検索
特集/連載

月150TBの壁――SAPが既存SIEMを諦め、AIエージェントに賭けた理由ログ分析やXDRが抱える“限界”

月間150TBを超えるデータ分析に苦しむSAPは、データの半分を解析できず、セキュリティの「死角」を生んでいた。既存の監視ツールでは防げない複雑な脅威に対し、同社が選んだ解決策とは。

Share
Tweet
LINE
Hatena

関連キーワード

SAP | 人工知能 | SIEM(セキュリティ情報イベント管理) | クラウドサービス | セキュリティ対策


 企業システムのクラウド移行が進む中、IT部門は「ログデータの爆発」という問題に頭を悩ませている。取得するデータ量の増加は、そのままSIEM(セキュリティ情報イベント管理)やログ分析ツールの利用料金、あるいは通信費の高騰に直面するからだ。予算を抑えるために「一部のログは解析を諦める」ことを選択すれば、結果として自社のネットワークに致命的な「死角」を生み出す恐れがある。

 ドイツの大手ソフトウェアベンダーであるSAPも、まさにこの問題に直面していた。同社は、三大クラウドサービスである「Amazon Web Services」(AWS)、「Google Cloud」「Microsoft Azure」の最大級のユーザー企業であり、膨大な顧客データを預かる巨大なプライベートクラウドを運用している。このような事業規模の裏側で、激化する脅威や、絶えず変化する安全基準、データ主権に関する法的要件に適合しつつ、顧客の機密データを保護しなければならないのだ。

 SAPのエンタープライズクラウドサービス部門のCISO(最高情報セキュリティ責任者)を務めるローランド・コステア氏は、ルーマニアの元ナショナルチェスチャンピオンという経歴を持つ。コステア氏によれば、同社が扱うデータ量は月間150TBを日常的に超えていた。これをログ分析ツール「Splunk」で解析するには、時間だけではなくネットワーク容量や費用の面でも限界を迎えていた。重要なセキュリティシグナルを見つけ出すことは不可能であり、重大な脅威の予兆を見逃す危険性が常態化していたのだ。

既存ツールでは太刀打ちできないクラウドセキュリティの現実

 事態を重く見たコステア氏は、クラウド環境ならではの複雑な脅威シナリオに対応するため、単にアラートを上げるだけの従来型ツールからの脱却を決意した。SAPが運用する複雑なシステムでは、攻撃が成立するために複数の前提条件があるケースもある。前提条件は12項目に及ぶこともあり、「リアルタイムで状況を把握したかった」と同氏は述べる。

 コステア氏の狙いは、自社システムで稼働する各アプリケーションの最新状態に基づいて、攻撃が成立するリスクがあるかどうかを即座に判断できるようにすることだ。これはXDR(Extended Detection and Response)ツールなど既存の脆弱性管理ツールでは実現が難しいと同氏は考えていた。

 セキュリティデータ分析に新たなアプローチが求められる中、SAPは作業負担を軽減するため、AI(人工知能)技術を活用したクラウドセキュリティベンダーUptycsと提携し、同社のAI分析ツール「Juno AI」(以下、Juno)を導入した。

 「当社はクラウドインフラのセキュリティを専門とし、SAPが巨大なクラウドインフラにシステムを構築する際の連携技術を提供している」と、Uptycsの創業者兼CEOであるガネーシュ・パイ氏は語る。

 Uptycsが提供するのは、一連のセキュリティ制御を可能にする「CNAPP」(クラウドネイティブアプリケーション保護プラットフォーム)だ。これによって企業はガバナンスの維持や脅威検出、インシデント対処といった事前/事後の対策を実行できるようになる。

Junoの役割

 Junoは、AIエージェントと人間のアナリストが1つのチームとして共同作業することを可能にする。AIエージェントが単調な作業を処理する一方で、人間は高度な脅威ハンティングや、より深い攻撃経路の分析に集中できるようになる。

 パイ氏によれば、Junoはもともとクラウドサービスとオンプレミスシステム向けの脅威ハンティングツールとして開発された。しかし、SAPなどの企業と協力する中で、2026年4月時点では標準的な脅威検出の枠を超え、戦略的なAIコンサルタントとしてより大きな価値を提供している。

 「数多くのAIツールが出回る中、われわれはユーザー企業のデータレイクとJunoを連携させ、ユーザー企業が信頼できる情報を提供している」とパイ氏は述べる。

 セキュリティ制御に関するエンドユーザーからの質問に対して、AIツールが明確な根拠を示して回答する。エンドユーザーにとって、この「確証を得られること」が重要なポイントだ。

 脅威ハンティング用のAIツールの中には、火災報知器のように「火事だ」と叫ぶだけで理由を説明しないものがある。パイ氏によれば、Junoはそれらとは異なり、出力結果を人間が検証できる。AIツール自身が情報源を提示し、判断の証跡を示すからだ。「この仕組みこそがJunoの真価だ。人間が数週間かける手順を自律的に実行し、瞬時に処理する能力を追求した」と同氏は語る。

 Uptycsが「サイバーの『Wikipedia』」というキャッチコピーを付けたJunoは、戦略コンサルタントが作成するような高品質のリスクレポートを、わずか数分で作成可能だという。

 「セキュリティ担当者は中身のないセキュリティ情報や、推測に基づくAIツールにうんざりしている。AIエージェントと人間のアナリストが共同で調査できるJunoの仕組みによって、セキュリティ対策は事後対処型の受け身的行為から戦略的な変革に移行できる」(パイ氏)

Junoの運用

 SAPにおけるJunoの運用については、データ分析システム「Databricks」と大規模なデータレイクを組み合わせた構成が、運用の中核を担っている。コステア氏によれば、これは「プライベートクラウド内の社内システム」のような役割を果たしており、リアルタイムの検索と洞察を実現している。費用を抑えつつ、従来は難しかった詳細な分析が可能になっているという。

 コステア氏が常に警戒しているのは、「目立たず緩慢な動き」から不審な試みへと発展する兆候だ。例えば、正規IDを持つエンドユーザーがAWSインスタンスにアクセスし、通常の開発における権限を利用したとする。その後、特定のインスタンスにアクセスして権限を強化したり、データを別のアカウントに持ち出したりする。一見すると、管理者による通常の作業と区別がつかない。システム管理者にとって、日常的な操作だ。コンテキストや行動などを詳細に監視してログデータと関連付けなければ、不審な動きだと判断するのは難しい。

 「Junoで膨大なデータを検索し、IDの出どころや実行コマンドなどの証拠を抽出できる。あらゆる痕跡をたどることで、通常の活動ではない奇妙な振る舞いを判断できるようになる」。コステア氏はそう説明する。

 SAPにとって最も重要なのはこうした細かい部分だという。なぜなら、最終的にそれによって、防御チームが矛盾や異常を見つけ出し、事態が深刻化して大きな騒ぎになる前(最悪の場合はランサムウェア被害に発展する前)に対処できるようになるからだ。

新しいツールがもたらす変化

 Junoがもたらした価値は、現場の反応に如実に現れている。コステア氏はチームの様子を、「親に新しいおもちゃを自慢する子ども」のようだと表現する。「彼らは新しいおもちゃ(ツール)を手に入れたことに大興奮しており、その能力を最大限に引き出そうと試行錯誤している」と同氏は語る。

 SAPのセキュリティ担当者は、これまで見えなかった脅威や、存在しないと思われていた脅威を発見し始めている。

 Junoが可視化する情報の大半は、発見時点では悪意のあるものだとは限らない。むしろ、本来すべきではない操作や、制限されるべき権限が放置されているといった「隙」を示している。こうした情報はセキュリティチームにとって非常に価値がある。もし管理者が危険な操作を実行できる状態にあれば、社内ネットワークに侵入した攻撃者にも同じことができてしまうからだ。SAPはこの知見を得ることで、以前は盲点だった攻撃シナリオの検証が可能になった。

 「クラウドサービスが中心となって動いている今日のビジネスには、脅威を検出するだけではなく、戦略的な意思決定を助けるツールが求められている」とコステア氏は語る。

 UptycsとSAPの提携は、根拠に基づく検証可能な対策を追求する決意の表れであり、リスクの先手を取るための変革を推し進めるものだ。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る