こんにちは。本記事は、SumoLogic公式ブログを日本語訳したものになります。
原文はこちらをご参照ください。
昨今のセキュリティ向けAI(エージェント型SIEM)の多くはデータ基盤が断片化されており、推論の遅延や不正確さといった構造的な課題を抱えています。
Sumo Logicはデータ取り込み時に正規化と統合を行うアーキテクチャを採用しているため、AIはクリーンなデータと深い履歴情報(コンテキスト)に即座にアクセスできます。
セキュリティAIが自律的かつ正確な意思決定を行うためには、上辺のAI機能よりも「データ層(基盤)」の質と一貫性が勝敗を分ける鍵になります。
以下ブログ翻訳となります。
------------
アーキテクチャの優位性:AI競争の勝敗をデータ層が決定づける理由
(著者: David Girvin / 2026年3月10日)
数十ものスタートアップが、脅威を自律的に検知、調査、対応できる次世代の「エージェント型SIEM」の開発に奔走しています。彼らは十分な資金と優れたマーケティング力を備えていますが、構造的には中身が伴っていません。
通常、その構造は「断片化されたデータレイク」や「顧客主導のデータレイク」の上に薄いオーケストレーションエンジンがあり、さらにその上にLLM(大規模言語モデル)層が乗っているというものです。デモでは見栄えが良いものの、本番環境ではすぐに破綻してしまいます。
なぜでしょうか?それは強固な基盤の上に構築されていないからです。
エージェント型セキュリティは、スマートなプロンプトや高速な推論だけにとどまらず、複雑な質問にも瞬時に、大規模に、そして深い歴史的文脈にわたって回答できるデータ基盤を必要とします。そのためには、スキーママッピングをつなぎ合わせたり、再解析したり、一晩中その状態が維持されることを祈ったりする必要はありません。
この分野で開発を行っているスタートアップの多くは、まさにこの「つなぎ合わせ」を行っています。彼らのアーキテクチャは、異なるストレージシステム間に遅延を生じさせ、クエリ時の再解析を強要し、ソース間で一貫性のないスキーマに苦しみ、AIが活用できるような意味のある深い履歴を持ち合わせていません。結果としてAIは、不完全で一貫性のないフォーマットの浅いデータを基に推論することになります。
その結果、約束された「エージェント型セキュリティ」ではなく、高価な「当てずっぽう」になってしまうのです。
Sumo Logicは15年以上の歳月をかけ、企業のログデータを収集、管理、分析し、何百万行ものログをリアルタイムで運用およびセキュリティのインサイトへと変換する、柔軟性に富んだエクサバイト規模のプラットフォームを構築してきました。これにより数百万行に及ぶログデータをリアルタイムで運用面およびセキュリティ面の洞察へと変換します。
当社は、解析済みのフィールドを持つ構造化ログと非構造化ログを単一のプラットフォームに統合し、共同でのトラブルシューティングと意思決定のための統一されたビューを提供します。正規化、保存、およびクロスドメインの相関付けはクエリ時ではなく「データ取り込み時」に処理されるため、AIが必要とする時点でデータはすでにクリーンでクエリ可能な状態になっています。
SumoLogicはSIEM、SOAR、UEBA、およびログ分析を1つの統合SaaSプラットフォームに集約することで、AIは、すでにインデックス化された長年の履歴コンテキストによって強化された「信頼できる唯一の情報源(Single Source of Truth)」上で動作できます。
この詳細なコンテキストは、エージェント型ワークロードにとって不可欠です。AIエージェントが異常を調査する際、時間をさかのぼり、現在の動作を数週間または数ヶ月前に構築されたベースラインと比較する必要があります。断片化されたアーキテクチャでは、この遡及にはデータレイク間の通信遅延、プロトコル変換、およびその場でのスキーマ照合が伴います。しかしSumo Logicでは、これは単純なクエリで済みます。
「つなぎ合わせ」アプローチが実務において何を意味するのかを具体的にしておく価値があります。
データレイク間の遅延は、AIが推論する前にデータを「待たなければならない」ことを意味します。セキュリティにおいて、遅延はリスクへの直接的な暴露を意味します。
クエリ時の再解析は、すべての調査がデータ変換作業であることを意味します。これは処理は遅く、エラーは発生しやすく、脆弱です。上流でスキーマの変更があれば、下流のすべてが機能しなくなります。
一貫性のない正規化は、AIがリンゴとオレンジを同時に比較して推論しており、相関ロジックが破綻しないことを「祈っている」状態を意味します(ネタバレ:多くの場合、破綻します)。
過去の事例に関する知識が乏しいことは、AIが基準となる実際のベースラインを持たないことを意味します。今日「何かが異常に見える」ことは分かっても、6か月前にも異常だったかどうかを判断することはできません。
Sumo Logicのお客様は、このような問題に直面することはありません。SumoLogicの柔軟なデータ取り込みモデルとクラウドネイティブアーキテクチャにより、多くのソースでサイドカーやエージェントが不要になり、一般的に使用されるクラウドサービス向けのログ解析機能が標準搭載されているため、フィールド抽出ルールによって半構造化ログを構造化し、システム間の相関関係を初日から提供できます。
SumoLogicのプラットフォームの過小評価されている側面の1つは、大規模環境で信頼性の高いAIを提供するマルチテナント・マイクロサービス・アーキテクチャです。
このアーキテクチャにより、プラットフォームはワークロードを分離し、データの取り込みとは独立してAI推論をスケーリングし、モノリシックまたは寄せ集めのアーキテクチャを悩ませるような脆弱な結合を起こすことなく、テナント間でパフォーマンスの一貫性を維持できます。AIがリソースをめぐってデータパイプラインと競合することはありません。AIの負荷が急増してもパイプラインは停止しません。
汎用的なデータレイクの上にシステムを構築しているベンダーにはこれがありません。データの取り込みはあるシステムに、ストレージは別のシステムにあり、そこにLLMが後付けされています。システムのすべての継ぎ目が潜在的な障害ポイントとなり、セキュリティチームに高い信頼性が求められる場面でアーキテクチャ上のリスクをもたらします。
SOCのAIエージェントがより自律的になるにつれて、アラートのトリアージ、調査の開始、対応の推奨や実行を担うようになります。そのため、彼らの意思決定の質は、基盤として稼働しているデータ層の質に直接依存することになります。
長年にわたり正規化され、詳細にインデックス化された、ドメイン横断的なテレメトリデータに基づいて動作するエージェントは、確固たるベースラインを確立し、状況に応じて行動できます。一方、断片化され、一貫性のない解析が行われた浅いデータに基づいて動作するエージェントは、近似的な対応を強いられます。
セキュリティ責任者にとって、これは評価の基準を変えるものになります。かつてはベンダーがエージェント型AIを利用しているかどうかが問題だったかもしれませんが、今日では、運用リスクを招くことなく、アーキテクチャが自律的な意思決定をサポートできるかどうかが問われるべきです。
エージェントの高度さを評価する前に、まずテレメトリの整合性を評価する。
自動応答を信頼する前に、その応答が依拠するデータの深度と正規化を検証してください。
意思決定を委任する前に、その意思決定がどこでどのように行われるのかを理解しておく必要があります。