【導入事例】BRIDGED PURPLE SOCにログ解析AIエージェント『LogEater』を採用。Elastic Securityとのハイブリッド構成によりコストを約1/2に圧縮

ログスペクト株式会社（本社：東京都渋谷区、代表取締役：日比野恒）は、当社が提供するログ解析AI エージェント『LogEater』が、株式会社BRIDGED（本社：東京都千代田区、代表取締役：髙橋浩太郎）が提供する生成AIを活用したSOCサービス（サービス名称：BRIDGED PURPLE SOC）に採用されたことをお知らせいたします。本サービスは、防御側（Blue Team）と攻撃側（Red Team）の双方を生成AIで連携させるPurple Team型のアプローチを特徴としており、Elastic SecurityのSIEM機能と組み合わせるログ解析エンジンとして『LogEater』が組み込まれています。これにより、Elastic Security単独でログ基盤を構成した場合と比較して、ログ基盤コストが約1/2に圧縮でき、ログ基盤コストの最適化と、SOCアナリストの学習コスト・属人化の解消を両立した24時間365日のSOCサービス提供を実現します。

◾️ 採用の背景：SOCサービス事業者が抱える二つの構造的課題

サイバー攻撃の高度化と検知対象の拡大に伴い、SOCサービス事業者には24時間365日で安定した運用品質を維持することが求められる一方で、運用コストの肥大化とアナリスト人材の確保・育成という構造的な課題が顕在化しています。

第一に、SOC運用にかかるコストの最適化です。SIEM製品はライセンス費用に加え、ログを保管するためのストレージ費用、検索・解析を支えるコンピューティング基盤費用が積み上がりやすく、24/365体制を支えるSOCアナリストの体制維持コストや、新人アナリストへの継続的な教育コストもサービス提供事業者にとって大きな負担となります。特にログの長期保管要件に対応するためのストレージコストは、サービスの収益性を圧迫する大きな要因です。結果として、本来は分析価値が高いはずの通信ログ（ファイアウォール、プロキシ、VPC Flow Logsなど）が、ライセンスコストとストレージコストの観点からSIEMへの取り込みを断念せざるを得ないケースも少なくありません。

第二に、高度なログ解析技術の習得とナレッジ蓄積の難しさです。SIEM製品ごとにSPL（Search Processing Language）やES|QL（Elasticsearch Query Language）などの専用クエリ言語の習得が必要であり、効率的なクエリを設計・開発できるようになるまでには相当の時間を要します。さらに、各種ログのフィールド構造の理解や攻撃パターンに即した解析手法の知見は、個々のアナリストに依存しがちで、組織のナレッジとして標準化・継承していくことが難しいという構造的な課題があります。

BRIDGED社が新たなSOCサービスを立ち上げるにあたっても、まさにこの2つの課題への解を見出すことが、サービス設計上の最重要テーマとなっていました。

◾️ BRIDGED社が『LogEater』を選定した理由

BRIDGED社は、BRIDGED PURPLE SOCのログ解析エンジンの選定にあたり、SIEM製品単独構成、複数のログ管理ソリューション、生成AI連携プロダクトを比較検討した結果、最終的に『LogEater』の採用を決定しました。決め手となったのは、以下の3点です。

1つ目は、Elastic Securityと『LogEater』のハイブリッド構成によるログ基盤のトータルコスト最適化です。『LogEater』はElasticsearch MCP Serverを介してElastic Cloudと接続できるため、リアルタイム検知に必要な当日分のログをElastic Security上で扱い、それ以外の長期保管ログを『LogEater』のデータウェアハウスに集約するハイブリッド設計が可能です。『LogEater』のデータウェアハウスはストレージの超高圧縮技術を採用しているため、アーカイブストレージ並みのコストで長期間のログ保持が実現できます。

2つ目は、生成AIを用いたログ解析機能によるSOCアナリストの学習コスト削減です。SPLやES|QLのような専用クエリ言語を学ばずとも、日本語による問いかけだけでログ解析やレポートによる可視化が行えます。さらに、Anthropic社のClaudeをベースとした最新の生成AIモデルが学習済みのサイバーセキュリティおよびログ解析に関する知見をそのまま解析業務に活かせるため、シニアアナリストの判断を補完しつつ、新人アナリストでも早期に運用業務へ参画可能になります。