Microsoft Sentinel Data Lakeが実現するAIエージェント時代のSOC運用基盤

　AIエージェントが企業の業務に本格導入される中、セキュリティ運用に新たな課題が浮上している。エージェントIDがユーザーIDを上回る勢いで増えており、セキュリティデータは年間250%ものペースで増加している。管理するセキュリティツールも増加し、データのサイロ化も課題となっている。従来のSIEM（Security Information and Event Management：セキュリティ情報イベント管理）運用では対応しきれない状況が生まれつつあるのだ。このような状況に対し、マイクロソフトはどのような技術的解決策を提示するのか。

　2025年9月24日に開催された「Microsoft Digital Trust Summit 2025 Online」のキーノートに、マイクロソフトコーポレーションのSentinel担当プロダクトマネジメントディレクター、Abhishek Agrawal氏が登壇。10月１日から提供が開始された、同社のクラウドベースのSIEM「Microsoft Sentinel」に導入した最新のデータレイク「Microsoft Sentinel Data Lake」について解説した。これは、AIエージェント時代のSOC（Security Operations Center）運用を革新するアプローチだ。本レポートでは、その詳細に迫る。

マイクロソフトコーポレーション Sentinel担当プロダクトマネジメントディレクターのAbhishek Agrawal氏

なぜ今、新たなデータ基盤が必要なのか？ AIエージェント急増による爆発的なデータ増加に起因する3つの課題

　AIエージェントの本格導入を控え、企業のセキュリティ運用は深刻な構造的課題に直面し、根本的な戦略の見直しを迫られている。

　特に深刻なのが、AIエージェントIDの爆発的増加に伴うログ管理の課題だ。今後、エージェントIDの数が人間のユーザーIDを上回る企業が出現する可能性が高く、ログの増大によるコスト問題や、SOCの処理能力の限界で監視対象外となる領域が増え、攻撃者に狙われる懸念がある。

　ログの増加によりセキュリティ運用が直面する課題として、Agrawal氏は次の3点を挙げた。

1.データの急増とサイロ化
2.データ分析の複雑化
3.コストとデータの選択

課題2.データ分析の複雑化

　Agrawal氏は、従来の「防御者の思考」と「攻撃者の思考」の非対称性を例にとり、サイバー防御における根本的なパラダイムシフトが必要だと語る。

　「私はセキュリティ分野に10年以上携わってきましたが、防御者に提供されてきたツールは、『リスト』で物事を考える構造になっています。アラートのリスト、クエリ結果のリストなどですね。しかし、このリスト思考は攻撃者の思考とマッチしないのです」（Agrawal氏）

　防御者は各セキュリティ領域を個別に管理し、サイロごとに対策を考えるのに対し、攻撃者は組織全体を相互接続されたネットワークとして捉えて脆弱な場所を見つけ、攻撃チェーンを構築する「グラフ思考」で行動するためだ（ 図1 ）。

図1：防御者のサイロ思考と攻撃者のグラフ思考の対比

あらゆるデータをセキュリティ資産に変える統合分析基盤「Microsoft Sentinel Data Lake」

　これらの課題に対し、マイクロソフトが提示する技術的回答が、コストパフォーマンスの高いログ保管基盤「Microsoft Sentinel Data Lake」である。

　Agrawal氏は、「AIにとってコンテキストが最も重要な要素といわれていますが、優れたコンテキストを得るには優れたデータが必要です」と述べ、AIエージェント時代のデータ基盤の重要性を強調した。

　Agrawal氏は、Sentinel Data Lakeプラットフォームの3層構造のアーキテクチャを紹介した。上層にSIEM機能、中層に革新的なグラフエンジン、そして下層にモダンなデータレイクを配置する構成である（ 図2 ）。

図2：Sentinel Data Lakeのアーキテクチャ構成

データを一元管理し、サイロ化を防ぐ統合的なデータレイク

　Sentinel Data Lakeは、従来の監査ログやIDログを超えて、組織内のあらゆるデータを格納できるよう設計されている。Agrawal氏は、「この数年間の自社インシデントから学んだことは、組織内のあらゆるデータが、明日にはセキュリティデータになり得るということです」と説明した。

　例えば、ビジネスメール攻撃の分析には財務データが、資産管理にはMicrosoft 365やEntraの情報が、脅威分析には各種インテリジェンスが必要となる。これらのデータを単一のデータレイクに格納することで、サイロ化することなく統合的なセキュリティ分析が可能となる。

　「Kustoクエリ言語からSpark、SQL、機械学習まで、多様な分析手法を1つのデータコピー上で実行できます。シンプルで統合されたユーザー体験を提供しています」（Agrawal氏）

　さらに注目すべきは、複数の異なる場所に分散したデータソースを、統合的にアクセス・検索できる「フェデレーション（Federation）機能」だ。Sentinel Data Lakeは、同社のAzure Data Lakeだけでなく、Amazon S3（Amazon Simple Storage Service）やSnowflakeなど、他社のクラウドデータプロバイダーのデータソースも参照可能である。

　「セキュリティチームは、危機に直面したときに、財務データがどこにあるか、2年前に保存されたログがどこにあるかなどを心配する必要がなくなります。システムがデータを見つけ、検索を実行し、その上で深い分析を可能にするのです」（Agrawal氏）

ワンクリック実装と350以上の競合他社製品とのデータ統合を実現

　Agrawal氏は、Microsoft Defenderポータルでの操作を通じて、Sentinel Data Lakeの簡便性を実演した。

　「自前のデータレイクをセットアップするのに数カ月かかるプロジェクトと比較してみてください。Defender ポータル内でSentinel Data Lakeを有効にするのは、文字通りワンクリックで完了します」（Agrawal氏）

　Sentinelはコネクタを通じて、マイクロソフト製品はもちろん、350以上の競合他社製品とも統合を実現している（ 図3 ）。これらのコネクタは、以下のセキュリティ運用のあらゆる領域をカバーする。

・アプリケーション：Office 365、Teams、Slack、Zoom、Snowflakeなど
・クラウドプロバイダー：AWS、Azure、GCPなど
・ネットワークファイアウォール：Palo Alto、Cisco、Fortinetなど
・脅威防御：CrowdStrike、Darktrace、Microsoft Defenderなど
・ID管理：Okta、CyberArk、One Identityなど
・エンドポイントセキュリティ：SentinelOne、Sophosなど

図3：Defenderポータルでのコネクタ管理画面

　「Sentinel Data Lakeは、マルチクラウド、マルチプラットフォームのアプローチを採用しています。あらゆるアプリケーションやサードパーティ製のセキュリティ製品から、確実にデータを取得できます」（Agrawal氏）

AI連携による高度なデータ分析を実現

　データ分析についてもSentinel Data Lakeは優れた機能を持つ。

　注目すべき点は、セキュリティ担当者がデータサイエンス分析や機械学習モデルの訓練を行えるよう支援する「Microsoft Sentinel for Visual Studio Code」拡張機能と、AI コーディング アシスタントであるGitHub Copilotの統合である。

　この拡張機能をVS Codeマーケットプレイスからインストールしてログインするだけで、設定や構成は一切不要でSentinel Data Lakeへのアクセスが可能となり、より高度な分析を実行できるようになる。

　GitHub Copilotと連携しているため、Pythonなどプログラミング言語の専門知識がなくても、自然言語で「異常なログイン行動を検出するクエリを生成して」と依頼するだけで、機械学習を活用した分析コードが自動生成される（ 図4 ）。この統合により、数行のプロンプトから深い分析コードを生成し、インシデント対応、フォレンジック分析、脅威インテリジェンスマッチング、異常検出と、高度な分析を実行できるようになる。

図4：自然言語による分析要求からコードの自動生成まで――専門知識不要のセキュリティ分析

　また、より高度な分析需要に対応するため、データレイク上での非同期・スケジュールジョブ機能も提供されている。PythonやKustoベースの長時間実行ジョブを、日次、週次、月次でスケジュールできる。典型的な用途は、新たな脆弱性が発見されるたびに履歴スキャンを行う「履歴脅威インテリジェンスマッチング」だ。

　この課題に対し、Agrawal氏は「多くの企業はデータを保存していないため、履歴スキャンを実行できません。Sentinel Data Lakeはこの問題を解決します」と強調した。

　また、グラフ思考による攻撃を解決するため、Sentinelプラットフォームにはスケーラブルな「グラフエンジン」が統合された。これにより、セキュリティ担当者は、攻撃者がどのように侵害を連鎖させていくかを視覚的に把握し、より高度な脅威ハンティングやフォレンジック分析を行うことができる。

セキュリティ運用のハードルを大幅に下げるコストを抑えたビジネスモデル

　これらの機能により、Sentinel Data Lakeはセキュリティ運用のハードルを大幅に下げることが可能だ。また、大きなメリットとして、データの保存が安価、かつ分析は使用時のみ課金されるというコスト効率の高いビジネスモデルを採用していることが挙げられる。これにより、組織はコストを気にすることなく、最大12年間データを保存でき、コンプライアンス要件にも対応できる。

　Agrawal氏は、ユーザー事例として、バイオテクノロジー企業SOPHiA GENETICSがわずか数カ月で新しい環境に移行し、コスト最適化に成功したことを紹介した。また、アクセンチュア、IBM、BlueVoyantといった大規模な多国籍パートナー企業も、数カ月にわたるプレビューに参加し、本格的な顧客環境での展開を検討していることを付け加えた。

　Agrawal氏は、Sentinel Data Lakeが実現するAIエージェント時代のセキュリティ運用について、「すべてのデータを統合・整理できるようになったことで、より良いセキュリティが実現できます。『コストか、カバレッジか』という従来の選択に悩むことなく、その両方を実現できるのです」と、SIEMが抱えていた構造的課題の解決を強調した。

　そしてAgrawal氏最後に、将来への展望を示した。

　「最も重要なことは、すべてのデータが将来のAIエージェントにとっての基盤になるということです。今後のアップデートにより、AIエージェントが自らデータを分析し、洞察を導き出し、AIエージェント時代の準備を非常に簡単に整えられるようになるでしょう」