ALogのすべてを大解剖！マーケ×開発×SEが本音で激論

SIEM化の舵を切るきっかけは、50近くもの機能要望を挙げてくれたのは、いわばALogのヘビーユーザーである中山さんでした。なぜそこまでSIEM化が必要だったのでしょうか？

はい。以前はサーバーなど単体のログをしっかり見ていれば、ある程度のセキュリティは担保できました。しかし最近のサイバー攻撃は非常に巧妙で、一つの機器のログだけを見ていてもインシデントの全体像が掴めないんです。

なるほど。攻撃の侵入経路や被害範囲など、実態がわからないと対策のしようがないですもんね。

その通りです。私たちMDRチームは日々インシデントと向き合っていますが、単体でのログではわからないことが増えてきました。全体のログを突き合わせることで、初めて「攻撃者はここから侵入して、次にこのアカウントを乗っ取って…」という一連の流れが見えてきます。インシデントの全体像を正確に把握するために、ログを統合的に分析するためにはSIEMへの進化が不可欠だったんです。

お客様を守る最前線の現場からの、切実な声だったわけですね。検知から対応、そして再発防止まで、インシデント対応の全てのフェーズで、多様なログを素早く分析する能力が求められる。そのスピードが被害の大きさを左右しますから。

中山さんからの熱い要望を受けて、開発責任者の久鍋さんにお伺いします。SIEMの開発にあたって、どんな製品作りを心がけましたか？

ALogの原点は「ログの活用を、誰でも簡単にできるようにする」という思想にあります。ですから、SIEMとして高機能になっても、その哲学は絶対に曲げられませんでした。マニュアルを熟読しなくても直感的に使える画面デザインにこだわったり、日々の監視業務が自動で完結するようにしたりと、お客様の現場で本当に役立つ「使いやすさ」を第一に考えて開発を進めました。

その「使いやすさ」は、非エンジニアの私でも実感しています。導入作業も画面の指示に従って進めるだけで終わりますし、操作画面も「ここを触れば、こういう分析ができそうだな」と直感的にわかる。それでいて、専門的な分析もしっかりできるので、本当に使いやすいですよね。

インストールのしやすさは、昔から特にこだわっているポイントです。SIEM製品の中には、導入だけで何日もかかるようなものも少なくありません。ALogなら、おそらくうちの小学生1年生の娘でも…は、ちょっと厳しいかな（笑）。でも、それくらい簡単だということです。

国産ならではの、分かりやすいマニュアルがWebで公開されているのも嬉しいポイントですよね。

そうなんです。「ALog マニュアル」で検索するとすぐに出てくるので、ぜひ一度ご覧いただきたいです。既存ユーザー様からも「こんな機能があったんだ！」と発見があると好評なんですよ。

さて、ここからはマーケ、開発、エンジニア、それぞれの立場から「ALogのここが推せる！」というお気に入りポイントを語りたいと思います。まずは中山さん、お願いします！

私の推しは、なんといっても「インシデント対応に直結する力」です。ログを管理するだけでなく、分析し、脅威を検知し、その証拠をすぐに関係者に提示できる。この一連の流れをスムーズに行えるのがALogの価値だと思います。

具体的に、ALogがあって助かったという事例はありますか？

はい。あるお客様の環境で、UTMのログを監視していた時のことです。そのUTMの特定のポート（通信の出入り口）が、設定ミスで外部に公開されてしまっていて。それに気づいた攻撃者から大量のアクセスが試みられていたのですが、ALogがその異常を即座に検知し、お客様に警告することができました。

設定ミスが原因だったんですね。

はい。人間誰しもミスはありますが、そのミスが大きなセキュリティ事故につながる前に、ALogが気づいてくれたおかげで未然に防げた事例です。

面白いですね！ログというと「何か起きた後で見るもの」という事後対策のイメージが強いですが、今の事例のように、攻撃の初期段階を捉えれば、被害が発生する前に手を打つ「未然対策」にもなるわけですね。

では次に、開発の久鍋さんからの推しポイントをお願いします。

色々ありますが、一番は「検索パフォーマンス」ですね。バージョンを重ねるごとに高速化を追求してきて、今では有名な海外のSIEM製品よりも速いんですよ。

本当ですか！？具体的にどのくらい速いんですか？

例えば、1億件のログデータに対して、様々な条件で絞り込み検索をかけても、3秒もかからずに結果が返ってきます。

現場としては、この速さは本当に助かります。インシデント対応は時間との勝負なので。

さらに、最近のALogはサーバーを増設することで処理能力を向上させる「スケールアウト」に対応しています。これにより、1日に数テラバイトといった膨大なログが発生する大規模な環境でも、検索速度が落ちることはありません。

10年前のバージョンだと、同じ検索に何十分もかかっていましたよね…。ストレスで…。

そうそう！昔、あまりに遅いからって、検索結果が出るまでの画面を録画して「こんなに待たせるんですか！」ってクレームを持ってこられたことがありましたね（笑）。

そんなこともありました（笑）。でも、今はもう本当にノンストレスです。もし古いバージョンをお使いいただいた時のイメージがあるお客様がいらっしゃいましたら、ぜひ最新版の速さを体感していただきたいです！

では最後に、私からの推しポイントを2つ。一つは、特許も取得している独自の「ログ翻訳技術」です。SIEMが扱うログは、もともと機械が読むための文字列なので、人間には非常に分かりにくい。それをALogは「いつ、誰が、どこで、何をしたか」という、日本語の文章のように読んで分かる形式に自動で変換してくれるんです。

ファイル容量も圧縮されて、分析に不要なノイズ情報も自動で除去してくれますからね。

そうなんです。これにより、専門家でなくてもログの内容が理解できるので、監査や経営層への報告もスムーズに行えるとお客様から喜ばれています。
そしてもう一つが「AIによるリスクスコアリング機能」。これも特許技術で、AIがユーザー一人ひとりの普段の働き方を学習し、「いつもと違う行動」を検知するとリスクとして点数付けしてくれる機能です。

例えば、普段は日中しかログインしない人が、急に深夜にアクセスしてきたらリスクスコアが跳ね上がったりしますね。

はい。人間が24時間365日ログを監視するのは不可能ですが、この機能があれば、人だけでは気づけないような些細な異変をAIが捉えて知らせてくれます。私たちの監視業務を力強くサポートしてくれる、頼れる相棒のような存在です。

ここまで製品愛ばかり語ってきましたが、製品が成長していく中では、もちろん苦労した点や、今まさに改善したいと考えている点もあります。中山さん、要望をたくさん出してくれた立場として、何かありますか？

今はもう改善されていますが、以前の「マッピング機能」には苦労しましたね。ログを取り込む前に「この項目の情報は、ALogのこの欄に出力する」という対応付け（マッピング）を、あらかじめ細かく設定する必要があったんです。これが非常に難しくて…。

私も営業時代、お客様への導入支援で苦労しました。導入時点では「どのログをどう分析したいか」まで具体的に決まっていないことがほとんどで、このマッピングが導入の大きなハードルになっていました。

その課題を解決したのが、現在の「再マッピング機能」です。この機能では、まず最低限の時刻情報（タイムスタンプ）だけを設定すれば、全てのログ情報を欠落させることなく、そのまま取り込めるようになりました。

とりあえず全部取り込んでおいて、後から必要な情報・項目を定義できるようになったんですね。

その通りです。「後からこの項目で分析したくなった」という時に、過去のログに遡って情報を切り出せるので、運用しながら柔軟に分析の軸を調整できます。

なるほど。では中山さん、改善したい点はありますか？

実は、旧バージョンにあった「検索画面」を復活させたいと個人的に思っています。

昔のALogには、画面の左側に「ユーザー名」「ファイル名」といった項目ごとの検索窓が用意されていました。ただ、SIEM化して様々なログを扱うようになると、項目が増えすぎて逆に使いにくいのでは、という判断から現在は一つの検索窓に統合されています。

もちろん、今のシンプルな検索窓も良いのですが、初心者の方にとっては「そもそもどういうキーワードで検索すればいいか分からない」ということがあると思うんです。項目が決まっている検索窓なら、調べたい項目のボックスに文字を入れるだけで済みますから。

でも、調べ方が2種類あったら、かえって迷いませんか？

そこはUIの工夫次第だと思っています。二者択一ではなく、両方の良いところを取り入れた、新しい検索の形を次のバージョンで実現したいですね。こうした議論を社内で常に重ねながら、ALogは日々アップデートしているんです。

こうした製品改善の原動力になっているのは、やはりお客様からの声です。皆さん、お客様からいただいた言葉で、特に印象に残っているエピソードはありますか？

2年前にALogのクラウド版をリリースした直後のことです。過去最大規模のログ量を扱うお客様にご導入いただいたのですが、想定を超えるデータ量で、AI機能などでパフォーマンスがなかなか出ないという問題が発生してしまいました。

本来なら、厳しいクレームにつながってもおかしくない状況ですよね。

はい。しかし、そのお客様は「我々の環境を検証にどんどん使ってください。一緒にこの製品を良くしていきましょう」と仰ってくださったんです。本当に涙が出るほど嬉しかったですね。この時のお客様のご協力があったからこそ、今の大規模環境でも安定稼働するALogクラウドがあります。

私はMDRサービスのお客様からいただいた「優秀なセキュリティエンジニアが1名増えたみたいです」という言葉が忘れられません。

それは最高の褒め言葉ですね！

はい。そのお客様は導入当初、セキュリティ運用に何をすべきか不安を抱えていらっしゃいました。そこで私たちが、お客様の環境に合わせて脅威を検知するアラートルールを細かくチューニングしたり、定期的なレポートで改善提案をしたりと、手厚くサポートさせていただいたんです。

サイバー攻撃の手法は日々変化するので、それに合わせてアラートルールを更新し続けるのは、お客様自身でやるには非常に負荷が高い業務ですよね。

そうなんです。そうした専門的で面倒な部分を、私たちMDRチームが「まるっと」お引き受けすることで、お客様は本来の業務に集中できる。その価値を評価していただけたのだと思います。この事例は、弊社のWebサイトにも掲載されていますので、ぜひご覧ください。

今お話に出たレポートやアラートのテンプレートですが、お客様から「いいね」というお声をよくいただきますよね。あれは、お客様ごとにカスタマイズしつつ、どのようにアップデートされているんですか？ふと気になりました。

もちろん、お客様の環境によってログの出方や運用は全く異なりますので、一件一件チューニングさせていただくのが基本です。それに加えて、世の中のセキュリティ事情を常にキャッチアップし、新しい脅威に対応できるようテンプレート自体のブラッシュアップも継続的に行っています。

なるほど。日々変化するサイバー攻撃に合わせてアラートルールをチューニングし続けるのは、お客様自身でやるには本当に負荷が高いですもんね。特にこれからセキュリティ人材の不足が加速することを考えると、そういった専門的で面倒なところを「まるっと」お任せできる存在、という評価をいただけたわけですね。

では最後に、こうしたお客様への感謝を胸に、ALogがこれからどう成長していくのか、未来の展望を語りたいと思います。まずは開発を率いる久鍋さんからお願いします。

今後は、まず「ログの可視化」を強化します。検索結果をその場でグラフ化したり、ドリルダウンして深掘り分析したりする機能を充実させ、より直感的に状況を把握できるようにします。
そして、その先に見据えているのが「AI機能のさらなる強化」です。

AIが、より的確に、スピーディに異常を捉えてくれるようになる、ということでしょうか？

はい。具体的には「UEBA（利用者およびエンティティの行動分析）」と呼ばれる機能を強化します。AIがユーザーだけでなく、サーバーやアプリケーションといったあらゆるモノの振る舞いを多角的に分析することで、これまで見つけられなかった未知の脅威や、巧妙な内部不正の兆候を早期に発見できるようになります。

それは心強いですね！SIEMを導入したお客様から「アラートが大量に来すぎて、どれが重要か分からず、結局見なくなってしまう」というお悩みをよく聞きます。AIが本当に危険なものだけを通知してくれれば、対応の優先順位もクリアになり、セキュリティ担当者の負担軽減、見逃しもなくなりますね。

私は、ALogを「一人でも多くの人が扱えるセキュリティツール」にしていきたいです。今はまだ、SIEMの運用にはある程度の専門知識が必要ですが、インシデントが多発する現代において、そんな悠長なことは言っていられません。今後もユーザーに一番近い立場として、お客様の声を開発チームに届け、誰もが簡単に使えるセキュリティの実現を目指します。

ありがとうございます。私の夢は、お客様に「セキュリティ製品といえば、やっぱりALogだよね」と思っていただける存在になることです。SIEM市場には高機能で高価な海外製品が多いですが、導入したものの使いこなせず、かえって負担になっているケースも少なくありません。
私たちは、現場の運用に本当にフィットする「必要十分な機能」を「誰もが使いやすい形」で提供し続けることで、お客様に長く愛される国産SIEMでありたいと考えています。

ALogはこれからも、ユーザーの皆様の声に耳を傾けながら、使いやすいSIEMを目指して進化を続けてまいります。日々のセキュリティ運用に課題を感じていたり、ログの活用方法にお悩みでしたりする方がいらっしゃいましたら、ぜひお気軽に私たち網屋にご相談ください。