1年前、当社は7,500万ドルのシリーズA資金調達とともにステルスモードを脱し、ある理念を掲げました。SOCは、アナリストやエンジニアを増やすだけでは拡張できません。SIEMルールを増やすだけでも拡張できません。SOCを拡張するには、実際のコンテキストを持つタスク特化型AIエージェントと人間を組み合わせる必要があります。私たちは、その形を「Agentic SOC」と呼びました。
本日、私たちはそのミッションを加速するため、Mayfield、Khosla Ventures、HarbourVest、Peak XV、Seligman Ventures、AICONIC Venturesを含む素晴らしい投資家の支援のもと、シリーズBで1億2,500万ドルの資金調達を発表します。これにより、当社の累計調達額は2億ドルとなりました。当社はこの1年で企業価値を3倍に高め、従業員数は130名を超え、顧客全体で数百万件規模の調査を処理しています。
しかし、より重要なのは、お客様が日々実感している成果です。調査に要する中央値時間は数時間から数分へと短縮されています。また、お客様が検知エンジニアリングを行わなくても、潜在的な脅威や異常を示す800以上の条件組み合わせにより、検知カバレッジが拡大しています。以前はキューに滞留していたアラートも、今ではアナリストが確認する前に解決されるようになりました。さらに、お客様は当社の自然言語型脅威検索機能「Vibe Hunting」を活用し、これまでであれば複雑なクエリ作成が必要だった問いに対する答えを日常的に得ています。
攻撃者の行動速度と、多くのSOCの対応速度とのギャップは拡大し続けています。この資金調達により、エクサフォースはそのギャップを埋め、防御側に優位性をもたらす準備を整えました。
脅威モデルはすでに変化している
防御側が直面している敵は、18か月前と同じではありません。AIはまず攻撃側の経済性を変えました。
現在のフィッシングキットは、サイト固有の誘導コンテンツを数秒で生成し、標的が普段ベンダーから受け取るマーケティングメールよりも自然で洗練された文章を作り出します。かつて人間のオペレーターが1週間かけて慎重に列挙していた偵察活動は、今ではIaaS API攻撃対象領域に対して半日で実行されるスクリプトになっています。初期アクセスブローカーは、LLMを利用して盗まれた認証情報を大規模にトリアージし、以前は未整理のまま放置されていたダンプデータから、最も価値の高い標的を選別しています。さらに侵入後は、IDプロバイダー、コードリポジトリ、ストレージ全体にわたるクラウドおよびSaaSの設定不備を連鎖的に悪用し、全体のシーケンスを追跡するまでは通常の管理者操作のように見える攻撃を行っています。
これらすべてに共通するのは、スピードと高度化です。滞留時間は短縮し、シグナルはこれまで以上にノイズに埋もれやすくなっています。
イベントベースのSIEMデータ、ポイントインタイムのアラート、手動調整された異常検知ベースライン、そして手作業で記述された相関ルールに依存するSOCでは、この変化に追いつくことはできません。
なぜセマンティックコンテキストがLLMラッパーを上回るのか
現在市場に存在する多くのソリューションは、フロンティアモデルをラップし、アラートペイロードを英語の要約へ変換するプロンプトベースの仕組みに過ぎません。こうしたソリューションは、一見すると自信に満ちたトリアージノートを生成しますが、想定外のコンテキストを必要とする質問を投げかけた瞬間に破綻します。
問題はさらに根深いものです。事後的にクエリ、相関分析、推論を行う方式では、大量のトークンを消費し、一貫性にも欠け、対応するには遅すぎます。これこそが、LLMラッパーがトリアージの段階でさえ十分に機能しない理由です。
当社のエクサボットは、生のイベントログではなく、セマンティックナレッジモデル上で動作します。このモデルでは、お客様の環境を関連エンティティによるグラフとして表現します。IDと現在有効な権限、クラウドリソースとその設定、エンドポイントと所有ユーザー、コードリポジトリとそこからデプロイするサービスアカウント、ネットワーク経路とセグメンテーション、SaaSアプリと流出するデータなどが含まれます。
当社が取り込むすべてのイベントとアラートは、このグラフ上で関連付けられます。このモデルにおけるアラートは、それを発生させたID、アクセス対象のリソース、イベント発生時点のリソース設定、そのIDの関連エンティティ、そして類似アクティビティの過去パターンと接続されたノードとして扱われます。エクサボットがそのアラートを推論する際には、これらすべてのコンテキストが構造化入力として読み込まれています。
お客様が実感している成果
私たちが最も重視しているのは、お客様が日々体感している成果です。あるお客様では、平均調査時間が94%削減され、3時間から10分へ短縮されました。また別のお客様では、月間6人分のFTE相当の対応能力を取り戻しました。さらに、従来型MDRを置き換えたチームでは、オンボーディングから30日以内に初回対応まで到達しています。
これらの成果には一貫した傾向があります。以前は、複数のツールやクエリ言語を組み合わせてイベント全体像を把握していたチームが、現在では単一のプラットフォーム上でそれを実現しています。Invisible Technologiesのセキュリティ担当本部長であるPatrick McKinney氏は、複数の選択肢を評価した後、エクサフォースを差別化している要因について次のように述べています。「強化されたイベント取り込みから検知、対応、自動化に至るまで、単一プラットフォーム上でデータの価値を最大限に引き出せる点です。」
同様のプレッシャーは、より厳格なデータ制約を抱える組織にも及んでいます。Guardant Healthのようなバイオテクノロジー企業では、データの機密性とAI主導型攻撃のスピードにより、対応余地がほとんどありません。同社のCISOであるSteve Mancini氏は、アナリストが「異なるインターフェースやクエリ言語を行き来する代わりに、単一ツール上で自然言語検索を使い、セキュリティイベントやセキュリティ態勢に関する実用的な回答を得られるようになった」と説明しています。人員を増やすことなく、カバレッジは拡大しました。
これこそが、私たちが実現したかったトレードオフです。コンテキスト切り替えのためのツールを減らし、何が起きたのかを再構築する時間を削減し、実際の対応により多くの時間を割けるようにすることです。
資金の使途
当社は、この資金を「プラットフォーム」「地域展開」、そしてそれらを支える「エクスペリエンス」の3分野へ投資します。
当社は、マルチモデルAIへの投資をさらに進めるとともに、それを支えるセマンティックナレッジグラフを拡張しています。次のフェーズでは、構造化グラフに加え、非構造化データに対するより高度な推論、より深いコードおよびIDコンテキスト、さらに高速なナレッジグラフ更新を実現します。これにより、エクサボットは10分前のスナップショットではなく、常に環境のライブ状態に基づいて推論できるようになります。
さらに、日本およびヨーロッパからの需要は、米国のみで対応できる規模をすでに上回っています。当社は両地域におけるGo-to-Market体制を拡大し、地域別MDRカバレッジおよび現地言語サポートを強化しています。今後の展開にもご期待ください。
最後に、これらの分野を拡張するうえで、プラットフォームを取り巻くエクスペリエンスも重要です。カスタマーサクセス、脅威調査、MDR運用監督、サポートなどです。特に共同運用型サービスとして利用するお客様にとって、製品価値は、それを支える運用上の厳格さによって決まります。
今後について
現在のセキュリティモデルが破綻していることを理解している人々は、この業界に数多く存在します。何年にもわたり、手作業でアラートをトリアージし、数週間で陳腐化するルールを書き続け、作業を減らすどころか増やすツールを運用してきた実務担当者たち。大規模リアルタイムシステムを構築し、それを高信頼で動作させるために必要なことを理解しているエンジニアたち。そして、コンプライアンスチェック項目ではなく、攻撃者の戦術・技術・手順に基づいて考える脅威リサーチャーたちです。
私たちは、そうした人材を求めています。本当に未解決のセキュリティ課題に取り組みたい方は、ぜひご応募ください。そして、すでにエクサフォースをご利用いただいているチームの皆様、ありがとうございます。また、導入をご検討中のチームの皆様は、デモをリクエストしてください。
