Microsoft Azureとの提携も発表、「Splunk .conf23」レポート
Splunkが生成AI「AI Assistant」やOT向けエッジデバイスを発表
2023年08月01日 07時30分更新
Splunkが米ラスベガスで開催したユーザーカンファレンス「Splunk .conf23」(2023年7月17日~月20日)。イベント会期中にはOT(Operational Technology)データ向けのハードウェアエッジデバイスや、SplunkのAI戦略が発表され、セキュリティとオブザーバビリティの各分野でもさまざまな新機能が披露された。
本記事では7月18日の基調講演をダイジェストで紹介する。
企業のIT/セキュリティ管理者が必要とする「デジタル・レジリエンス」
Splunkは創業20周年を迎えた。今回の.confは14回目の開催となる。昨年はまだコロナ禍の影響が残っており、小規模なイベントだったが、今年はフル開催となって、会場には5000人以上の参加者が詰めかけた。
基調講演のステージに立った、Splunk SVPでプロダクト&テクノロジー担当GMのトム・ケーシー氏は、現在の企業ITシステムにおける「複雑さと発生するイベントの量は驚異的に増えている」と切り出した。「パブリッククラウド、オンプレミスと管理対象が拡大しており、トラブルシューティングはこれまで以上に困難になった」(ケーシー氏)。
たとえば近年、マイクロサービスが開発者の人気を集めているが、運用という面から見るとサービス間の依存関係がさらに拡大することになる。ケーシー氏は「IT運用チームの80%以上が、かつてないレベルの複雑な環境を扱っている」「セキュリティチームの64%以上が、バラバラのツールチェーンやデータのサイロ化に悩まされている」という調査結果を紹介した。
そうした困難な状況の解決に取り組むのがSplunkだ。
「Splunkを使えば、問題を迅速に解決し、データを探索することができる。可視化により、問題が大きくなる前にキャッチすることを可能にする」「現在は、より少ないリソースでより多くの作業を行うことが求められている。(Splunkの)セキュリティとオブザーバビリティの統合プラットフォームにより、IT運用、セキュリティ運用、エンジニアリングの各チームが連携できるようにする」(ケーシー氏)
Splunkではこれを「デジタル・レジリエンス」と表現する。
その実例として、たとえば大手小売業のCarrefour(カルフール)では「Splunk Enterprise Security」や「Splunk Cloud」を利用して、インシデントへの対応時間を8倍高速化した。また世界70以上の地域で、60万人の登録人材を抱える人材サービスのManpower(マンパワー)では、Splunkのセキュリティ/オブザーバビリティソリューションを導入して、サービスの稼働とスタッフの安全性を維持している。導入以前はSOC(セキュリティオペレーションセンター)の状況を幹部にレポートするために、スプレッドシートを使って60時間以上がかかっていたが、それが1時間に短縮されたという。
生成AIによる支援機能「Splunk AI Assistant」を発表
今年の.confにおける“目玉発表”は、AIとエッジデバイスだった。
AIについて説明したのは、3カ月前にSplunkのCTOに就任したミン・ワン氏だ。IBM、HP Labs、Googleなどで研究に携わったのち、「Google Assistant」を支える技術を開発するチームを率いた人物だ。
Splunk製品におけるAI/機械学習技術の活用は、2015年に発表された「Splunk Machine Learning Toolkit」にさかのぼる。その後は、データサイエンス、ディープラーニング(深層学習)といった技術領域にも拡大してきた。
今回の.confでは「Splunk AI」を打ち出し、Splunk Platformの新機能となる「Splunk AI Assistant」(プレビュー)を発表した。
Splunk AI Assistantはこれまで“SPL Copilot”として開発されてきた、生成AIを組み込んだユーザー支援機能である。自然言語(英語)を使って、Splunkの検索用言語であるSPL(Search Proccessing Language)を操作することで、クエリの提案、説明、詳細などを得ることができる。
AI組み込み機能としてはそのほかにも、最新の異常(アノマリー)検出機能「Splunk App for Anomaly Detection」、機械学習開発を支援する「Machine Learning Toolkit (MLTK) 5.4」など、セキュリティとオブザーバビリティの両方で発表されている。
ワン氏は、AIに対するSplunkのアプローチには「3つの柱」があると説明した。
1つめは「Splunkとドメインに特化すること」。つまりセキュリティとオブザーバビリティで培った固有のナレッジを活用するといいう方針だ。これにより「企業のワークフローと環境に特化したインサイト(洞察)を提供できる」(ワン氏)。
2つめは「ループの中に人間がいること」。企業の重要なデジタルシステムを守るうえで、AIはあくまでも人間の意思決定を「支援する」ものであり、最終決定には人間が介在することが重要だ、と指摘する。
3つめは「オープンで拡張性があること」だ。Splunkが提供するAIモデルをそのまま使うだけでなく「そのモデルを拡張したり、自社開発したモデルを持ち込むこともできる」(ワン氏)。これにより、自社に最適なかたちで問題を解決できると語る。
AI Assistantについては「インシデントの検知や調査ステップの提案など、プロセス全体に組み込んでいく」計画だと明かした。ただし、モデルの精度などのリスクも指摘し、慎重な検討を進めていく姿勢も示した。
ライブデモでは、セキュリティ担当者がSplunk Securityから「異常なアクセスがある」というアラートを受けて、AI Assistantを使いながら問題を解決していく流れを見せた。自然言語でAIと対話することで、イベントの要約や次のアクション提案を受け取り、怪しいログインに対する詳細な調査を行った。
初のエッジデバイス「Splunk Edge Hub」
もう一つの“目玉発表”は、Splunk初のハードウェアエッジデバイス「Splunk Edge Hub」だ。
このデバイスは手のひらよりも少し大きいサイズ(縦12.2×横14.9×奥行3.9cm)で、産業機器やIoTデバイスのOTデータをSplunkにストリームするゲートウェイだ。IoTデータと同時に、内蔵した温度や湿度のセンサーデータ、カメラ映像(拡張オプション)なども送信できる。
展示フロアには「Edge Hub Central」エリアが設けられ、さまざまなパートナーがEdge Hubを使ったソリューションを展示していた。
Splunk Edge Hubはパートナー経由の販売となる。まずは米国で限定提供を開始しており、今後、日本を含むAPACやEMEAにも拡大していく計画。Splunkのプリンシパル・プロダクトマネージャ、ジョエル・ジェイコブ(Joel Jacob)氏によると、日本からも高い関心が寄せられているという。
今回の発表では、Microsoftとの提携も発表されている。Microsoft AzureのマーケットプレイスからSplunkが購入できるようになるほか、共同開発も予定しているという。またセキュリティ領域では、2022年秋に買収したTwinWaveをベースとした脅威分析自動化の「Splunk Attack Analyzer」なども新たに登場した。