Splunk買収とGravwell【追記】

皆さんこんにちは
若者に色々役に立つかもしれない情報をたまに呟いているおじさんです。

2023年9月21日にCisco SystemsがSplunkの買収を発表しました。買収総額280億ドル（約4兆円）の大型買収になりました。

元々CiscoとSplunkは仲が良く以前も何度か買収話が上がっていたそうです。
Splunkに関しては、SIEMベンダーとして日本にやって来ましたが、本来は、データ解析ツールです。異なるデータソースを相関させることによって、単体では分からないかった事象を見つけ出したり、データ解析時間を自動化と相関分析ロジックにより短縮することで、業務を効率化したりすることが元々の機能なのですが、日本企業はB2BやB2Cビジネスが遅れていたため、ビジネスポータルから得られるログを解析して効率的に分析するというところに、投資をする企業が少なかったため、当時急速に関心が高まっていたサイバーセキュリティに着目して、セキュリティログの相関分析ツールとして市場に現れました。サーバのアクセスログとアクセスしたユーザアカウントを相関するだけで、不正に利用されたアカウントを見つけることができ、そこから不正アクセスを検出することもできます。マルウェアに感染したクライアントのネットワーク通信ログを相関させることで、インシデントレスポンスを効率化させることもできます。
このような強力な相関機能を持つSplunkはガートナーによって定義されたSIEM（Security Information and Event Management）の世界で確固たるポジションを獲得し、デファクトスタンダードに上り詰めました。
しかし、Splunk自体の機能面もさることながら周りの競合ベンダーの動きもあってSplunkは現在の地位を獲得したのではないかと思っています。
昔、ArcSightというSIEMがありました。これはSplunkより早いタイミングで日本のセキュリティ業界で使われ始めていたのですが、HPによって買収されてしまいました。現在は、Micro Forcusという会社が販売していますが、このHPの買収が無ければ、現在のSplunkとはシェアを2分していたのではないかと個人的には思っています。

買収による功罪。ArcSightは買収により明らかに使いにくい製品になってしまいました。それはHPが保有していた製品と競合になる分野の製品があると、当然ですがHPの製品に誘導したいため、HP製品に有利な形で開発が進められていきました。SIEM製品は中立的なポジションをとり、全てのベンダーに対して公平な形での開発を行うべきなのですが、やはりそこは大人の事情が介在してしまいます。これによって少しずつシェアをSplunkに奪われる形になっていくのを、SIEM連携するセキュリティ製品を販売していたベンダーで眺めていたのを覚えています。
では今回のSplunk買収における功罪の、功績の部分ですがSplunkはObservabilityやクラウドソリューションなど手を広げていきましたが、利用者はそのような先進的な機能に対して積極的な投資をするレベルではありませんでした。もちろん先進的なテクノロジーを積極的に取り入れる企業は、Splunkの展開したウィングソリューションに対してアーリーアダプターとなってやっていたと思いますが、このような後付けの機能は残念ながら現状ではコンセプト先行型で実運用上は思ったほどの自動化が行えなかったり、高額なコストに対するROIが適切に得られないなどの理由で爆発的な伸びには至っていません。そしてSIEMやデータ解析で使用していたユーザも一巡し、売り上げが徐々に鈍化してくるタイミングになって来たのだと思います。
Splunkはかなり玄人好みする作り（インストールや設定にかなりとがった専門的なスキルが必要になり、更にコンテンツの日本語化も遅い）なことから、触れる人が少なかったためにどうしても売り上げが伸び悩んでいたのではないでしょうか。前置きが長くなりましたが、この買収の功績の一つとして、短期的にはCiscoユーザにも積極的に販売が行えるという点、更にCiscoとしてはSplunkに繋ぎこんでいる競合製品からのリプレイス需要もあり、短期的には良い動きになると思われます。また、Ciscoは豊富な資金があるため、日本市場においてはマニュアルの日本語化などのローカライゼーションにも積極的ですし、Ciscoパートナーは日本のメジャーSIをほぼカバーしているため、売り上げの伸びが期待できると思います。

【追記】

Partnering up on XDR: A rising tide lifts all security teams

こんな記事を見つけました。
CiscoはXDRの領域にも進出するんですね。こうなるとセキュリティポスチャーデータを集約する基盤が必要になりますね。だからSplunkという流れなのかもしれませんね。

罪の部分は、少し遅れてやってくると思います。
前述した競合ベンダーとの確執が徐々に表れて、オールCiscoにできないお客様は、SIEMの入れ替えというのも考え始めるかもしれません。また、Ciscoはライセンスの値上げなどで追加のレベニューを得ようとすることも考えられますので、ますます高い製品になっていくかもしれません。
そして、Ciscoのチャネルコントロールはしっかりしているので、恐らくティア１のパートナー（ディストリビューターと呼ばれる大手のSI）へ集中的に情報を提供し、そこから展開する戦略になるため、草の根で頑張っていたベンダーは徐々に遠のいていくことが想像されます。
また、Splunkを主力で取り扱っていたマクニカはCisco嫌いは有名なので、恐らく取り扱いを終了することになると思います。従って、Ciscoの中で良い形で製品開発が進み、良い形のCisco化が終わることには、恐らく今とは全く違ったSplunkになるのではないかと思っています。

こんな僕の考えに対して友人がGravwellというSIEMを教えてくれました。
まだまだベンチャーの会社ですけど、HPのコンセプトがカジュアルな感じで、SIEM独特の敷居の高さを感じさせない製品に見えます。

Gravwell | Gravwell vs Splunk

面白いのは、明確に対Splunkを意識した比較表なども載っていて、なかなか好戦的です。また、収集したデータの検索に使うコマンドもSplunkととても良く似ているため、今後Splunkから移行してくるユーザが増えるのではないでしょうか。僕もとりあえず評価ライセンスをゲットしたので、近いうちに自宅で構築してみようかと思っています。

皆さんはSIEM何を使いますか？