Mandiant創業者が再始動——Armadin、AIセキュリティエージェントで$190M調達

サイバーセキュリティ業界の伝説的人物が、再び動き出しました。Mandiant創業者であり元FireEye CEOのKevin Mandiaが、新スタートアップArmadinを設立し、シリーズAで**$190M（約285億円）という巨額の資金調達を完了しました。Armadinが手がけるのは、脅威の検知から対応までを自律的に実行するAIセキュリティエージェント**。サイバー攻撃の高度化とSOC（セキュリティオペレーションセンター）の深刻な人材不足という2つの課題に、AIネイティブなアプローチで挑みます。

セキュリティ業界で20年以上の実績を持つMandiaが、なぜ今AIエージェントに賭けるのか。その技術的な仕組みと市場へのインパクトを詳しく解説します。

Kevin Mandiaとは何者か

Kevin Mandiaは、サイバーセキュリティの世界において最も影響力のある人物の一人です。その経歴を振り返ると、なぜ彼の新たな挑戦がこれほど注目を集めるのかが理解できます。

Mandiant時代（2004〜2013年）

2004年、Mandiaはインシデントレスポンス（IR）専門企業Mandiantを設立しました。当時、サイバー攻撃への対応はアンチウイルスソフトによる防御が中心で、侵入後の調査・対応を専門とする企業はほぼ存在しませんでした。Mandiantは「侵入は防げない。重要なのは侵入後にいかに早く検知し、被害を最小化するか」というフィロソフィーを掲げ、フォレンジック調査とインシデントレスポンスの市場を事実上ゼロから立ち上げました。

2013年、Mandiantは中国人民解放軍のサイバースパイ部隊「APT1」の活動を詳細に暴露する報告書を公開。国家レベルのサイバー攻撃を民間企業が実名で告発するという前例のない行動は、世界中のセキュリティ業界に衝撃を与えました。

FireEye時代（2014〜2021年）

2014年、ネットワークセキュリティ企業FireEyeがMandiantを約$1B（約1,000億円）で買収。MandiaはFireEyeのCEOに就任し、検知技術とインシデントレスポンスの融合を推進しました。2020年のSolarWinds攻撃（ロシアの国家支援型攻撃グループによるサプライチェーン攻撃）の発見と公開でも中心的な役割を果たしています。

Google Cloud時代（2022〜2024年）

2022年、GoogleがMandiantを**$5.4B（約8,100億円）**で買収。MandiaはGoogle Cloudのセキュリティ部門を統括し、Mandiantの脅威インテリジェンスをGoogle Cloudのセキュリティ製品に統合する作業を主導しました。2024年末にGoogleを退社し、次の挑戦に向けた準備を始めます。

Armadinのビジョン——AIネイティブなセキュリティ

Mandiaが構想するArmadinは、従来のセキュリティ製品とは根本的に異なるアプローチを取ります。

従来のSOCが抱える課題

現在のSOCでは、SIEM（Security Information and Event Management）がログを集約し、SOAR（Security Orchestration, Automation and Response）が定型的な対応を自動化しています。しかし、実態としてはアナリストが大量のアラートを手動でトリアージし、誤検知を除外し、真の脅威に対して手順書に沿って対応するという作業が中心です。

業界統計によると、SOCアナリストが1つのインシデントに対応するのに平均4.5時間かかり、その約70%はアラートの確認・分類といったルーティン作業に費やされています。さらに、サイバーセキュリティ人材は世界で350万人以上が不足しているとされ、SOCの運営そのものが限界に達しつつあります。

AIセキュリティエージェントの仕組み

Armadinが構築するAIセキュリティエージェントは、LLM（大規模言語モデル）をコアとした自律型システムです。従来のSOARが「IF-THENルール」で動くのに対し、AIエージェントはコンテキストを理解し、状況に応じた判断を自律的に行います。

その動作フローは以下の通りです。

データ収集: EDR、ネットワークトラフィック、クラウドログ、メールゲートウェイなど多様なソースからテレメトリを収集
コンテキスト分析: LLMがアラートの背景（攻撃者の意図、影響範囲、過去の類似事例）を分析
判断: 脅威の深刻度を評価し、対応アクションを計画。MITRE ATT&CKフレームワークに基づいて攻撃の段階を特定
自律アクション: 端末の隔離、不正プロセスの停止、ファイアウォールルールの追加、フォレンジックデータの取得などを自動実行
人間承認ゲート（HITL）: 高リスクなアクション（ネットワーク全体の遮断、本番サーバーの停止など）は人間の承認を待つ

以下の図は、ArmadinのAIセキュリティエージェントがデータ収集から対応までを自律的に実行するアーキテクチャを示しています。

Armadin AIセキュリティエージェントのアーキテクチャ図 - データソースからLLM推論、自律アクション、SOCダッシュボードまでの一連のフローを示す

この図が示す通り、従来は人間のアナリストが4.5時間かけていたインシデント対応を、AIエージェントが数分から数十分で完了させることを目指しています。ただし、重要な判断ポイントには「人間承認ゲート（HITL: Human-In-The-Loop）」を設けており、AIが暴走するリスクを抑制しています。

差別化ポイント

Armadinの最大の強みは、Mandiaが20年以上蓄積してきた実際のインシデント対応の知見です。LLMの能力だけでは、セキュリティの現場で使えるエージェントは作れません。「APT攻撃ではこのタイミングで横展開が始まる」「ランサムウェアの場合はまずバックアップの整合性を確認すべき」といった、実戦で磨かれた対応ノウハウをAIに組み込むことが、Armadinの競争優位性の核心です。

競合との比較

AIセキュリティ分野では、すでに大手セキュリティベンダーがAI機能を投入しています。Armadinの位置づけを競合と比較してみましょう。

項目	Armadin	CrowdStrike Charlotte AI	SentinelOne Purple AI	Palo Alto XSIAM
アプローチ	AIネイティブ（ゼロから構築）	既存EDRにAIレイヤー追加	既存XDRにLLM統合	SIEM/SOARにAI統合
自律性	高（自律アクション＋HITL）	中（アシスタント型）	中（アシスタント型）	中〜高（自動化ルール）
LLM活用	コア技術として全面採用	自然言語クエリ・要約	脅威ハンティング支援	アラート相関分析
脅威インテリジェンス	Mandia人脈＋独自構築	CrowdStrike独自DB	SentinelOne独自DB	Unit 42連携
対象	SOC全体の自律化	EDR運用の効率化	XDR運用の効率化	SIEM/SOAR統合
成熟度	スタートアップ（新規）	製品リリース済み	製品リリース済み	製品リリース済み
資金力	$190M調達	上場企業（時価総額$80B超）	上場企業（時価総額$20B超）	上場企業（時価総額$120B超）

注目すべきは、既存ベンダーのAI機能が「既存製品への追加レイヤー」であるのに対し、Armadinは最初からAIエージェントとして設計されている点です。レガシーなアーキテクチャの制約を受けないため、より柔軟で高度な自律性を実現できる可能性があります。

一方で、CrowdStrikeやPalo Altoは膨大な顧客ベースから得られるテレメトリデータを持っており、AIモデルの学習データ量ではArmadinが不利です。Mandiaのインシデント対応ノウハウがこのデータ量の差を埋められるかが、今後の勝負の分かれ目となるでしょう。

AIセキュリティ市場の成長

Armadinが参入するAIセキュリティ市場は、急速に拡大しています。

以下の図は、AIセキュリティ市場の規模推移と今後の予測を示しています。

AIセキュリティ市場規模の推移と予測（2023〜2030年）- 2026年の$310Bから2030年には$680Bへ成長、CAGR約21%

サイバーセキュリティ市場全体にAIが浸透する流れは不可逆的です。MarketsandMarketsやGartnerの予測では、2030年までにサイバーセキュリティ支出の大部分にAI技術が組み込まれると見られており、CAGR（年平均成長率）は約21%に達する見通しです。

この成長を牽引する要因は3つあります。

攻撃側のAI活用: 攻撃者もAIを使ってフィッシングメールの精度向上、脆弱性の自動探索、マルウェアの多態化を実現。防御側もAIで対抗する必要がある
人材不足の深刻化: セキュリティ人材の不足は年々拡大しており、自動化なしではSOCの運営が成り立たない
規制の強化: SEC（米国証券取引委員会）のサイバーインシデント開示規則など、迅速な検知・対応を求める規制が世界的に強化されている

$190M調達の意味

スタートアップのシリーズAで$190Mという調達額は、セキュリティ分野としては異例の規模です。近年のセキュリティスタートアップの調達を比較すると、その突出ぶりがわかります。

Wiz（2021年シリーズA）: $100M
Abnormal Security（2024年シリーズD）: $250M
Armadin（2026年シリーズA）: $190M

シリーズAの段階でWizのシリーズA を大きく上回っているのは、投資家がMandiaの実績とAIセキュリティエージェントの市場機会に対して極めて強い確信を持っていることを示しています。ちなみにWizは後にGoogleに**$32B**で買収されており、投資家はArmadinにも同様の成長軌道を期待していると考えられます。

資金の使途としては、以下が公表されています。

AIモデルの開発: セキュリティ特化のLLMファインチューニングと強化学習
人材採用: セキュリティエンジニア、MLエンジニア、脅威リサーチャーの大規模採用
データ基盤構築: 脅威インテリジェンスDBと学習データパイプラインの構築
初期顧客獲得: フォーチュン500企業へのパイロット導入

日本への影響——SOC人材不足の深刻度

日本にとって、Armadinの登場は他人事ではありません。日本のサイバーセキュリティ人材不足は、グローバルと比較しても深刻な状況にあります。

日本のSOC人材事情

総務省の調査によると、日本のサイバーセキュリティ人材は約11万人が不足しているとされています。特に問題なのは、SOCアナリストの質的な不足です。ログ分析やインシデントハンドリングの経験を持つ人材は非常に少なく、多くの企業がMSSP（マネージドセキュリティサービスプロバイダー）に依存しています。

しかし、MSSPも人材不足に直面しており、対応品質の低下やアラートの見逃しが懸念されています。AIセキュリティエージェントは、この構造的な問題を解決する可能性を秘めています。

日本市場への展開シナリオ

Armadinが日本市場に進出する場合、以下のシナリオが考えられます。

MSSPとの提携: 日本のMSSP大手（NRIセキュア、ラック、セキュアブレイン等）と提携し、AIエージェントをMSSPのサービス基盤に組み込む
大手SIerとの協業: NTTデータ、富士通、NEC等のSIerを通じて、エンタープライズ顧客に展開
直接販売: 日本法人を設立し、金融・製造業の大手企業に直接アプローチ

いずれのシナリオでも、日本語対応（日本語ログの解析、日本語でのレポート生成）が重要な差別化要因となるでしょう。日本のセキュリティ市場は言語の壁が参入障壁となりやすく、早期に日本語対応を進めたベンダーが優位に立つ傾向があります。

日本企業が今すべきこと

Armadinの製品がすぐに利用できるわけではありませんが、AIセキュリティエージェントの時代に備えた準備は今から始めるべきです。

SOCの現状評価: 現在のアラート対応時間、誤検知率、アナリストの稼働率を定量化する
データ基盤の整備: AIエージェントが活用できるよう、ログの集約・正規化・保持期間を見直す
既存ツールのAI機能検証: CrowdStrike Charlotte AIやSentinelOne Purple AIなど、現在利用可能なAI機能をPoCで試す

まとめ——セキュリティの新時代

Kevin MandiaによるArmadinの設立は、サイバーセキュリティが「人間中心」から「AIエージェント中心」へとパラダイムシフトする象徴的な出来事です。$190Mという巨額調達は、投資家がこの変化に確信を持っていることの表れでしょう。

今後のアクションステップとして、以下を推奨します。

情報収集: Armadinの公式サイトやブログをフォローし、製品ロードマップを把握する。競合のAI機能アップデートも併せてウォッチする
現状の棚卸し: 自社のSOC運用をMTTD（平均検知時間）・MTTR（平均対応時間）で定量評価し、AIエージェント導入時のROIを試算する
PoC実施: CrowdStrike Charlotte AI、SentinelOne Purple AIなど、すでに利用可能なAIセキュリティ機能でPoCを実施し、自社環境での有効性を検証する
人材育成の方向転換: SOCアナリストの育成方針を「手動分析のスキル」から「AIエージェントの監督・チューニングスキル」にシフトさせる

Mandiantで国家レベルのサイバー攻撃と対峙してきたMandiaが、20年の経験をAIに注ぎ込む——これは単なるスタートアップの設立ではなく、セキュリティ業界全体の進化を加速させる一手です。