Splunkが大規模製品アップデート AI SOCで「人材不足」「アラート地獄」を根本治療：.conf25現地レポート

Splunkは年次カンファレンス「.conf25」で複数の製品アップデートを発表した。本稿ではエージェントAI機能を軸に、オブザーバビリティ（可観測性）領域とセキュリティ領域の製品がそれぞれどのように強化されたかを見ていく。

[田渕聖人，ITmedia]

　Splunkは2025年9月8日〜11日（現地時間）、米国ボストンで大規模カンファレンス「.conf25」を開催している。2日目の製品基調講演では、Splunkのカマル・ハティ氏（SVP and GM）らが登壇し、最新の製品アップデートに言及した。Cisco Systems（以下、Cisco）によるSplunkの買収後、両社の製品連携はどのように進んでいるのか。

　初日の基調講演の様子もこちらで記事にしているため確認してほしい。

AI時代の「オブザーバービリティ」と「セキュリティ」のあるべき姿

　ハティ氏は冒頭でAI時代における企業の必須課題として「AIによるレジリエンス強化」と「信頼できるAI活用」を挙げる。ビジネスリスクも含めたさまざまな脅威が企業を襲う可能性がある今、信頼できるAIによってセキュリティやオブザーバビリティ（可観測性）を強化し、問題に素早く対処することが重要だ。

Splunkのカマル・ハティ氏（SVP and GM）（筆者撮影）

　ただ、AIはデータがあって初めて価値を発揮する。ここでいうデータとは単なる人間が生成したデータだけでなく、マシンデータ（ログやイベント、トレース、テレメトリーなど）も含まれる。つまり全ての基盤となるデータをいかに効率良く収集、分析するかが企業競争力に直結するというわけだ。

　こうした状況を踏まえて、CiscoはSplunkをデータプラットフォームに据えた新しい概念・アーキテクチャ「Cisco Data Fabric」を提唱している。Cisco Data Fabricはクラウド型の「Splunk Cloud Platform」やオンプレ型の「Splunk Enterprise」といった「Splunk Platform」を基盤にして大量のマシンデータを処理し、AIアプリケーションにマシンデータを活用する際のコストと複雑さを大幅に削減するという構想だ。

Ciscoのトム・ギリス氏（SVP and GM, Infrastructure & Security）（筆者撮影）

　Ciscoのトム・ギリス氏（SVP and GM, Infrastructure & Security）は「大量のデータを単一のリポジトリに集約する従来型のアプローチでは、コストやスケール面で現実的ではない。そこで、データを“池（pond）”や“水たまり（puddle）”に分割し、相互通信可能な分散型のリポジトリとして管理する。このアーキテクチャにより、AIデバイスが生む膨大なトラフィックにも対応可能となる。また、ネットワークの毛細血管レベルにインテリジェンスを組み込み、テレメトリーを整理された形でデータリポジトリに送信できる。結果として、AIモデルの学習やエージェント型ソリューションの運用が効率化される」と語った。

　今回の製品アップデートの方向性もこの考え方に基づいたものが多く、AI時代における同社のプラットフォーマーとしての立ち位置の明確化を示したものと言えるだろう。では詳細を見ていこう。

Splunkのマンゲシュ・ピンパルカレ氏（SVP and GM,Platform）（President and Chief Product Officer）（筆者撮影）

　Splunkのマンゲシュ・ピンパルカレ氏（SVP and GM,Platform）はCisco Data Fabricを踏まえてSplunkプラットフォームの進化を示す3つの新機能を発表した。

　1つ目は「Splunk AI Toolkit with LLM Integrations」だ。SplunkベースのAIモデルの作成やテスト、デプロイができる。再利用可能なコンポーネントやテンプレートを提供し、モデル開発の標準化と運用化を支援する。現在はパブリックプレビューを提供している。

　2つ目は「Splunk Federated Analytics」だ。これは相関や可視化、アラート、ダッシュボードといったSplunkの分析機能を外部データレイクを横断してデータに対して直接適用できる機能だ。データレイクに保存されたデータはSplunkに取り込む必要がなく、そのまま分析できるため、分析対象のデータを移動させるオーバーヘッドを削減し、セキュリティチームの脅威の検出、調査、対応の加速を可能にする。同機能は2025年10月から提供予定だ。

　3つ目は「Splunk Federated Search for Snowflake」との連携だ。これまでSplunkは「Amazon S3」や「Microsoft Azure」などの多様なデータソースと連携してきた。新たな連携先として2026年2月からは「Snowflake」が加わる。

AIエージェントがシステム全体の可視性を確保

　オブザーバビリティ関連のアップデートについてはSplunkのパトリック・リン氏（SVP and GM, Observability）から発表があった。

Splunkのパトリック・リン氏（SVP and GM, Observability）（筆者撮影）

　リン氏によると、ハイブリッドクラウドが普及してシステムが複雑化する中、それに伴う監視・分析のニーズが急増している。一方で急速なIT環境の変化によって従来の監視ツールでは十分に対応できなくなっているという。そこでSplunkが提供するオブザーバービリティ製品「Splunk Observability Cloud」に関連した新機能は以下の通りだ。

• 「AI Troubleshooting Agents」：　Splunk Observability Cloudに組み込まれるAIエージェントはメトリクスやログ、トレースを横断して根本原因を自動で特定する。見つかった信号を「ヘルスルール違反」と結び付け、既存の運用ワークフローに直接連携する。α版が既に提供されている
• 「AI Agent Monitoring」：　AIエージェントをデプロイする段階で必要になるのが「エージェントの監視」だ。AI対応アプリやエージェントをエンド・ツー・エンドで追跡でき、基盤モデルのパフォーマンス評価や問題特定が可能となる。遅延やエラーだけでなく、トークン利用率の監視も実施し、ユーザーのやりとりにおける誤認やモデルのドリフトを検知する。講演では、AI保護セキュリティソリューション「Cisco AI Defense」と連携してプロンプトインジェクションやデータ漏えいの検出とリアルタイム影響分析を実行する点が示された。2025年10月にα版が提供される
• 「Splunk APM」（Application Performance Monitoring）の強化：　AIによる根本原因分析が強化され、数秒単位で分散トランザクション内の問題箇所を特定することが可能になった。講演ではコールグラフに基づき遅延が発生しているメソッドや関数を直接指し示す機能やサービス依存関係のグルーピング機能などが紹介された。これは従来のスパン中心の分析から、より高レベルなビジネスプロセス監視へと踏み込んだ進化といえるだろう。2025年10月から一般提供が開始される予定だ
• 「Splunk Infrastructure Monitoring」のダッシュボード刷新とAI異常検知：大規模なクラウド環境のリアルタイム監視要件に対応する、メトリクス処理に特化したプラットフォームSplunk Infrastructure Monitoringのダッシュボードが刷新された他、AIベースの異常検知が追加された。これにより、システム全体の健全性をリアルタイムに可視化でき、障害の予兆を事前に捉えることが可能になる
• 「Digital Experience Analytics」（DEA）：　DEAはビジネスジャーニーの可視化、セッションリプレイを通じたユーザー体験の摩擦点特定を目的とする機能だ。SREやフロントエンドチームではなく、ビジネス側と技術側が共通言語で問題把握できる。α版が2025年10月から提供される予定だ

AI Troubleshooting Agentsのイメージ（出典：製品キーノート発表資料）《クリックで拡大》

AI Agent Monitoringのイメージ（出典：製品キーノート発表資料）《クリックで拡大》

　「重要なのはこれら全ての機能がSplunkプラットフォームでシームレスに連携するという点だ。セキュリティとオブザーバビリティのデータが同じ基盤で扱えるようになったことで、組織は『システムの問題』と『セキュリティの問題』を切り分けるのではなく、統合的に理解できるようになる。例えば、あるサービスが遅延している場合、それが単なるインフラ障害なのか、あるいは攻撃によるものなのか、従来なら複数のチームで調査しなければ分からなかったことが、Splunkの統合プラットフォームなら即座に把握できる。ネットワークに強みを持つCiscoとの統合によってさらに進化するだろう」（リン氏）

AIエージェント型SOCで「人材不足」「アラート地獄」を根本治療

　セキュリティ関連のアップデートについてはSplunkのマイク・ホーン氏（SVP and GM, Security）から発表があった。

Splunkのマイク・ホーン氏（SVP and GM, Security）（筆者撮影）

　ホーン氏は「セキュリティ領域においてアラート過多と人材の不足は深刻な問題だ。しかし最近はこれらのよくある課題に加えて、AIを悪用した攻撃の発展に対抗するため、SOCやセキュリティ運用ツールもAIによる強化が必要になっている」と話す。

　これらを踏まえてSplunkが提供した新機能は以下の通りだ。特にAIを活用したSOC（エージェント型SOC）機能の強化も示された。

• Splunk Enterprise Security 8.2：　今回、従来の製品を名称変更したEssentials（既存機能）プランと新たに追加機能を束ねたPremierプランが登場した。Premier版は従来のSIEM（Security Information and Event Management）とTIM（脅威インテリジェンス管理）機能に加えて、SOARとUEBA（User and Entity Behavior Analytics）のライセンスが含まれる。これによって内部脅威検出や振る舞い分析が単一のコンソールで可能となる
• 「Triage Agent」：　アラートの自動調査やデータ収集、推論を代行し、各アラートに対して「真陽性／偽陽性」「信頼度（高／中／低）」を提供する。作業履歴を残すことで監査や手動介入のトレーサビリティーも確保される。2026年にα版を提供予定
• 「Detection Studio」：　2025年に買収したセキュリティ企業SnapAttackの技術を活用した検知ライフサイクル管理プラットフォームだ。検知規則の発見・管理、カバレッジ可視化、不足しているデータソースの提案、検知のレコメンデーションなどを備える。検知ルール作成の属人化を解消し、組織横断での検知カバレッジを短期間で改善するのに有効だ。α版が既に提供されている

Triage Agentのイメージ（出典：製品キーノート発表資料）《クリックで拡大》

Detection Studioのイメージ（出典：製品キーノート発表資料）《クリックで拡大》

　これらの発表は、いずれも「アラート大量化」「人材不足」「対応速度」を根本から改善することを目的としており、AIエージェントによる代替と人的判断の最適化が軸になっている。

　今回の「.conf」で明確になったのは、CiscoとSplunkが提示するのは単なる「機能追加」ではなく、運用のパラダイムシフトそのものだということだ。データを中央に集めて手動で調べるやり方は、AI時代のスピードとスケールの前に非現実的になりつつある。分散しているデータをその場で使い、AIエージェントが初動を担い、人は最終判断と改善に集中する――これが今後の新常識となるだろう。

（取材協力：シスコシステムズ）