Swimlaneの日本オフィス本格始動!発表会へお邪魔しました ~SOARとは~
Preface
5月中旬に開催された、米国発のSOARベンダー、Swimlaneの日本への本格参入に伴う、製品発表会へお邪魔しました。(画像はSwimlane HPから拝借しました。私も写ってます。笑)
これまで私自身、SOARが強いベンダーとお付き合いしたことがなかったので、製品理解を深めるために、Zscalerご在籍時代よりお世話になっておりましたSwimlaneのCountry Managerである伊東様にお願いし、リクルーターという謎立場ながらも参加をさせていただきました。
個人的には、社員第1号としてSASEの盛り上がり黎明期にZscalerにジョインされた伊東様が、Zscaler卒業後にどんなイケてるソリューションカテゴリのベンダーに移られたのかに関心が強く、「いかにSOARがイケてるのかを知りたい」ということも参加のモチベーションでした。
ここでは今回のSwimlaneのイベントで学んだことを踏まえ、①SOARとは結局なんやねんということと、その中でも②Swimlaneがどんな会社なのか、そして③(かなり面白いアジェンダだったので)イベントの一部始終をご共有してまいります。
あくまで備忘録なので敬語は省いた方がいいのかなーその方が読みやすよなーなどと思ったのですが、どうやらTwitterのフォロワーやイケてるベンダーのCountry Managerなど多岐にわたるオーディエンスに届いているようなので、敬語にて敬意を払わせてください(?)
有識者の皆様、もし私が変なこと言ってたらご指摘をお願いいたします。
併せてぜひとも下記のプロが執筆された記事もご参考になさってください。
・Swimlaneによる記事
・メディアによる記事
①SOAR(ソアー)とは結局何なのか
セキュリティはアルファベットの略称が多く、略称を知っていても結局何を省略したものかが不明瞭になる(というか忘れる)ことが多いのですが、SOARとは Security Orchestration, Automation and Responseの略称で、略称はソアーと読みます。
端的申すと、SOCの人が使う自動化ツールです。初心者である私にはあまりにも端的すぎるのでdeep diveしていきましょう。
◎SOARの位置付け
SOARはNISTのCybersecurity Frameworkで申すところの対応の自動化に関わるソリューションです。
また、Contrary Researchによると、セキュリティ製品をあえて「何を守るものか」で分類をするならSwimlaneのソリューションは「デバイスを守るもの」と捉えられるようです。
ちょっとピンと来なかった分類ですが、SOARは「デバイスを守る」セキュリティ製品カテゴリ、EDRを拡張した概念: XDR (Extended Detection and Response)と関連性が非常に高いものと言えるでしょう。(詳しくは後ほど触れます)
XDRはエンドポイント・デバイスにとどまらず、サーバー、ネットワーク、クラウドなどIT環境全体から脅威を検知して対応しよう!というソリューションの群を指します。
伝統的なペリメータセキュリティは「社内ネットワークへの脅威の侵入を防ぐ」ことに重点を置く一方、XDRのソリューション群は「社内ネットワークへ脅威が侵入してくることを前提に対策」します。
Further Reading:
◎「セキュリティ人材不足」とセキュリティ製品の関連性
SOARについて言及する前に、(セキュリティをよく知る方ならもう1億回耳にされてることですが)「セキュリティ人材不足」とセキュリティベンダーの扱う製品とどんな相関性があるか、背景をさらいましょう。
まずマクロに見た時、地政学的リスク、脅威の変遷や侵入経路の巧妙化なども相まって、世界中で、老若男女・個人法人問わず常に脅威に晒されており、攻撃が増えています。内部脅威もニュースを賑わすようになりました。
それゆえ「情報資産を守らなきゃ」とスイッチが入った企業にとって、セキュリティ強化がミッションクリティカルであることは間違いありません。
このような背景から、企業からの需要が高まったセキュリティ人材の供給が逼迫しており、企業はSOCを外注するなどし対処してきましたが、慢性的な人材不足が続いております。
その希少なセキュリティ人材の負担軽減に一役買うのがセキュリティベンダーの提供する製品で、特に自動化を実現するSOARはその毛色がいっそう強いように感じます。
余談ですが、リクルーターとしてセキュリティベンダーのセールスポジションのみを取り扱ってた時のお話です。よく候補者様から「セキュリティ製品は脅して売る保険営業みたいだから嫌、アプリレイヤーの製品のソリューションセールスをしたい!」と言われて凹んでおりましたが、今見た通りセキュリティ担当者の課題解決を促すことがセキュリティセールスの本質なので、ケースバイケースとはいえ脅して売るだけが売り方ではありません。
◎SOARを理解するためのSOC, SIEM解説
SOARの話になると必ずSOC、SIEMが話題の俎上に載りますが、それぞれどういうソリューションなのか、またそれぞれがどう関係しているのかを今一度見てみましょう。
- SOC (Security Operations Center)
SOCは企業内で導入されたセキュリティ製品を運用する人たちによって運営されている組織で、セキュリティ部門・セキュリティ担当者とオーバーラップはありますが、SOCという単語には 「24時間365日オペレーションしてるよ」という意味合いが含まれている印象です。
SOCで働くセキュリティオペレーションを担う「セキュリティ人材不足」も相まって、企業はSOCサービスを外注する傾向にあります。
ちなみに文脈によってはSOCと同義でMSSP (Managed Security Service Provider)やMDR (Managed Detection and Response)という単語が使われることがありますが、MSSPはSOCのサービス持つサービスプロバイダを指し、MDRはMSSPが提供するサービスを指すため、SOCサービスを外注する企業にとっては同義です。
- SIEM (Security Event and Incident Management、シーム)
SIEMはユーザー企業のセキュリティスタックからログを収集し、分析するツールです。ログを手がかりに脅威検出を行います。
一般的なエンタープライズ企業には平均47のセキュリティソリューションが導入されていると言われている中で
各ソリューションからログを集める
ログの形式を整える
ログを分析する
ダッシュボードに可視化する
ことで、SOCの仕事を楽にします。
2023年5月号の日経ネットワークでキーワードとして取り上げられているので、SIEMについてもっと知りたい方はそちらも要チェックです。
- SOC、SIEMを踏まえ、SOARとは
SOARはSOCアナリストの業務を一部自動化するツールです。どうやら現状ではSplunkなどSIEMベンダーが、SIEMのいち機能としてSOARを売っていることが多いようです。
SIEMの課題として、ログに基づいて上がるアラートの中には無駄なものも多く、それが溜まっていって、実際にログ・アラートを基にアクションを起こすSOCにかなりの負担がかかってしまうことが挙げられます。
SOARはSIEMで集めたアラートの対応を、自動化できるところは自動化することで、SOCの負担を軽減する代物です。他のセキュリティ製品とAPI連携ができれば、インシデント発生時にそれらの製品による自動対応が実現できます。インシデント発生時にどういう対応をするべきか、というのはプレイブック(手引き書)に従うので、SOARを導入し、プレイブックを作成しさえすればSOCの負担はかなり軽減されそうですね。
SOARがSIEMを導入している企業が増え、SIEMマーケットが成熟してきたと言える今、相当数需要があるソリューションなのではないかと感じております。
だた、今回のイベントで、実はSIEMがなくてもSOARでオーケストレーションするアーキテクチャもあり得るようだということを知りました。てっきりSOARはSIEMありきのものだと認識していたので、非常に学びが深い!
- 日本のSOARマーケットの現状
上記で少し触れた通り、SplunkやExabeamなどSIEMベンダーが、そのほかではIBM, ServiceNow, Sumo Logic, Fortinet, Microsoft, Microfocusが取り扱われているようです。
(日経ネットワーク 2022年5月号より引用 - 日経ネットワークの回し者みたいになってすみません、、、私は購読しておりますが実は図書館でも閲覧可能だそうです。)
つまり、SOARの専業ベンダーでビッグプレイヤーがいないことが看取できます。
②Swimlaneはどんな会社なのか
ここでは今回のイベントで学んだことをベースに、Swimlaneがどんな会社なのかを整理していきます。なお私はSwimlaneの回し者ではない、かつテクノロジーセールスではなくリクルーターなので、第三者機関からの評価など「従来のSOARと比較してSwimlaneの製品はどう優位なのか?」などの細かい説明を割愛いたします。ご関心をお持ちの方はぜひSwimlaneとお話してみてください!
◎SwimlaneのValue Proposition
Swimlaneは一言で「セキュリティオペレーション自動化のスペシャリスト」と言えるでしょう。
ソリューションカテゴリが確立されているのでSwimlaneはSOARの専業ベンダーとも言えるかもしれませんが、ローコード対応のソリューションを提供されているため、実際にはSOAR以外にもユースケースはアイディア次第で広がるようです。
自動化に軸足を置き、今後SOCの範疇を超えて「誰もがセキュリティ運用できる世界を実現する」ことをミッションに担われているSwimlaneが、今後日本のセキュリティ界隈でどんな旋風を巻き起こすかが楽しみです!
冒頭でSwimlaneの優位性について語らんぞと申しましたが、このBeyond the SOCでセキュリティオペレーション自動化をしようという志こそが、ソリューションに落とし込まれている時点で唯一無二と言えるのではないでしょうか。
◎「SwimlaneはセキュリティにおけるServiceNowになる!」
これはCEOのJames Brear (ジム・ブレアさん) がプレゼンで「Swimlaneの今後の展望」としておっしゃっていたことです。その意味するところを説明いたします。
エンドユーザー企業の部門ごとに「記録システム(System of Record)」のITソリューションがあります。例えば営業部門にとってはSalesforce、エンジニアリング部門にとってはAtlassian、人事部ならWorkday、IT部門ならServiceNowがあります。こんな感じで部門別「お仕事の形跡を記録するためのIT製品」で覇権を握っている「XX部門で記録システムといえばみんなこれ導入してるよね」的なベンダーがいます。
ところがセキュリティ部門の記録システム「といえばこれ」な製品って、ないのです。Swimlaneはセキュリティ部門のお仕事の記録システムの「といえば」的な製品、ヘゲモニーをとりに行く、みんなに愛されるベンダーになるという展望を描かれていらっしゃいます。
この壮大、かつ実現可能性が非常に高いambitionを耳にし、私は瞬く間にSwimlaneのファンになりました。
◎日本へのコミットメント
リクルーター観点でのお話になっちゃいますが、外資IT日本法人スタートアップ成功の鍵は、いかにHQが日本マーケットの特異性を理解し、順応していけるかが重要なファクターと考えております。
細分化するならば
・上層部からの理解・モチベ
・よきチャネルパートナーがいること
・マーケ・製品自体のローカライゼーション
・1st hiring cohortの精度
などの項目が挙げられます。
CEOのJamesにとって、これまでのキャリアの中でSwimlaneは日本マーケット参入を成し遂げた4社目のベンダーです。
チャネルパートナーにはテクノロジーめっちゃ詳しい優秀な方が勢揃いで、セキュリティベンダーの日本ビジネスを軌道に載せるのが上手と定評のあるNVCがいらっしゃるようです。
ローカライゼーションは外からはわからないですが、日本法人のメンバーの方々は皆様ピカピカのスーパースターが勢揃いだなーという印象です(個人のご経歴に関してここで細かく触れるのは割愛いたします。)
実際SwimlaneはAPJへの投資に注力されており、もうすでに90人近くいらっしゃるようで、人数にしてグローバルの20%を占めるリージョンとのことです。
このように投資におけるコミットメントからも、Swimlaneが、APJリージョンの中でも経済大国の日本が重要視されていることは自明のように感じます。
③日本オフィス本始動イベントルポ
アメリカからC-suiteを迎えた今回のイベントは、Swimlaneについて学ぶには非常に贅沢な空間でした。
まずCEOのJamesが高い視座からSwimlaneのビジネスについて、日本のビジネス戦略は伊東様が、そして製品についてはCSOのCody Cornellがプロダクトについてご説明をしてくださいました。プロダクトに関して私の理解の範疇を超えたテッキーなこと以外は②に反映いたしましたが、ここで特筆したいのが、テックアライアンスベンダーとのパネルです。
◎Swimlane × Technology Alliance Vendors
ジョブハンターの立場で新しく日本に来るベンダーがいかにイケているのか見極めるベンチマークのひとつに、どんなテックアライアンスを組んでいるのかというのがあります。
今回Swimlaneのイベントでは、テックアライアンスパートナーのベンダーのうちElastic, Netskope, Recorded Future, Vectra AI から1名ずつご登壇され、SwimlaneのAPAC VP Johan Wikenstedtや日本のメンバーなどを交え、テーマトークをするコーナーがありました。
エージェントとして「いちベンダーのテックアライアンスって、API連携とかしやすいのは分かるけど、GTM的にはどうハイライトしたらいいのだろう?」と頭を抱えていたのですが、「なるほどこういう外部向けイベント時にコラボできるレバレッジなのか!」と感じました。
どの登壇者の方も「うちはあまり知られていないかもしれませんが、〜」を枕詞にされてましたが、リクルーターからするとどのベンダーもカッティングエッジなテクノロジーを扱う、トップティアベンダーとしてマーケットに認識されているところばかりです。
話が逸れてしまわない程度に、ご存知ない方のために少しだけ各ベンダーについて、私見ではありますが簡潔に一文でご紹介いたします(順不同):
・Elasticは検索エンジンElasticsearchで有名ですが、その技術をobservabilityに転用し、SIEMと同じことを安価で実現できる点で、セキュリティ的な文脈で話題に上がるベンダーです。
・Netskopeは元々CASBに強みを持たれていたベンダーですが、そこをフックにSASEへビジネスを拡大し、今年4月に発表されたSSEのMagic Quadrantで最も右上の評価を受けられております。
・VectraはXDRの文脈で必要不可欠なNDRの日本のマーケットをExtraHop, Darktraceとともに盛り上げる、非常に重要なキープレイヤーです。
・Recorded Futureは脅威インテリジェンスのベンダーで、個人的にはWSJのポッドキャストで知ったDmitry Smilyanetsが在籍されていることから、日本のビジネスの動向に注目しております。
「AIに対してどう考えているのか、対策と活用法」「近頃気になっているテクノロジーの分野」などのトピックに加えオーディエンスへの質疑応答もあり、最新鋭のテクノロジー議論を浴びることができました。
このパネルは伊東様が司会を務められていたのですが、Zscalerとお付き合いをしていた時、日本法人の実情を勉強したくてDirector陣が軒並み出演されていた中途採用ウェビナーに潜り込んだことがあるのですが、その時にも伊東様がパネルをMCされていたことを思い出しました。ぜひ他のベンダー様も外部向けのイベントで積極的に取り入れてほしいセミナー方式です。
Epilogue
SOARがいかにイケてるかを知りたくて参加した製品発表会ですが、Swimlaneが今このタイミングで日本に本格参入されることに大きなインパクトがありそうだなと感じました。結論、やはりイケてます。このようにセキュリティ領域で面白いベンダーの発展を間近で見れることに、とてもワクワクしております。足を運び、情報を得る喜びを感じております。
そして偶然か必然か、発表会開催日が伊東様のお誕生日に最も近いbusiness dayであったようで、Swimlaneの日本法人のキックオフをオフィシャルに発表するにこれ以上ないふさわしい日だったように感じます。
(LinkedIn上の公開情報なので伊東様のお誕生日に触れましたが、本来パブリックな場で人の誕生日・母親の旧姓・ペットの名前・生まれた土地などを公開することはセキュリティの観点で御法度です。)
Swimlaneについてもっと知りたい!という方はInteropに足を運ばれてもいいかもしれません。
事前情報ではSwimlaneがテックアライアンスを組まれてるSentinelOneのブースでコーナー出展されるとのことなので、Interopへご参加予定の方はぜひ立ち寄ってみて下さい。
昨年の記憶によれば、SentinelOneのブースには巨大ステージがあって、SentinelOneのアライアンスベンダーやディストリビューターが1日最低1回はブース内でミニセミナーを行える仕様ですので、「下記Netskopeとのジョイント講演に行けないがSwimlaneの話を聞きたい!」という方は当日ブースでのスケジュールを要チェックです。
私もInterop期間中は3日間幕張にフルコミットしますので、またルポを上げます!(Security Days春のルポも書いていたのですが、書きたいことがあまりにも多くて頓挫して公開を諦めました。。。ごめんなさい!)