CISOがSplunkに今後期待すること

今月、Splunkは年次カスタマーカンファレンス「.Conf」をボストンで開催し、親会社のCiscoも参加しました。例年通り、.Confは盛大なイベントで、ブルーチーム競技、フェズ帽をかぶったSplunkファン、「バターカップ」という名のポニー、そしてバンドWeezerのパフォーマンスなどが行われました。しかし、楽しいイベントの合間には、Splunkの課題解決、CiscoとSplunkのシナジー活用、ユーザー要件への対応、市場動向への対処を目的とした多くのテーマや発表がありました。

ここでは、.Confの主なポイントと、今後Splunkが注力すべき分野について分析します。

マシンデータがAIによるインシデント対応を強化する

当然ながら、マシンデータはイベントの主要テーマでした。トレース、イベント、テレメトリー、ログなど、CiscoとSplunkのスピーカーは、マシンデータだけで世界のデータ成長の55%を占めると主張しました。そして、LLM（大規模言語モデル）は普及していますが、人間が生成したデータで訓練されており、マシンデータは取り残されています。

CiscoとSplunkは、マシンデータで訓練されたLLMはパターン認識、適切な是正措置の優先順位付け、将来のトレンド予測においてはるかに優れていると考えています。サイバーセキュリティの観点からは、例えばキルチェーン全体のイベントの時系列分析がより良くなる可能性があります。ネットワーク全体で即時にインシデント対応アクション（システムのパッチ適用、ネットワークのセグメント化、ファイアウォールや検知ルールの追加など）を、単一エンドポイントへの小さなソフトウェアダウンロードだけで自動的に実行できると想像してみてください。これがビジョンであり、両社はマシンデータを支援するいくつかの発表を行いました。その中にはCiscoデータファブリックおよびデータレイクも含まれており、すべてSplunk基盤の上に構築されています。

レジリエンシーはセキュリティと可観測性の交差点にある

レジリエンシー（可用性を維持し、あらゆるITやセキュリティイベントから迅速に回復する能力）についても明確なメッセージがありました。

Cisco/Splunkの視点では、これはセキュリティと可観測性のより密接な関係を意味します。

数年前、米国の大手銀行のチーフリスクオフィサーと話したことを思い出します。彼のレジリエンシーに関する発言を要約すると、「ITシステムがダウンした場合、それが自然災害、ルーターの設定ミス、セキュリティ侵害のいずれであっても関係ない。私の仕事はリスクを特定し、どれもビジネスを妨げないようにすることだ」というものでした。

今日の企業において、可観測性とセキュリティ統合の障壁は人工的なものです。例えば予算、組織構造、スタッフの目標や報酬などです。しかし、可観測性とセキュリティを統合すれば、ITのレジリエンシーは大幅に向上し、私のCROの友人も納得することでしょう。

Splunkは他社との連携をさらに強化

ベンダーが自社イベントで主役になるのは当然ですが、.Confでは新鮮なサブテーマがありました。それは、CiscoとSplunkが統合しても、そのリソースや世界中の顧客基盤をもってしても、全てを自社だけで賄うことはできないということです。

このサブテーマは、さまざまな発表や取り組みからも明らかでした。

例えば、以前のSplunkは「すべてのログデータを（もちろんSplunk内に）集中管理すべき」と推奨していました。しかしこの戦略は、高いストレージコスト、パフォーマンス問題、Splunkインフラの継続的な設計・調整の必要性を招きました。その結果、一部の顧客は他の選択肢を求めて離れていきました。

しかしここ数年、Splunkはフェデレーションモデルを採用し、セキュリティチームがデータを他のリポジトリに保存しつつ、フェデレーテッド検索ができるようになりました。例えば、NetFlowデータや純粋なコンプライアンスデータ、DHCPログなどをS3バケットに移すことで、より安価なストレージを利用しつつ、調査や監査の際にはアクセス可能です。SplunkはこのモデルをSnowflake対応で拡張しました。

これらの他のパートナーシップに加え、Splunkは多くの競合他社よりも標準ベースのアプローチを進めています。これは基調講演で強調されるべき点でした。可観測性の分野では、Splunkは長年Open Telemetry（Otel）標準のAPIやSDKなどをサポートしています。サイバーセキュリティ分野では、SplunkはOpen Cybersecurity Framework（OCSF）の策定に貢献しました。これはオープンソースかつベンダー非依存の標準で、サイバーセキュリティデータの共通言語を提供し、異なるセキュリティツール間でのイベント共有・管理・分析を効率化します。

Splunkに限らず、これらの標準の採用は、サイバーセキュリティデータの統合、処理、分析を全体的に向上させる可能性があります。

セキュリティ運用への注力

Splunkはまた、セキュリティ運用の負担軽減に注力する方針を示しました。Splunk Enterprise Securityのプレミアバージョンを発表し、SIEM、SOAR、UEBA、脅威インテリジェンス管理、AIアシスタント、アナリストワークベンチを統合したプラットフォームを提供します。また、検知エンジニアリング管理を支援するDetection Studioも発表しました。これは、コードとしての検知、ルール作成、変更管理、ワークフローなどを支援します。さらに、脅威検知、ワークフロー自動化、インシデント対応に関するエージェンティックAI機能や取り組みも、現在利用可能または近日提供予定です。

課題と今後の展望

ユーザーカンファレンスの目的は、顧客にベンダーとの関係に満足してもらうことです。.Conf 2025はその目的を達成しましたが、Splunkには今後も課題が残っています。

一部のSplunk顧客は、ここ数年の高コスト、積極的な営業手法、冷淡なカスタマーサポートに不満を持ち続けています。これらは一部の顧客かもしれませんが、多くがCrowdStrike、Google、Microsoft、Palo Alto Networksに引き寄せられています。Splunkは顧客コミュニケーション、関係管理、技術サポートを早急に強化する必要があります。

また、Splunkは「レガシーベンダー」というイメージにも苦しんでいます。成功の基盤がクラウド時代ではなくオンプレミス時代に築かれたためです。このイメージを払拭するには、今後5年間のセキュリティ運用のビジョンを積極的に打ち出すべきです。.Confではレジリエンシー、フェデレーション、オープンスタンダードといったテーマが示唆されましたが、今後は詳細なビジョンを幅広い市場に向けて発信する必要があります。単なる支持者や既存顧客だけでなく、広く市場全体に向けてです。

AIメッセージや技術的な実装だけでなく、Splunkはセキュリティ運用においてAIが最も効果を発揮するユースケースと、それを裏付ける指標を前面に出すべきです。単にプロセスを加速したり人間の効率を高めたりするだけでなく、組織がセキュリティ効果やリスク軽減で測定可能な改善を達成できる分野を明確に示す必要があります。詳細で具体的なガイダンスが多いほど良いでしょう。

また、世界中に多くの顧客を持つSplunkは、コレクティブディフェンス（集団防衛）のリーダーになるべきだと私は考えます。このモデルでは、ある顧客での観察（例：特定タイプの公開資産、業界特有の脅威、有効なランブック、レッドチーム演習など）が、他のすべての顧客にも役立つ可能性があります。SplunkはAI駆動のISACやセキュリティ運用のガイド役として、全顧客を支援できるでしょう。

最後に、Splunkはリスク、脆弱性、エクスポージャー管理のセキュリティ製品への統合にも取り組んできました。他ベンダーがリスクオペレーションセンターの新設を提案する中、Splunkは脆弱性・エクスポージャー管理をSOCに完全統合すべきです。これによりSplunkは、予防・検知・対応というセキュリティの全体像を提供し、その地位を確固たるものにできるでしょう。

私は多くのSplunk顧客と仕事をしてきましたが、適切なコミットメントとリソースがあれば、Splunkはセキュリティ運用の強力かつ堅牢な基盤を提供できると実感しています。今後はSplunk（およびCisco）が、これが現在も、そして将来も真実であることを市場全体に納得させる必要があります。