Splunk AI：サイバーセキュリティとオブザーバビリティにおけるデジタルレジリエンスの促進

AIはIT業界を一変させる可能性を秘めています。SplunkはAIを、インシデントの検出、調査、対応における人間の意思決定を加速させる手段であり、デジタルレジリエンスの促進剤と考えています。

今日の企業にとってAIは、業界に新たな脅威と新たなチャンスを同時にもたらす存在です。サードパーティのAIプロバイダーにデータを送信する場合、コンプライアンスやプライバシーに関する懸念が生じます。また、AIを導入すると、敵対的学習、データ汚染、モデル窃盗のリスクが生まれ、組織の攻撃対象領域が広がります。さらに、攻撃者の数もかつてないほど増えています。AIの登場によって、新たな攻撃者が新手の攻撃を仕掛けるのが容易になってきているからです。このほか、精度の低いモデルを使用することで誤った判断に導かれる可能性があるといった課題もあります。これらはすべて、組織の安全性と可用性を維持するうえで頭の痛い問題です。

一方で、AIは、セキュリティ運用チーム、IT運用チーム、エンジニアリングチームに多くの機会をもたらします。たとえば、AIを活用すれば、データマイニングを自動化して主要なイベントや兆候を精査することで、重大なイベントを検出することができます。また、インテリジェントなイベント要約や解釈により、状況やコンテキストをすばやく把握することもできます。基本的な作業を自動化して、より価値の高い業務にリソースを集中させれば、効率と生産性を飛躍的に向上させることができます。Splunkは、AIがもたらすメリットはデメリットをはるかに上回ると考え、信頼できるAI機能をさらに充実させるために積極的に投資しています。

Splunkでは、AIについて3つの基本原則を定め、それに従って非常に周到かつ慎重なアプローチで開発を進めています。

• ドメインおよびSplunkに特化：SplunkのAI機能は、セキュリティとオブザーバビリティのユースケースにおいて、お客様環境に最適化された形で、業務ワークフローと密接に統合できることを目指します。
• 人間参加型(HITL:Human-in-the-Loop)：Splunkは、世界的に重要性の高いデジタルシステムの安全性と可用性の維持に使われています。これらのシステムに障害が発生したときの損害は計り知れません。そのため、AIはあくまでも支援であり、最終的な意思決定は人間に委ねる仕組みが不可欠だと考えています。
• オープン性と拡張性：SplunkプラットフォームへのAIの直接統合を進めるうえで、お客様やパートナーが組織のポリシーやリスク許容度に合わせ、Splunk提供のモデルを拡張したり、お客様専用のモデルを組み込んだりできることを重視しています。また、そのモデルをSplunkのデータだけでなく他のデータストアのデータにも適用できるようにして、ソリューションの柔軟性を高めます。

Splunkでは2015年以来、基本方針としてAIの導入に取り組んでおり、製品への組み込み機能、そしてカスタマイズ可能な機械学習ツールとしてAIを提供しています。機械学習は製品のコアサーチ機能だけでなく、Splunk Enterprise SecurityとSplunk User Behavior Analyticsにおける脅威検知や異常行動分析にも使われています。また、オブザーバビリティソリューションにおいては、予測分析、アラートのノイズ削減、異常検出、動的しきい値の設定、アラートの自動検出、インシデントの相関付けなどの領域で、多くのAI/機械学習機能が組み込まれています。Splunkプラットフォーム向けには、カスタマイズ可能な機械学習ツールとして、ガイド付きワークフローとスマートアシスタントによりスキルレベルに関係なく機械学習を活用できるMachine Learning Toolkit、データサイエンスツールを利用して独自の高度なAIユースケースを構築できるSplunk App for Data Science and Deep Learning (DSDL)があります。これらの機能はいずれも、より安全でレジリエントなデジタル世界を作るというSplunkの最終目標に沿って開発されたもので、AIはその促進剤に過ぎません。

.conf23では、Splunkプラットフォームでのイノベーションをはじめとして、ポートフォリオ全体にわたるAIの新機能と機能強化を幅広く発表しました。これらはすべて、Splunkbaseですでに公開されています。

Splunkプラットフォーム

• Splunk AI Assistant (プレビュー)：旧SPL Copilotの改良版であり、生成AIを活用したチャットを通じてSPLの記述と学習を支援します。英語でやりたいことを伝えると、クエリー候補、説明、各部の詳細が返されます。
• Splunk App for Anomaly Detection：強力な機械学習アルゴリズムを使って、時系列のデータセットやメトリクスから数クリックで異常を検出できます。また、エンドツーエンドの運用ワークフローに従って、効率的に異常検出ジョブを作成、実行し、これらのジョブに基づいてアラートを生成することもできます。
• Machine Learning Toolkit (MLTK) 5.4：さまざまなスキルレベルのユーザーが、ガイドに沿って、機械学習を使用した外れ値/異常検出、予測分析、データクラスタリングを簡単に設定できます。新バージョンでは、外部で事前学習済みのONNXモデルをシンプルなUIでアップロードし、既存のワークフローを変更することなくSplunkデータに適用できます。
• Splunk App for Data Science and Deep Learning (DSDL) 5.1：高度な機械学習/ディープラーニングを使ったカスタムユースケースを実装するためにMLTKを拡張します。新バージョンでは、2つの自然言語処理AIアシスタントが追加され、お客様固有のデータを使って、テキスト要約やテキスト分類のユースケースに適用できるお客様専用のLLMモデルを構築およびトレーニングできます。

セキュリティ

昨年、セキュリティ運用チームが迅速に対応できるよう、新たな脅威検知を追加しました。

• 喫緊のセキュリティ脅威に対応すべく、Splunk脅威調査チームは6種類の機械学習ベースの検知を開発し、Splunk Enterprise Security Content Update (ESCU) としてリリースしました。

オブザーバビリティ

IT Service Intelligence (ITSI) 4.17では、検出をさらに迅速化し、IT運用における価値実現を早めるために、さまざまな機械学習機能が追加しました。

• 動的しきい値での外れ値の除外：ネットワーク障害やシステム停止によるスパイクなど、異常なデータポイントや外れ値を検出/除外することで、より正確な動的しきい値を設定し、IT環境での検出精度を向上させることができます。
• 機械学習ベースのしきい値設定(プレビュー)：ワンクリックで、過去のデータやパターンに基づいて動的しきい値を設定できます。これにより、お客様システムの健全性に関するアラートの精度を高めることができます。

AIは、セキュリティ運用チーム、IT運用チーム、エンジニアリングチームに大きな可能性をもたらします。Splunk AIが目指すビジョンは、AIの堅固な基盤を築くだけでなく、Splunkポートフォリオ全体でお客様の日常業務にAIをより深く統合することです。Splunkはセキュリティとオブザーバビリティの領域におけるインサイトをさらに引き出すと同時に、お客様がお使いのSplunk環境からインサイトを引き出せるよう支援していきます。それにより、インシデントの検出、調査、対応能力を向上させて作業時間を短縮し、最終的には、Splunk製品のAI機能がお客様組織のデジタルレジリエンス強化の促進剤となることを目指しています。

#splunkconf23のハッシュタグが付いたツイートをぜひご確認ください!

Follow @splunk

このブログはこちらの英語ブログの翻訳、村田 達宣によるレビューです。