DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
データ&AIプラットフォームのDatabricksが、セキュリティ市場への本格参入を宣言した。新製品「Lakewatch」は、AIエージェントが自律的にセキュリティインシデントを検知・調査・対応するオープンなSIEM(Security Information and Event Management)プラットフォームだ。従来のSIEMと比較して最大80%のコスト削減を実現するとDatabricksは主張している。
同社はLakewatchの開発を加速するため、データセキュリティ企業AntimatterとAI脅威検知スタートアップSiftD.aiの2社を買収したことも同時に発表。さらに、AIエージェントの頭脳としてAnthropic Claudeを統合していることが明らかになった。Adobe、Dropbox、Pfizerなどが早期導入顧客として名を連ねている。
なぜDatabricksがセキュリティ市場に参入するのか
Databricksのセキュリティ市場参入は、同社のデータレイクハウス戦略の自然な延長線上にある。その背景にあるのは、現在のSIEM市場が抱える3つの構造的問題だ。
問題1: データ量の爆発的増加
企業が生成するセキュリティログの量は、過去5年間で約10倍に増加している。クラウドサービスの普及、リモートワーク、IoTデバイスの増加により、1社あたりの平均ログデータ量は1日あたり数テラバイトに達する。従来のSIEMはこのデータ量に対応しきれず、企業は分析対象を制限せざるを得ない状況にある。
問題2: コストの高騰
主要SIEMベンダーの料金体系は、取り込むデータ量に比例する従量課金が主流だ。Splunkの場合、1日あたり500GBのログを取り込むと年間コストは**$50万〜100万ドル(約7,500万〜1.5億円)**に達する。企業のセキュリティチームは予算制約から、重要なログの一部しかSIEMに投入できないという本末転倒な状況に陥っている。
問題3: アナリスト不足
世界的なサイバーセキュリティ人材不足は深刻で、ISC2の調査によると2025年時点で約400万人の人材が不足している。SOC(Security Operations Center)のアナリストは大量のアラートに埋もれ、1件のインシデント調査に平均4.5時間を要している。重要なアラートの約40%が人手不足のため未対応のまま放置されているとの報告もある。
Databricksは、この3つの問題すべてに対して、自社のデータレイクハウス技術とAIエージェントで解決策を提示するという戦略だ。
この図は、LakewatchのAIエージェントアーキテクチャと、従来型SIEMとの処理フローの違いを示しています。
Lakewatchの技術的特徴
AIエージェントによる自律的セキュリティ運用
Lakewatchの最大の特徴は、セキュリティインシデントの検知から対応までをAIエージェントが自律的に実行する点だ。Databricksはこれを「Agentic SIEM」と呼んでいる。
従来のSIEMでは、以下のワークフローがすべて人手で行われていた。
- 検知: ルールベースまたは機械学習でアラートを生成
- トリアージ: アナリストがアラートの優先度を判断
- 調査: 関連ログを手動で収集・分析
- 対応: プレイブックに基づいて手動で対処
- 報告: インシデントレポートを作成
Lakewatchでは、ステップ2〜5をAIエージェントが自律的に実行する。アナリストは結果を確認し、承認するだけでよい。
Anthropic Claude統合
Lakewatchのエージェントエンジンには、Anthropic Claudeが統合されている。Databricksは2025年にAnthropicとの戦略的パートナーシップを発表しており、Lakewatch専用にファインチューニングされたClaudeモデルが使用されている。
Claudeが担う役割は以下の通りだ。
- 自然言語でのクエリ: 「過去24時間で不審なログインを試みたIPアドレスを表示して」といった質問に即座に回答
- インシデント調査の自動化: 検知されたアラートの関連ログを自動収集し、攻撃チェーンを推定
- レポート生成: 経営層向けのインシデントサマリーを自動作成
- 推奨アクションの提示: 「このIPアドレスをファイアウォールでブロックすることを推奨します」といった具体的な対応策を提案
オープンアーキテクチャ
Lakewatchは、Databricksのオープンソースプロジェクト「Delta Lake」をベースに構築されている。これにより、以下のメリットが生まれる。
- ベンダーロックイン回避: データはApache Parquet/Delta Lake形式で保存され、他のツールからもアクセス可能
- 既存データレイクとの統合: AWS S3やAzure Blob StorageにあるセキュリティログをそのままLakewatchで分析可能
- カスタム検知ルール: PythonまたはSQLで独自の検知ロジックを記述可能
80%コスト削減の根拠
Databricksが主張する80%のコスト削減は、主に以下の3つの要因による。
- ストレージコスト: セキュリティログをDatabricksのデータレイクハウスに格納することで、Splunkのインデキシングコストを回避。S3やGCS(Google Cloud Storage)の低コストストレージを直接利用
- コンピュートコスト: 必要な時だけクラスタを起動するサーバーレス方式により、常時稼働のSIEMサーバーが不要
- 人件費削減: AIエージェントによるアナリスト業務の自動化で、Tier 1/Tier 2アナリストの作業時間を大幅に削減
2社買収の意味
Antimatter(データセキュリティ)
Antimatterは2022年設立のスタートアップで、データのアクセス制御と暗号化を専門としている。同社のコア技術は「ポリシーベースのデータマスキング」で、同じデータセットに対して、ユーザーの権限に応じて異なるビューを動的に生成できる。
Lakewatchにおいては、SOCアナリストがインシデント調査時にPII(個人識別情報)を不必要に閲覧しないよう、データアクセスをきめ細かく制御する機能に活用される。
SiftD.ai(AI脅威検知)
SiftD.aiは、機械学習を活用したリアルタイム脅威検知プラットフォームを開発していた企業だ。特に「異常行動検知(UEBA: User and Entity Behavior Analytics)」の分野で先進的な技術を持っていた。
注目すべきは、SiftD.aiの創業者がCrowdStrikeのFalcon検知エンジンの元設計者であることだ。彼のチームがLakewatchの検知エンジンの中核を担っている。
脆弱性悪用時間1.6日の衝撃
Lakewatchの発表に合わせて、Databricksは独自のセキュリティ脅威レポートを公開した。その中で最も衝撃的なデータが、脆弱性悪用時間(Time to Exploit)の中央値が1.6日にまで短縮されているという事実だ。
これは、CVE(Common Vulnerabilities and Exposures)が公開されてから、攻撃者がその脆弱性を実際に悪用し始めるまでの時間を指す。2020年時点では約42日だったこの数値が、2025年には5日、そして2026年には1.6日にまで縮まっている。
この急速な短縮の背景には、攻撃者自身がAIを活用してエクスプロイトを自動生成していることがある。従来は脆弱性の技術的詳細を解析し、悪用コードを手動で開発する必要があったが、AIがこのプロセスを大幅に加速させている。
企業のセキュリティチームが脆弱性パッチの適用に平均60〜150日かかっている現状を考えると、「検知から対応まで」のスピードを劇的に向上させるAIエージェント型SIEMの必要性は明らかだ。
競合比較——Splunk vs Sentinel vs Chronicle vs Lakewatch
| 項目 | Splunk Enterprise Security | Microsoft Sentinel | Google Chronicle | Databricks Lakewatch |
|---|---|---|---|---|
| 運営元 | Cisco (2024年買収) | Microsoft | Google Cloud | Databricks |
| AIエージェント | Splunk AI Assistant | Copilot for Security | Gemini統合 | Anthropic Claude |
| 料金体系 | データ取込量課金 | データ取込量課金 | 固定+従量 | コンピュート課金 |
| 1TB/日コスト | $300-500万/年 | $200-400万/年 | $150-300万/年 | $60-120万/年(推定) |
| データ保持期間 | 90日(標準) | 90日(標準) | 12か月(標準) | 無制限(S3/GCS) |
| ベンダーロックイン | 高い | 中(Azure依存) | 中(GCP依存) | 低(オープン) |
| UEBA | あり | あり | あり | あり(SiftD.ai) |
| SOAR統合 | Splunk SOAR | Logic Apps | 独自 | エージェント内蔵 |
コスト面でLakewatchが優位に立つ最大の理由は、データの保存と分析を分離したアーキテクチャにある。従来のSIEMはデータを独自フォーマットで取り込み(インデキシング)、そのストレージコストが料金の大部分を占めていた。Lakewatchは既存のクラウドストレージ上のデータを直接分析するため、この重複コストが発生しない。
この図は、従来型SIEMとLakewatchの年間コスト比較、および脅威対応時間の改善効果を示しています。
Adobe・Dropboxが早期顧客に
Lakewatchの早期導入顧客として発表されたのは、Adobe、Dropbox、Pfizerの3社だ。
Adobe
Adobeは、Creative Cloud、Document Cloud、Experience Cloudの3つのクラウドプラットフォームで膨大なセキュリティログを生成している。従来はSplunkを主要SIEMとして使用していたが、データ量の増加に伴うコスト増が課題だった。Lakewatchへの移行により、セキュリティログの取り込み量を3倍に増やしながら、コストを60%削減できたと報告している。
Dropbox
Dropboxは、7億人以上のユーザーが利用するクラウドストレージサービスとして、不正アクセス検知が最重要課題だ。Lakewatchの異常行動検知(UEBA)機能により、アカウント乗っ取りの検知精度が従来比92%向上したとしている。
Pfizer
製薬大手Pfizerは、知的財産保護とコンプライアンスの観点からLakewatchを導入。特に臨床試験データへの不正アクセス検知において、AIエージェントによる自動調査機能が有効だとしている。
日本のSOC運用への影響
Lakewatchの登場は、日本のセキュリティ運用にも大きな影響を及ぼす可能性がある。
日本のSOCが抱える課題
日本のSOC市場は、NTTセキュリティ、ラック、セキュアワークス(Dell Technologies傘下)、NRIセキュアテクノロジーズなどのマネージドセキュリティサービスプロバイダー(MSSP)が主要プレイヤーだ。しかし、以下の課題を抱えている。
- 人材不足: 経済産業省の調査によると、日本のサイバーセキュリティ人材は約11万人不足している
- コスト: SOCの運用コストは年間数千万〜数億円で、中堅企業には負担が重い
- アラート疲れ: 日本のSOCでも1日あたり数万件のアラートが発生し、重要なものの見逃しが常態化
AIエージェントSIEMがもたらす変化
Lakewatchのようなエージェント型SIEMが普及すれば、日本のSOC運用は以下のように変わる可能性がある。
Tier 1アナリストの役割変化: 現在のTier 1アナリストは、アラートの初期トリアージを主に担当している。この作業がAIエージェントに置き換わることで、Tier 1アナリストはAIの判断を検証する「AIレビュワー」へと役割が変化する。
中堅企業のSOC内製化: 現在は大企業やMSSPに委託せざるを得なかったSOC運用が、AIエージェントの支援により中堅企業でも内製化できるようになる可能性がある。これにより、MSSPのビジネスモデルにも影響が出る。
日本語対応の課題: Lakewatchの基盤であるAnthropic Claudeは日本語に対応しているが、日本固有のセキュリティコンテキスト(JPCERTの脆弱性情報、日本の法規制など)への対応は今後の課題だ。
Databricksの日本戦略
Databricksは2020年に日本法人を設立し、NTTデータ、NEC、富士通などの大手SIerとパートナーシップを構築している。Lakewatchの日本市場投入は2027年前半を予定しており、日本語UIと日本のコンプライアンス要件(個人情報保護法、経済安全保障推進法)への対応を進めている。
セキュリティSaaS市場の競争激化
Lakewatchの登場は、セキュリティSaaS市場の競争構図を大きく変える可能性がある。
**CiscoによるSplunk買収(2024年、$280億ドル)**以降、大手テック企業によるセキュリティ市場への参入が加速している。MicrosoftはSentinelとCopilot for Securityでシェアを拡大し、GoogleはChronicleとMandiantの統合を進めている。
Databricksの参入により、「データプラットフォーム×セキュリティ」という新たな競争軸が生まれた。従来のSIEMベンダーが「セキュリティ専業」の強みを主張するのに対し、Databricksは「データ統合」の優位性を武器にする。
特に注目すべきは、Databricksがセキュリティデータとビジネスデータの統合分析を可能にする点だ。例えば、不正アクセスの検知結果と顧客データベースを突合して、影響を受けた顧客を即座に特定するといった分析が、同一プラットフォーム上で実行できる。
まとめ——セキュリティチームが今すぐ検討すべきこと
DatabricksのLakewatchは、SIEM市場にAIエージェントという新たなパラダイムを持ち込んだ。セキュリティチームが今すぐ検討すべきアクションは以下の通りだ。
- 現在のSIEMコストを棚卸しする: データ取り込み量、ストレージ、ライセンス費用の内訳を明確にし、Lakewatchとのコスト比較の基礎データを準備する
- AIエージェントの評価を開始する: Lakewatchに限らず、Splunk AI Assistant、Microsoft Copilot for Security、Google Gemini in Chronicleなど、各ベンダーのAI機能を比較評価する
- データレイクハウス戦略との整合性を確認する: AWSやGoogle Cloud上でDatabricksを既に利用している場合、セキュリティログの統合は自然なステップとなる
- SOCのスキルセット転換を計画する: AIエージェントの導入により、アナリストに求められるスキルは「ログ分析」から「AIの判断検証」へと変化する。トレーニング計画を早期に策定する
- 脆弱性対応のスピードを見直す: 悪用時間が1.6日まで短縮されている現実を踏まえ、パッチ適用プロセスの高速化に投資する
セキュリティ運用のAIエージェント化は、もはや「将来の話」ではなく「今年の課題」だ。Lakewatchの登場を機に、自社のセキュリティ運用の未来像を描き直す時が来ている。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星
- セキュリティ
Axiosが北朝鮮ハッカーに乗っ取られた——npm史上最大級のサプライチェーン攻撃