフの更新が実現され、Exabotは10分前のスナップショットではなく、常に環境のライブ状態に対して推論を行うようになります。
さらに、日本とヨーロッパからの需要は、米国単独で対応できる能力を上回っています。両地域で市場開拓を拡大し、地域ごとのMDRカバレッジと現地語サポートを提供します。今後もご期待ください。
最後に、上記の分野を拡大する上で、プラットフォームを取り巻くエクスペリエンスが重要となります。カスタマーサクセス、脅威調査、MDR監視、そしてサポートです。特に共同管理サービスとして運用するお客様にとって、製品の価値は、それを支える運用上の厳格さによって決まります。
今後の展望
セキュリティ分野には、現在のモデルがいかに破綻しているかを知っている人々が大勢います。何年もの間、手作業でアラートをトリアージし、数週間で陳腐化するルールを作成し、作業を減らすどころか増やすツールを管理してきた実務家たち。大規模なリアルタイムシステムを構築し、それらを信頼性の高いものにするために何が必要かを熟知しているエンジニアたち。コンプライアンスのチェックボックスを満たすことではなく、敵対者の手口で考える脅威研究者たち。
私たちが求めているのは、そのような人材です。もしあなたが、真に未解決のセキュリティ問題に取り組むことを待ち望んでいたなら、 採用しています。Exaforceをすでに導入されているチームの皆様、ありがとうございます。まだ評価中のチームの皆様は、 デモをリクエストしてください。
