「セキュリティはサーチ問題」 ElasticのCISOが語るAI時代の防御哲学

侵入から窃取まで数分。AIにより攻撃が加速する中、ElasticのCISOは「セキュリティはサーチ（検索）問題だ」と断言する。AI統合によるSOCの変革から、インシデントを組織の糧にする「アンチ・フラジャイル」の思想まで、AI時代の防御戦略を聞いた。

[末岡洋子，ITmedia]

　サイバー攻撃者がシステムに侵入してからデータを窃取するまでの時間は、今や数分単位にまで短縮されている。セキュリティチームが最初のアラートに気付くころには、既に主要なデータが運び出されていることすら珍しくない。これが、現代のCISO（最高情報セキュリティ責任者）が直面している現実だ。

マンディ・アンドレス氏

　「AIの登場によって、脅威の速度は私たちの対応速度をはるかに上回るようになった」と語るのは、ElasticでCISOを務めるMandy Andress（マンディ・アンドレス）氏（以下、アンドレス氏）だ。サイバーセキュリティの領域で25年以上のキャリアを持ち、Fortune 100の金融サービス企業で13年間セキュリティプログラムを率いた後、2018年にElasticへ入社した。

　検索エンジンを提供してきたElasticは、なぜセキュリティ領域で存在感を高めているのか。AIによって防御の前提が崩れゆく中、CISOの役割はどう変わるべきなのか。同氏に聞いた。

実践から生まれたElastic Security

　Elastic Securityは、SIEM（セキュリティ情報、イベント管理）、XDR（拡張検知、対応）、クラウドセキュリティを統合したプラットフォームだ。Forrester Wave Security Analytics Platformsでは2025年第2四半期にリーダーに選出され、AV-Comparatives 2025 Business Security Testsでは、ElasticはReal-World Protection TestとMalware Protection Testの両方で100％を記録し、両テストで満点を達成した唯一の製品となった。

　CISOであるアンドレス氏の役割は社内のセキュリティプログラムの運営だが、Elastic Securityの製品開発にも深く関与している。「自社製品の最初のユーザー」であり、Elastic Securityの製品チームとは毎週のようにディスカッションを重ねているという。

　「Elastic Securityが市場に出た当初、製品に搭載されていた検出ルールの多くは、私たちが社内で実際に使っていたものだった」と明かす。「GitHub」のチェックイン・チェックアウトプロセスで検出アラートを管理するElasticSearchの「Detection as Code」も、もともとアンドレス氏ら社内のセキュリティチームが開発した仕組みを製品化したものだ。後述する「Entity Analytics」の優先的な開発も、社内チームからの強い要請がきっかけだったという。

　このような実践、フィードバック、製品開発の循環により、Elastic Securityはセキュリティ担当者のニーズに合う製品になっている、とアンドレス氏は考えている。

サーチが起点、Elastic Securityの差別化

　一方で、「システムの稼働監視（オブザーバビリティ）」で蓄積した膨大なログをセキュリティ対策に転用する動きは、Elasticだけではない。

　Splunk（Cisco）やDatadogなども同じような領域をカバーしている。Elasticの差別化の核心にあるのが「セキュリティはサーチ問題だ」というコンセプトだ。アンドレス氏は次のように説明する。

　「一般的なセキュリティツールは『このアルゴリズムで検出する』という発想で設計されており、データを後から取り込む構造になっている。Elasticはその逆だ。検索を起点として設計されているため、どんなデータソースでも取り込め、分析の柔軟性と速度が際立つ」

　クラウド移行が進む中、企業のIT環境は急速に複雑化した。既存のオンプレミスインフラはそのまま残りつつ、クラウドが加わることでデータ量は爆発的に増加した。エンドポイント、ネットワーク、サーバ、メール、クラウドが生み出す膨大なデータを横断的に検索・分析する能力こそが、現代のセキュリティに求められる本質だとElasticは主張する。競合との違いについてアンドレス氏はこう語る。

　「競合がセキュリティを前面に打ち出しているのに対し、私たちは『まず検索』の会社だ。その検索の強みをセキュリティに適用することで、環境内のデータに対してより深く、独自のインサイトを得られる」

　オープンアーキテクチャによってあらゆるデータソースを取り込めること、検出ルールがオープンソース化されており透明性が高いこと、そしてエンドポイントセキュリティとの連携でマルウェアの検出から遮断まで一気通貫で対応できることが強みとして挙げられる。

　Elasticsearchの日本国内の顧客として、三井不動産がある。同社はかつてセキュリティ監視・分析基盤を外部委託していたため、自社のセキュリティの実情を正確に把握することが難しい状況にあった。Elastic Securityの導入により、ネットワーク関連のログ、社内システム、「Microsoft 365」などのクラウドサービスを含む幅広いソースのセキュリティイベントを一元管理できるようになった。

　さらに脅威インテリジェンスツールと連携させることで、外部の脅威情報と社内データをリアルタイムでひも付け、リスク分析とトリアージの自動化を実現した。例えばダークWebでの認証情報の漏えいを脅威インテリジェンスツールが検知した場合、Elastic Securityを通じてグループ横断で迅速に対策を講じられる。この取り組みにより、アラート対応の負荷は40％削減され、セキュリティチームは一段と戦略性の高い業務に集中できるようになった。

AIがSOCを変える

　Elastic Securityの最新動向がAI統合だ。アンドレス氏は以下の機能を紹介した。

　その一つが「Attack Discovery」だ。Elastic SIEMに取り込まれたデータを大規模言語モデル（LLM）に送り、優先すべき調査対象を即座に絞り込む。アナリストが膨大なアラートを手作業で精査する時間を大幅に削減できる。

　コンテキストの欠如もセキュリティにおける長年の課題だった。あるアラートが発生したとき、それがどの従業員のデバイスで、その人物がどの部署に属し、どれほど機密性の高い業務を担っているかが分からなければ、深刻度を正確に評価できない。

　「Agent Builder」と「Elastic Workflows」を使って、この課題に対応できる。従来はアラートが発生するたびに、アナリストが複数のシステムを渡り歩いて情報を手動収集する必要があった。この機能により、調査に必要なコンテキスト情報が自動的に一つの画面に集約されるため、アナリストはデータ収集ではなく、アラートの意味を理解し判断することに集中できる。

　「Security Assistant」は、アナリストがセキュリティデータと自然言語で対話できる機能だ。「このタイプのアラートは過去に見たことがあるか」「以前はどう対応したか」といった質問を会話形式で投げかけられる。「最初はアナリストも戸惑っていた。こんな形でデータと対話したことがなかったからだ。だがすぐに慣れて、積極的に使うようになった」とアンドレス氏は社内での導入経験を語る。

　さらに、間もなく公開予定という「Entity Analytics」は、ノートPC、モバイル端末、APIキー、エージェントなどあらゆるエンティティの行動を継続的に監視する。将来的にはエンティティをまたいだ分析へと発展させる。これにより、これまで通信したことのないデバイス同士が突然つながるといった異常な行動パターンを自動検知、封じ込めることを目指すという。

AI時代にCISOの役割はどう変わるか

　攻撃も防御もAIを活用する時代、CISOに求められる役割は大きく変わりつつある。

　「今日のセキュリティプログラムの多くは、検知とモニタリングに過度に依存している。しかし攻撃者がAIを使って高速に動く今、その前提は崩れつつある」とアンドレス氏は指摘する。この現実に対してCISOが取るべきアプローチは二つある。一つはゼロトラストのような概念を本格的に導入し、検知・対応に依存しない能動的な防御態勢を構築すること。もう一つは防御側にもAIを組み込み、疑わしい挙動を検知した瞬間に自動でアクセスを制限したりアカウントを一時停止したりする仕組みを作ることだ。

　自動化の範囲についてはリスク許容度によって判断が変わる。テスト環境であれば完全自動化を許容できるが、重要な本番システムでは人間による確認プロセスが不可欠だ。Elastic社内ではAIと人間が並行して動き、AIの判断が正しいかどうかを人間が検証しながら学習を積み重ねている段階にある。「馬車と自動車が道路上に共存していた時代から、自動運転車が当たり前になったような変化がAIでも起きる。10年後はまったく違う世界になっているだろう」とアンドレス氏。

　CISOに必要なスキルとしてアンドレス氏が強調するのは、曖昧さへの耐性とビジネス・法務視点の習得だ。

　「ビジネス学位や法の学位は必ずしも必要ではない。大切なのは相手の立場に立てるかどうかだ。法務チームが何を懸念しているのか、ビジネス部門が何を目標としているのかを理解し、セキュリティの枠を超えて連携しながらプログラムを設計することが鍵になる」

アンチ・フラジャイル　強くなり続ける組織へ

　アンドレス氏がセキュリティの到達点として掲げるのが「アンチ・フラジャイル」という概念だ。これはレジリエンス（回復力）とは一線を画す。

　「レジリエンスとは、何かが起きたときに元の状態に戻ること。これに対し、アンチ・フラジャイルはその一歩先を行く。インシデントが起きたとき、組織がそれ以前よりも強くなった状態で終わることを目指す」

　実践的には二つのアプローチが基本となる。一つはセキュリティインシデントが発生するたびに「なぜ起きたのか、どう防ぐのか」を率直に話し合う振り返りセッションをすること。もう一つは、実際の攻撃シナリオを想定した机上演習（テーブルトップ演習）を、現場の技術スタッフから取締役会メンバーまで幅広く巻き込んで定期的に実施することだ。

　Elastic Securityはこのサイクルを支える基盤として機能する。

　「データの取り込みと分析によって、重大インシデントに至らなかったニアミスや、放置すべきでない挙動を可視化できる。それを基に『なぜそれが起きたのか』を問い直し、可視性とコントロールを継続的に進化させていく」とアンドレス氏は述べ、セキュリティへの新しい考え方を示した。